Это команда x509ssl, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
x509 - Утилита отображения и подписи сертификатов
СИНТАКСИС
OpenSSL x509 [-поставить в известность DER | PEM | NET] [-форма DER | PEM | NET] [ключевая форма DER | PEM] [-CAform
DER | PEM] [-CAkeyform DER | PEM] [-in имя файла] [-вне имя файла] [-serial] [-хэш]
[-subject_hash] [-issuer_hash] [-окспид] [-тема] [-эмитент] [-nameopt вариант] [-электронное письмо]
[-ocsp_uri] [-Дата начала] [-Дата окончания] [-цель] [-даты] [-кекенд Num] [-модуль]
[-публичный ключ] [-отпечаток пальца] [-алиас] [-ноаут] [- доверие] [-clrtrust] [-clrreject] [-добавить доверие
аргумент] [-адресотклонить аргумент] [-сеталиас аргумент] [-дней аргумент] [-set_serial n] [-сигнальный ключ имя файла]
[-пассин аргумент] [-x509торек] [-req] [-ca имя файла] [-CAkey имя файла] [-CAreateserial]
[-CСерийный имя файла] [-force_pubkey ключ] [-текст] [-сертопт вариант] [-C]
[-md2 | -md5 | -sha1 | -mdc2] [-clrext] [-extfile имя файла] [-расширения .] [-движок id]
ОПИСАНИЕ
Команда x509 команда - это многоцелевая утилита для сертификатов. Его можно использовать для отображения
информация о сертификате, преобразование сертификатов в различные формы, подпись запросов на сертификаты
например, "мини-ЦС" или отредактируйте настройки доверия сертификатов.
Поскольку существует большое количество вариантов, они будут разделены на различные разделы.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
ВХОД, ВЫВОД И ОБЩАЯ ИНФОРМАЦИЯ ЦЕЛЬ ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-поставить в известность DER | PEM | NET
Это определяет формат ввода, обычно команда будет ожидать сертификат X509.
но это может измениться, если другие параметры, такие как -req присутствуют. Формат DER - это
Кодировка DER сертификата, а PEM - это кодировка base64 кодировки DER.
с добавленными строками верхнего и нижнего колонтитула. Параметр NET - это малоизвестный сервер Netscape.
формат, который сейчас устарел.
-форма DER | PEM | NET
Это определяет выходной формат, параметры имеют то же значение, что и -поставить в известность
опцию.
-in имя файла
Это указывает имя входного файла для чтения сертификата или стандартный ввод, если это
вариант не указан.
-вне имя файла
Это определяет имя выходного файла для записи или стандартный вывод по умолчанию.
-md2 | -md5 | -sha1 | -mdc2
дайджест для использования. Это влияет на любой параметр подписи или отображения, в котором используется сообщение.
дайджест, например -отпечаток пальца, -сигнальный ключ и -ca опции. Если не указан, то SHA1
используется. Если ключ, используемый для подписи, является ключом DSA, тогда этот параметр не имеет
эффект: SHA1 всегда используется с ключами DSA.
-движок id
указание двигателя (по его уникальному id строка) вызовет x509 попытаться получить
функциональная ссылка на указанный двигатель, таким образом инициализируя его при необходимости. В
Engine будет установлен по умолчанию для всех доступных алгоритмов.
ДИСПЛЕЙ ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
Обратите внимание -алиас и -цель параметры также являются параметрами отображения, но описаны в
ДОВЕРЯТЬ НАСТРОЙКИ .
-текст
распечатывает сертификат в текстовой форме. Полная информация выводится, включая общедоступную
ключ, алгоритмы подписи, имена эмитентов и субъектов, серийный номер любые расширения
присутствует и любые настройки доверия.
-сертопт вариант
настроить формат вывода, используемый с -текст, вариант аргумент может быть единственным
вариант или несколько параметров, разделенных запятыми. В -сертопт переключатель может быть также
используется более одного раза для установки нескольких параметров. Увидеть ТЕКСТ ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ раздел для получения дополнительной информации
Информация.
