Это команда gnutls-cli, которую можно запустить в провайдере бесплатного хостинга OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
Gnutls-Cli - Клиент GnuTLS
СИНТАКСИС
Gnutls-Cli [-флаги] [-флаг [ценностное ]] [- имя-опции[[= | ]ценностное ]] [имя хоста]
Операнды и опции могут смешиваться. Они будут переупорядочены.
ОПИСАНИЕ
Простая клиентская программа для установки TLS-соединения с другим компьютером. Он устанавливает TLS
соединение и перенаправляет данные со стандартного ввода на защищенный сокет и наоборот.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-d номер, --отлаживать=номер
Включите отладку. Эта опция принимает целое число в качестве аргумента. Значение
of номер ограничен быть:
в диапазоне от 0 до 9999
Задает уровень отладки.
-V, --подробный
Более подробный вывод. Эта опция может появляться неограниченное количество раз.
--тофу, - Fl -нетофу
Включить доверие при проверке подлинности при первом использовании. В нет-тофу форма отключит
опцию.
Эта опция, помимо аутентификации сертификата, будет выполнять аутентификацию.
на основе ранее замеченных открытых ключей, модель похожа на аутентификацию SSH. Примечание
когда тофу указан (PKI) и аутентификация DANE станет рекомендательной для
способствовать процессу принятия открытого ключа.
--строгий тофу, - Fl -но-строгий-тофу
Не удается подключиться, если известный сертификат был изменен. В без строгого тофу форма будет
отключите опцию.
Эта опция будет выполнять аутентификацию так же, как и опция --tofu; однако пока
--tofu спрашивает, доверять ли измененному публичному ключу, эта опция не сработает в случае
изменения открытого ключа.
- датчанин, - Fl -не датчанин
Включите проверку сертификата DANE (DNSSEC). В не датчанин форма отключит
опцию.
Эта опция, помимо аутентификации сертификата с использованием доверенных центров сертификации,
проверьте сертификаты сервера, используя информацию DANE, доступную через DNSSEC.
--local-dns, - Fl -нет-локальный-dns
Используйте локальный DNS-сервер для разрешения DNSSEC. В нет-локальный-dns форма отключит
опция.
Эта опция будет использовать локальный DNS-сервер для DNSSEC. По умолчанию это отключено
из-за того, что многие серверы не поддерживают DNSSEC.
--ca-verify, - Fl -нет-проверка-проверка
Включите проверку сертификата ЦС. В без проверки форма отключит
вариант. Эта опция включена по умолчанию.
Этот параметр можно использовать для включения или отключения проверки сертификата ЦС. Это чтобы
использоваться с параметрами --dane или --tofu.
--ocsp, - Fl -нет-оксп
Включите проверку сертификата OCSP. В нет-ocsp форма отключит эту опцию.
Эта опция включит проверку сертификата однорангового узла с помощью ocsp
-r, --продолжить
Установите сеанс и возобновите.
Подключитесь, установите сеанс, повторно подключитесь и продолжите.
-e, --повторное рукопожатие
Установите сеанс и перефразируйте.
Подключитесь, установите сеанс и сразу же переконфигурируйте.
-s, --starttls
Подключитесь, установите простой сеанс и запустите TLS.
Сеанс TLS будет инициирован при получении EOF или SIGALRM.
--app-прото
Это псевдоним для --starttls-прото опцию.
--starttls-прото=string
Протокол приложения, который будет использоваться для получения сертификата сервера (https, ftp,
smtp, imap, ldap, xmpp). Этот параметр не должен появляться в сочетании с любым из
следующие варианты: starttls.
Укажите протокол прикладного уровня для STARTTLS. Если протокол поддерживается,
gnutls-cli перейдет к согласованию TLS.
-u, --udp
Используйте DTLS (датаграмму TLS) поверх UDP.
--mtu=номер
Установите MTU для датаграммы TLS. Эта опция принимает целое число в качестве аргумента.
Значение номер ограничен быть:
в диапазоне от 0 до 17000
--crlf Отправляйте CR LF вместо LF.
--x509fmtder
Используйте формат DER для чтения сертификатов.
-f, - отпечаток пальца
Отправьте отпечаток пальца openpgp вместо ключа.
--print-сертификат
Распечатать сертификат партнера в формате PEM.
--save-сертификат=string
Сохраните цепочку сертификатов партнера в указанном файле в формате PEM.
--save-ocsp=string
Сохраните ответ о статусе OCSP однорангового узла в предоставленном файле.
--dh-биты=номер
Минимальное количество бит, разрешенное для DH. Эта опция принимает целое число как
свой аргумент.
Эта опция устанавливает минимальное количество бит, разрешенное для ключа Диффи-Хеллмана.
обмен. Вы можете уменьшить значение по умолчанию, если одноранговый узел отправляет слабое простое число.