-ноаут
эта опция предотвращает вывод закодированной версии запроса.
-публичный ключ
выводит блок SubjectPublicKeyInfo сертификата в формате PEM.
-модуль
эта опция выводит значение модуля открытого ключа, содержащегося в
сертификат.
-serial
выводит серийный номер сертификата.
-subject_hash
выводит "хэш" имени субъекта сертификата. Это используется в OpenSSL для формирования
index, чтобы разрешить поиск сертификатов в каталоге по имени субъекта.
-issuer_hash
выводит "хэш" имени издателя сертификата.
-окспид
выводит хеш-значения OCSP для имени субъекта и открытого ключа.
-хэш
синоним "-subject_hash" по причинам обратной совместимости.
-subject_hash_old
выводит "хэш" имени субъекта сертификата, используя старый алгоритм, который использовался
версиями OpenSSL до 1.0.0.
-issuer_hash_old
выводит "хэш" имени издателя сертификата, используя старый алгоритм, используемый
Версии OpenSSL до 1.0.0.
-тема
выводит имя субъекта.
-эмитент
выводит имя эмитента.
-nameopt вариант
параметр, который определяет, как отображаются имена субъектов или издателей. В вариант
Аргумент может быть одним или несколькими вариантами, разделенными запятыми.
В качестве альтернативы -nameopt переключатель можно использовать более одного раза для установки нескольких параметров.
Смотрите пост в ИМЯ ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ раздел для получения дополнительной информации.
-электронное письмо
выводит адрес (а) электронной почты, если таковой имеется.
-ocsp_uri
выводит адрес (а) ответчика OCSP, если таковой имеется.
-Дата начала
выводит дату начала действия сертификата, то есть дату notBefore.
-Дата окончания
выводит дату истечения срока действия сертификата, то есть дату notAfter.
-даты
распечатывает дату начала и окончания срока действия сертификата.
-кекенд аргумент
проверяет, истекает ли срок действия сертификата в течение следующего аргумент секунд и выходит ненулевое значение, если
да, он истечет или ноль, если нет.
-отпечаток пальца
распечатывает дайджест закодированной в DER версии всего сертификата (см. дайджест
параметры).
-C это выводит сертификат в виде исходного файла C.
ДОВЕРЯТЬ НАСТРОЙКИ
Обратите внимание, что эти параметры в настоящее время являются экспериментальными и могут измениться.
A надежных сертификат обычный сертификат, который имеет несколько дополнительных частей
приложенная к нему информация, такая как разрешенное и запрещенное использование сертификата
и "псевдоним".
Обычно, когда сертификат проверяется, по крайней мере, один сертификат должен быть «доверенным».
По умолчанию доверенный сертификат должен храниться локально и быть корневым ЦС: любой
цепочка сертификатов, оканчивающаяся на этот CA, может использоваться для любых целей.
В настоящее время настройки доверия используются только с корневым центром сертификации. Они позволяют более точно контролировать
целей, для которых может использоваться корневой центр сертификации. Например, для SSL-клиента можно доверять ЦС, но
не использование SSL-сервера.
См. Описание проверить утилита для получения дополнительной информации о значении доверия
настройки.
Будущие версии OpenSSL будут распознавать настройки доверия для любого сертификата, а не только для корневого.
Центры сертификации.
- доверие
это вызывает x509 вывести надежных сертификат. Обычный или доверенный сертификат
могут быть введены, но по умолчанию выводится обычный сертификат и любые настройки доверия
отбрасываются. С - доверие вариант - вывод доверенного сертификата. Надежный
сертификат автоматически выводится при изменении каких-либо настроек доверия.
-сеталиас аргумент
устанавливает псевдоним сертификата. Это позволит ссылаться на сертификат.
используя псевдоним, например "Сертификат Стива".
-алиас
выводит псевдоним сертификата, если он есть.