и вы получаете ошибку подключения с недопустимым штрихом.
- приоритет=string
Строка приоритетов.
Алгоритмы и протоколы TLS для включения. Вы можете использовать предопределенные наборы шифров
такие как PERFORMANCE, NORMAL, PFS, SECURE128, SECURE256. По умолчанию - НОРМАЛЬНЫЙ.
Обратитесь к руководству GnuTLS в разделе «Приоритетные строки» для получения дополнительной информации о
разрешенные ключевые слова
--x509cafile=string
Файл сертификата или URL-адрес PKCS # 11 для использования.
--x509crlfile=файл
CRL-файл для использования.
--pgpkeyfile=файл
Файл ключа PGP для использования.
--pgpkeyring=файл
Файл связки ключей PGP для использования.
--pgpcertfile=файл
Файл открытого ключа PGP (сертификат) для использования. Эта опция должна появляться в комбинации
со следующими параметрами: pgpkeyfile.
--x509ключевой файл=string
Ключевой файл X.509 или URL-адрес PKCS # 11.
--x509certfile=string
Файл сертификата X.509 или URL-адрес PKCS # 11. Эта опция должна появиться в
сочетание со следующими параметрами: x509keyfile.
--pgpподключ=string
Подраздел PGP для использования (шестнадцатеричный или автоматический).
--srpusername=string
Имя пользователя SRP для использования.
--srppasswd=string
Пароль SRP для использования.
--pskuusername=string
Имя пользователя PSK для использования.
--pskkey=string
Ключ PSK (шестнадцатеричный) для использования.
-p string, --порт=string
Порт или служба для подключения.
--ненадежный
Не прерывайте программу, если сертификат сервера не может быть подтвержден.
- апельсины
Используйте отступы, скрывающие длину, чтобы предотвратить анализ трафика.
По возможности (например, при использовании наборов шифров CBC) используйте заполнение, скрывающее длину, чтобы
предотвратить анализ трафика.
--benchmark-шифры
Тестируйте отдельные шифры.
По умолчанию тестируемые шифры будут использовать любые возможности локального процессора.
для повышения производительности. Чтобы протестировать исходную программную реализацию, установите
переменная среды GNUTLS_CPUID_OVERRIDE на 0x1.
--benchmark-tls-kx
Тестируйте методы обмена ключами TLS.
--benchmark-tls-шифры
Тестирование шифров TLS.
По умолчанию тестируемые шифры будут использовать любые возможности локального процессора.
для повышения производительности. Чтобы протестировать исходную программную реализацию, установите
переменная среды GNUTLS_CPUID_OVERRIDE на 0x1.
-l, --список
Распечатайте список поддерживаемых алгоритмов и режимов. Эта опция не должна появляться в
сочетание с любым из следующих вариантов: порт.
Распечатайте список поддерживаемых алгоритмов и режимов. Если задана строка приоритета
тогда отображаются только включенные шифровальные наборы.
--приоритет-список
Распечатайте список поддерживаемых приоритетных строк.
Распечатайте список поддерживаемых приоритетных строк. Шифровальные наборы, соответствующие
каждую строку приоритета можно просмотреть с помощью -l -p.
--нотикет
Не разрешать билеты сеанса.
--srtp-профили=string
Предложите профили SRTP.
--alpn=string
Протокол прикладного уровня. Эта опция может появляться неограниченное количество раз.
Эта опция установит и включит согласование протокола прикладного уровня (ALPN).
в протоколе TLS.
-b, --сердцебиение
Активируйте поддержку сердцебиения.
- размер записи=номер
Максимальный размер записи для рекламы. Эта опция принимает целое число в качестве
аргумент. Значение номер ограничен быть:
в диапазоне от 0 до 4096
--disable-сни
Не отправляйте указание имени сервера (SNI).
--disable-extension
Отключите все расширения TLS.
Эта опция отключает все расширения TLS. Устаревший вариант. Используйте приоритет
строка.
--inline-команды
Встроенные команды формы ^ ^.
Включить встроенные команды формы ^ ^. Ожидается, что встроенные команды будут
в линию сами по себе. Доступные команды: возобновить и повторно согласовать.
--inline-команды-префикс=string
Измените разделитель по умолчанию для встроенных команд.
Измените разделитель по умолчанию (^), используемый для встроенных команд. Разделитель
ожидается, что это будет один символ US-ASCII (октеты 0–127). Этот вариант только
актуально, если встроенные команды включены с помощью параметра встроенных команд
--провайдер=файл
Укажите библиотеку поставщика PKCS # 11.
Это переопределит параметры по умолчанию в /etc/gnutls/pkcs11.conf
--fips140-режим
Сообщает о состоянии режима FIPS140-2 в библиотеке gnutls.