-clrtrust
очищает все разрешенные или надежные способы использования сертификата.
-clrreject
очищает все запрещенные или отклоненные виды использования сертификата.
-добавить доверие аргумент
добавляет использование доверенного сертификата. Здесь можно использовать любое имя объекта, но пока только
clientAuth (Использование SSL-клиента), серверАутентификация (Использование SSL-сервера) и электронная почтаЗащита (S / MIME
электронная почта). Другие приложения OpenSSL могут определять дополнительные применения.
-адресотклонить аргумент
добавляет запрещенное использование. Он принимает те же значения, что и -добавить доверие опцию.
-цель
эта опция выполняет тесты расширений сертификатов и выводит результаты. За
более полное описание см. СЕРТИФИКАТ РАСШИРЕНИЯ .
ОБОЗНАЧЕНИЕ ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
Команда x509 утилиту можно использовать для подписи сертификатов и запросов: таким образом, она может вести себя как
«мини СА».
-сигнальный ключ имя файла
эта опция заставляет входной файл быть самоподписанным с использованием предоставленного закрытого ключа.
Если входной файл является сертификатом, он устанавливает имя эмитента на имя субъекта (т. Е.
делает его самоподписанным) изменяет открытый ключ на предоставленное значение и изменяет
даты начала и окончания. Дата начала установлена на текущее время, а дата окончания установлена.
до значения, определяемого -дней вариант. Любые расширения сертификатов сохраняются
если только -clrext опция поставляется.
Если входные данные являются запросом сертификата, то создается самоподписанный сертификат с использованием
предоставленный закрытый ключ с использованием имени субъекта в запросе.
-пассин аргумент
источник ключевого пароля. Для получения дополнительной информации о формате аргумент см. ПАСС
ФРАЗА АРГУМЕНТЫ в разделе OpenSSL(1).
-clrext
удалить любые расширения из сертификата. Эта опция используется, когда сертификат
создается из другого сертификата (например, с -сигнальный ключ или -ca
опции). Обычно все расширения сохраняются.
ключевая форма PEM | DER
определяет формат (DER или PEM) файла закрытого ключа, используемого в -сигнальный ключ опцию.
-дней аргумент
указывает количество дней, в течение которых сертификат должен действовать. По умолчанию 30 дней.
-x509торек
преобразует сертификат в запрос сертификата. В -сигнальный ключ опция используется для передачи
требуемый закрытый ключ.
-req
по умолчанию при вводе ожидается сертификат. С этой опцией запрос сертификата
вместо этого ожидается.
-set_serial n
указывает серийный номер для использования. Этот параметр можно использовать с -сигнальный ключ
or -ca опции. Если используется вместе с -ca вариант файла серийного номера (как
определяется -CСерийный or -CAreateserial options) не используется.
Серийный номер может быть десятичным или шестнадцатеричным (если ему предшествует 0x). Отрицательные серийные номера
также могут быть указаны, но их использование не рекомендуется.
-ca имя файла
указывает сертификат CA, который будет использоваться для подписи. Когда присутствует эта опция x509
ведет себя как «мини-СА». Входной файл подписывается этим ЦС с использованием этой опции:
его имя эмитента установлено на имя субъекта CA и имеет цифровую подпись
используя закрытый ключ ЦС.
Эта опция обычно сочетается с -req вариант. Без -req вариант
ввод - это сертификат, который должен быть самоподписанным.
-CAkey имя файла
устанавливает закрытый ключ CA для подписи сертификата. Если эта опция не указана
тогда предполагается, что закрытый ключ CA присутствует в файле сертификата CA.
-CСерийный имя файла
устанавливает файл серийного номера CA для использования.
Когда -ca опция используется для подписи сертификата, он использует серийный номер, указанный в
файл. Этот файл состоит из одной строки, содержащей четное количество шестнадцатеричных цифр с
серийный номер для использования. После каждого использования серийный номер увеличивается и выписывается.