-h, --Помогите
Показать информацию об использовании и выйти.
-!, --больше-помощь
Передайте расширенную информацию об использовании через пейджер.
-v [{v | c | n --версия [{v | c | n}]}]
Вывести версию программы и выйти. Режим по умолчанию - `v ', простая версия.
В режиме `c 'будет напечатана информация об авторских правах, а` n' - все авторские права.
заметит.
ПРИМЕРЫ
Соединительный через PSK идентификация
Чтобы подключиться к серверу с использованием аутентификации PSK, вам необходимо включить выбор PSK с помощью
используя параметр приоритета шифра, как в примере ниже.
$ ./gnutls-cli -p 5556 localhost --pskusername psk_identity --pskkey 88f3824b3e5659f52d00e959bacab954b6540344 --priority NORMAL: -KX-ALL: + ECDHE-PSK: + DHE-PSK: + PSK
Разрешение "localhost" ...
Подключение к 127.0.0.1:5556 ...
- PSK аутентификация.
- Версия: TLS1.1
- Обмен ключами: PSK
- Шифр: AES-128-CBC
- MAC-адрес: SHA1
- Сжатие: NULL
- Рукопожатие завершено
- Простой клиентский режим:
Сохраняя параметр --pskusername и удаляя параметр --pskkey, он будет запрашивать
только для пароля при рукопожатии.
Список наборы шифров in a приоритет string
Чтобы перечислить наборы шифров в строке приоритета:
$ ./gnutls-cli --priority SECURE192 -l
Наборы шифров для SECURE192
TLS_ECDHE_ECDSA_AES_256_CBC_SHA384 0xc0, 0x24 TLS1.2
TLS_ECDHE_ECDSA_AES_256_GCM_SHA384 0xc0, 0x2e TLS1.2
TLS_ECDHE_RSA_AES_256_GCM_SHA384 0xc0, 0x30 TLS1.2
TLS_DHE_RSA_AES_256_CBC_SHA256 0x00, 0x6b TLS1.2
TLS_DHE_DSS_AES_256_CBC_SHA256 0x00, 0x6a TLS1.2
TLS_RSA_AES_256_CBC_SHA256 0x00, 0x3d TLS1.2
Типы сертификатов: CTYPE-X.509
Протоколы: VERS-TLS1.2, VERS-TLS1.1, VERS-TLS1.0, VERS-SSL3.0, VERS-DTLS1.0
Сжатие: COMP-NULL
Эллиптические кривые: CURVE-SECP384R1, CURVE-SECP521R1
PK-подписи: SIGN-RSA-SHA384, SIGN-ECDSA-SHA384, SIGN-RSA-SHA512, SIGN-ECDSA-SHA512
Соединительный через a PKCS #11 знак
Для подключения к серверу с помощью сертификата и закрытого ключа, присутствующего в токене PKCS # 11
вам необходимо заменить URL-адреса PKCS 11 в параметрах x509certfile и x509keyfile.
Их можно найти с помощью "p11tool --list-tokens", а затем перечислить все объекты в
необходимый токен и используя соответствующий.
$ p11tool --список-токенов
Токен 0:
URL: pkcs11: модель = PKCS15; производитель = MyMan; серийный номер = 1234; токен = тест
Этикетка: Test
Производитель: EnterSafe
Модель: PKCS15
Номер: 1234
$ p11tool --login --list-certs "pkcs11: model = PKCS15; Manufacturer = MyMan; serial = 1234; token = Test"
Объект 0:
URL: pkcs11: model = PKCS15; Manufacturer = MyMan; serial = 1234; token = Test; object = client; type = cert
Тип: Сертификат X.509
Этикетка: клиент
ID: 2a:97:0d:58:d1:51:3c:23:07:ae:4e:0d:72:26:03:7d:99:06:02:6a
$ MYCERT = "pkcs11: model = PKCS15; Manufacturer = MyMan; serial = 1234; token = Test; object = client; type = cert"
$ MYKEY = "pkcs11: model = PKCS15; Manufacturer = MyMan; serial = 1234; token = Test; object = client; type = private"
$ экспорт MYCERT MYKEY
$ gnutls-cli www.example.com --x509keyfile $ MYKEY --x509certfile $ MYCERT
Обратите внимание, что закрытый ключ отличается от сертификата только типом.
ВЫХОД статус
Будет возвращено одно из следующих значений выхода:
0 (ВЫХОД_УСПЕХ)
Успешное выполнение программы.
1 (ВЫХОД_ОШИБКА)
Не удалось выполнить операцию или неверный синтаксис команды.
70 (EX_ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ)
В libopts произошла внутренняя операционная ошибка. Пожалуйста, сообщите об этом autogen-
[электронная почта защищена]. Спасибо.
Используйте gnutls-cli онлайн с помощью сервисов onworks.net