в файл снова.
Имя файла по умолчанию состоит из базового имени файла сертификата CA с расширением ".srl".
добавлено. Например, если файл сертификата CA называется «mycacert.pem», он ожидает
чтобы найти файл с серийным номером под названием «mycacert.srl».
-CAreateserial
с этой опцией создается файл серийного номера CA, если он не существует: он будет
содержат серийный номер «02», а в подписываемом сертификате будет стоять цифра 1.
серийный номер. Обычно, если -ca указывается опция, а файл серийного номера
не существует, это ошибка.
-extfile имя файла
файл, содержащий расширения сертификата для использования. Если не указано, то расширения не
добавлен в сертификат.
-расширения .
раздел, из которого нужно добавить расширения сертификатов. Если эта опция не указана, то
расширения должны содержаться либо в безымянном (по умолчанию) разделе, либо в
раздел по умолчанию должен содержать переменную с именем «extension», которая содержит
раздел для использования. Увидеть x509v3_config(5) страница руководства для получения подробной информации о расширении
формат раздела.
-force_pubkey ключ
при создании сертификата установите его открытый ключ на ключ вместо ключа в
сертификат или запрос сертификата. Эта опция полезна для создания сертификатов.
где алгоритм обычно не может подписывать запросы, например DH.
Формат или ключ можно указать с помощью ключевая форма опцию.
ИМЯ ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
Команда имяопт Переключатель командной строки определяет, как отображаются имена субъекта и издателя.
Если нет имяопт присутствует переключатель, используется формат по умолчанию "oneline", который совместим
с предыдущими версиями OpenSSL. Каждый вариант подробно описан ниже, все варианты
может предшествовать - чтобы выключить эту опцию. Обычно используются только первые четыре.
Compat
используйте старый формат. Это эквивалентно отсутствию параметров имени.
RFC2253
отображает имена, совместимые с RFC2253, эквивалентные esc_2253, esc_ctrl, esc_msb,
utf8, dump_nostr, dump_unknown, dump_der, sep_comma_plus, dn_rev и Взлететь.
одна линия
однострочный формат, более читаемый, чем RFC2253. Это эквивалентно указанию
esc_2253, esc_ctrl, esc_msb, utf8, dump_nostr, dump_der, use_quote,
sep_comma_plus_space, space_eq и Взлететь настройки.
многострочный
многострочный формат. Это эквивалентно esc_ctrl, esc_msb, sep_multiline, space_eq, имя
и выравнивать.
esc_2253
экранировать "специальные" символы, требуемые RFC2253, в поле То есть , + "<>;.
Дополнительно # экранируется в начале строки и пробелом в
начало или конец строки.
esc_ctrl
управляющие символы escape. То есть со значениями ASCII меньше 0x20 (пробел) и
символ удаления (0x7f). Они экранируются с использованием нотации RFC2253 \ XX (где XX
две шестнадцатеричные цифры, представляющие значение символа).
esc_msb
escape-символы с установленным MSB, то есть со значениями ASCII больше 127.
use_quote
экранирует некоторые символы, окружая всю строку " персонажей, без
вариант, все экранирование выполняется с помощью \ характер.
utf8
сначала преобразовать все строки в формат UTF8. Этого требует RFC2253. Если ты
посчастливилось иметь терминал, совместимый с UTF8, тогда использование этой опции (и
установка esc_msb) может привести к правильному отображению многобайтовых (международных)
символы. Если эта опция отсутствует, то многобайтовые символы больше 0xff
будет представлен в формате \ UXXXX для 16 бит и \ WXXXXXXXX для 32 бит.
Также, если эта опция отключена, любые UTF8Strings будут преобразованы в их символьную форму.
первый.
ignore_type
эта опция никоим образом не пытается интерпретировать многобайтовые символы. Это
октеты их содержимого просто сбрасываются, как если бы один октет представляет каждый символ.
Это полезно для диагностических целей, но приведет к довольно странно выглядящему выводу.
show_type
показать тип символьной строки ASN1. Тип предшествует содержимому поля. За
пример «BMPSTRING: Hello World».
dump_der
когда этот параметр установлен, любые поля, которые необходимо выгрузить по шестнадцатеричной системе, будут сбрасываться с использованием
Кодировка поля в формате DER. В противном случае будут отображаться только октеты содержимого. Оба
варианты используют RFC2253 # ХХХХ ... формат.
dump_nostr
дамп типов не символьных строк (например, OCTET STRING), если этот параметр не установлен
тогда будут отображаться не символьные строковые типы, как если бы каждый октет содержимого
представляет собой одиночный символ.
dump_all
сбросить все поля. Эта опция при использовании с dump_der позволяет кодировать DER
структура подлежит однозначному определению.
dump_unknown
дамп любого поля, чей OID не распознается OpenSSL.
sep_comma_plus, sep_comma_plus_space, sep_semi_plus_space, sep_multiline
эти параметры определяют разделители полей. Первый символ находится между RDN и
второй - между несколькими AVA (несколько AVA очень редки, и их использование
обескуражен). Параметры, оканчивающиеся на "пробел", дополнительно ставят пробел после
разделитель, чтобы сделать его более читаемым. В sep_multiline использует символ перевода строки для
разделитель RDN и разнесенный + для сепаратора AVA. Он также отступает от полей
четыре персонажа. Если разделитель полей не указан, то sep_comma_plus_space используется
по умолчанию.
dn_rev
поменяйте местами поля DN. Этого требует RFC2253. В качестве побочного эффекта это также
меняет порядок нескольких AVA на противоположный, но это допустимо.
безымянный, Взлететь, имя, подъязычная
эти параметры изменяют способ отображения имени поля. безымянный не отображает
поле вообще. Взлететь использует форму «короткого имени» (например, CN для commonName). имя
использует длинную форму. подъязычная представляет OID в числовой форме и полезен для
диагностическая цель.
выравнивать
выровняйте значения полей для более удобочитаемого вывода. Можно использовать только с sep_multiline.
space_eq
размещает места вокруг = символ, следующий за именем поля.
ТЕКСТ ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
Помимо настройки формата вывода имени, также можно настроить фактическое
поля, напечатанные с использованием Certopt варианты, когда текст вариант присутствует. По умолчанию
поведение - напечатать все поля.
совместим
используйте старый формат. Это эквивалентно отсутствию каких-либо параметров вывода.
нет заголовка
не печатать информацию заголовка: это строки, говорящие «Сертификат» и «Данные».
нет_версии
не распечатывайте номер версии.
no_serial
не распечатывайте серийный номер.
no_signame
не распечатывайте используемый алгоритм подписи.
no_validity
не выводите срок действия, это не раньше, чем и непосле полей.
нет_темы
не распечатывайте название темы.
нет_эмитента
не распечатывайте название эмитента.
no_pubkey
не распечатывайте открытый ключ.
no_sigdump
не давайте шестнадцатеричный дамп подписи сертификата.
no_aux
не распечатывать информацию о доверии сертификатов.
нет_расширений
не распечатывайте расширения X509V3.
ext_default
сохранить поведение расширения по умолчанию: попытаться распечатать неподдерживаемый сертификат
.
ext_error
напечатать сообщение об ошибке для неподдерживаемых расширений сертификатов.
ext_parse
ASN1 анализирует неподдерживаемые расширения.
ext_dump
шестнадцатеричный дамп неподдерживаемых расширений.
ca_default
значение, используемое ca полезность, эквивалентная нет_эмитента, no_pubkey, нет заголовка,
нет_версии, no_sigdump и no_signame.
ПРИМЕРЫ
Примечание: в этих примерах '\' означает, что пример должен быть в одной строке.
Отобразите содержимое сертификата:
openssl x509 -in cert.pem -noout -text
Отобразите серийный номер сертификата:
openssl x509 -in cert.pem -noout -serial
Отобразите имя субъекта сертификата:
openssl x509 -in cert.pem -noout -subject
Отобразите имя субъекта сертификата в форме RFC2253:
openssl x509 -in cert.pem -noout -subject -nameopt RFC2253
Отображение имени субъекта сертификата в интерактивной форме на терминале, поддерживающем UTF8:
openssl x509 -in cert.pem -noout -subject -nameopt oneline, -esc_msb
Отобразите отпечаток сертификата MD5:
openssl x509 -in cert.pem -noout -fingerprint
Отобразите отпечаток сертификата SHA1:
openssl x509 -sha1 -in cert.pem -noout -fingerprint
Преобразование сертификата из формата PEM в формат DER:
openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
Преобразование сертификата в запрос сертификата:
openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem
Преобразуйте запрос сертификата в самоподписанный сертификат с помощью расширений для ЦС:
openssl x509 -req -in careq.pem -extfile openssl.cnf -extensions v3_ca \
-signkey key.pem -out cacert.pem
Подпишите запрос на сертификат, используя сертификат ЦС, указанный выше, и добавьте сертификат пользователя.
расширения:
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr \
-CA cacert.pem -CAkey key.pem -CAcreateserial
Установите доверенный сертификат для использования SSL-клиентом и измените его псевдоним на "Steve's
Класс 1 CA »
openssl x509 -in cert.pem -addtrust clientAuth\
-setalias "Центр сертификации Стива 1 класса" -out trust.pem
ПРИМЕЧАНИЯ
Формат PEM использует строки верхнего и нижнего колонтитула:
----- НАЧАТЬ СЕРТИФИКАТ -----
----- КОНЕЦ СЕРТИФИКАТА -----
он также будет обрабатывать файлы, содержащие:
----- НАЧАТЬ СЕРТИФИКАТ X509 -----
----- КОНЕЦ СЕРТИФИКАТА X509 -----
Надежные сертификаты имеют строки
----- НАЧАТЬ ДОВЕРЕННЫЙ СЕРТИФИКАТ -----
----- КОНЕЦ ДОВЕРЕННОГО СЕРТИФИКАТА -----
Преобразование в формат UTF8, используемое с параметрами имени, предполагает, что T61Strings использует
Набор символов ISO8859-1. Это неправильно, но Netscape и MSIE делают это, как и многие другие.
сертификаты. Так что, хотя это неверно, большая вероятность отображения большинства
сертификаты правильно.
Команда -отпечаток пальца опция принимает дайджест сертификата, закодированного в формате DER. Это обычно
называется «отпечаток пальца». Из-за характера дайджеста сообщения отпечаток пальца
сертификат уникален для этого сертификата и двух сертификатов с одним и тем же отпечатком пальца
можно считать таким же.
Отпечаток Netscape использует MD5, тогда как MSIE использует SHA1.
Команда -электронное письмо опция ищет имя субъекта и расширение альтернативного имени субъекта.
Будут распечатаны только уникальные адреса электронной почты: один и тот же адрес больше не будет печататься.
чем один раз
СЕРТИФИКАТ РАСШИРЕНИЯ
Команда -цель опция проверяет расширения сертификата и определяет, какой сертификат
можно использовать для. Фактические проверки довольно сложны и включают в себя различные взломы и
обходные пути для обработки сломанных сертификатов и программного обеспечения.
Тот же код используется при проверке ненадежных сертификатов в цепочках, поэтому этот раздел
полезно, если цепочка отклоняется кодом проверки.
Флаг CA расширения basicConstraints используется, чтобы определить, может ли сертификат быть
используется как CA. Если флаг CA истинен, то это CA, если флаг CA ложный, то это
не CA. Все У CA должен быть установлен флаг CA в значение true.
Если расширение basicConstraints отсутствует, сертификат считается
"возможные CA" другие расширения проверяются в соответствии с предполагаемым использованием
сертификат. В этом случае выдается предупреждение, потому что сертификат действительно не должен быть
рассматривается как CA: однако разрешено использовать CA для работы с некорректным программным обеспечением.
Если сертификат является сертификатом V1 (и, следовательно, не имеет расширений) и самоподписан
также предполагается, что это CA, но снова выдается предупреждение: это необходимо для обхода
проблема корней Verisign, которые являются самоподписанными сертификатами V1.
Если присутствует расширение keyUsage, то на использование
сертификат. Сертификат CA должен установить бит keyCertSign, если keyUsage
расширение присутствует.
Расширенное расширение использования ключа накладывает дополнительные ограничения на использование сертификата.
Если это расширение присутствует (критическое или нет), ключ можно использовать только для
указанные цели.
Полное описание каждого теста приведено ниже. Комментарии о basicConstraints
и сертификаты keyUsage и V1, указанные выше, применяются к ВСЕ Сертификаты ЦС.
SSL Клиент
Расширенное расширение использования ключа должно отсутствовать или включать "веб-клиент
аутентификация "OID. keyUsage должен отсутствовать или иметь бит digitalSignature
набор. Тип сертификата Netscape должен отсутствовать или в нем должен быть установлен клиентский бит SSL.
SSL Клиент CA
Расширенное расширение использования ключа должно отсутствовать или включать "веб-клиент
аутентификации "OID. Тип сертификата Netscape должен отсутствовать или он должен иметь SSL
Установлен бит CA: это используется в качестве обходного пути, если расширение basicConstraints отсутствует.
SSL серверу
Расширенное расширение использования ключа должно отсутствовать или включать "веб-сервер
аутентификации »и / или один из идентификаторов SGC OID. keyUsage должен отсутствовать или иметь
набор digitalSignature, keyEncipherment или оба бита. Сертификат Netscape
type должен отсутствовать или иметь установленный бит сервера SSL.
SSL серверу CA
Расширенное расширение использования ключа должно отсутствовать или включать "веб-сервер
аутентификация »и / или один из SGC OID. Тип сертификата Netscape должен отсутствовать
или должен быть установлен бит SSL CA: это используется как временное решение, если basicConstraints
расширение отсутствует.
Netscape SSL серверу
Чтобы клиенты Netscape SSL могли подключаться к серверу SSL, он должен иметь ключ
бит установлен, если присутствует расширение keyUsage. Это не всегда верно, потому что некоторые
наборы шифров используют ключ для цифровой подписи. В остальном это то же самое, что и нормальный
SSL-сервер.
Общий S / MIME Клиент Tests
Расширенное расширение использования ключа должно отсутствовать или включать OID «защиты электронной почты».
Тип сертификата Netscape должен отсутствовать или иметь установленный бит S / MIME. Если
Бит S / MIME не установлен в типе сертификата netscape, тогда бит клиента SSL установлен.
допускается в качестве альтернативы, но отображается предупреждение: это потому, что некоторые Verisign
сертификаты не устанавливают бит S / MIME.
S / MIME подписание
В дополнение к обычным тестам клиента S / MIME необходимо установить бит digitalSignature, если
присутствует расширение keyUsage.
S / MIME Шифрование
В дополнение к обычным тестам S / MIME должен быть установлен бит keyEncipherment, если
keyUsage расширение присутствует.
S / MIME CA
Расширенное расширение использования ключа должно отсутствовать или включать OID «защиты электронной почты».
Тип сертификата Netscape должен отсутствовать или должен иметь установленный бит S / MIME CA: это
используется как обходной путь, если расширение basicConstraints отсутствует.
CRL подписание
Расширение keyUsage должно отсутствовать или в нем должен быть установлен бит подписи CRL.
CRL подписание CA
Применяются обычные тесты CA. За исключением этого случая расширение basicConstraints должно быть
настоящее время.
Используйте x509ssl онлайн с помощью сервисов onworks.net
