Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen ocsptool komutudur.
Program:
ADI
ocsptool - GnuTLS OCSP aracı
SİNOPSİS
ocsptool [bayraklar] [-bayrak [değer]] [--seçenek-adı[[=| ]değer]]
Tüm argümanlar seçenek olmalıdır.
TANIM
Ocsptool, OCSP istekleri/yanıtları ile ilgili bilgileri ayrıştırıp yazdırabilen bir programdır.
istekler oluşturun ve yanıtları doğrulayın.
SEÇENEKLER
-d numara, - hata ayıklama=numara
Hata ayıklamayı etkinleştir. Bu seçenek, argümanı olarak bir tamsayı alır. Değer
of numara olmakla sınırlıdır:
0 ile 9999 aralığında
Hata ayıklama düzeyini belirtir.
-V, --ayrıntılı
Daha ayrıntılı çıktı. Bu seçenek sınırsız sayıda görünebilir.
--dosyada=dosya
Giriş dosyası.
--outfile=dizi
Çıktı dosyası.
--sormak [=sunucu ad|url]
Bir OCSP/HTTP sunucusuna sertifika geçerliliğini sorun. Bu seçenek şurada görünmelidir:
aşağıdaki seçeneklerle kombinasyon: yük sertifikası, yük veren.
Belirtilen HTTP OCSP sunucusuna bağlanır ve geçerliliğini sorgular.
yüklenen sertifika
-e, --verify-yanıt
Yanıtı doğrulayın.
-i, --Bilgi istemek
Bir OCSP isteğiyle ilgili bilgileri yazdırın.
-j, --yanıt-bilgisi
Bir OCSP yanıtıyla ilgili bilgileri yazdırın.
-q, --üret-istek
Bir OCSP isteği oluşturun.
--bir kez, - Fl -hayır-nonce
OCSP isteğine nonce kullanın (veya kullanmayın). NS tek seferlik formu seçeneği devre dışı bırakacaktır.
--yük veren=dosya
Dosyadan veren sertifikasını okuyun.
--yük sertifikası=dosya
Dosyadan kontrol etmek için sertifikayı okuyun.
--yük-güven=dosya
OCSP güven bağlantılarını dosyadan okuyun. Bu seçenek ile birlikte görünmemelidir
aşağıdaki seçeneklerden herhangi biri: yük imzalayıcı.
--yük imzalayan=dosya
OCSP yanıt imzalayıcısını dosyadan okuyun. Bu seçenek kombinasyon halinde görünmemelidir
aşağıdaki seçeneklerden herhangi biriyle: yük güven.
--inder, - Fl -indersiz
Giriş sertifikaları ve özel anahtarlar için DER biçimini kullanın. NS iç içe olmayan form olacak
seçeneği devre dışı bırakın.
-Q dosya, --yük-istek=dosya
Dosyadan DER kodlu OCSP isteğini okuyun.
-S dosya, --yük-yanıt=dosya
Dosyadan DER kodlu OCSP yanıtını okuyun.
-h, --yardım et
Kullanım bilgilerini görüntüleyin ve çıkın.
-!, --Daha fazla yardım
Genişletilmiş kullanım bilgilerini bir çağrı cihazından geçirin.
-v [{v|c|n --versiyon [{v|c|n}]}]
Programın çıkış versiyonu ve çıkış. Varsayılan mod, basit bir versiyon olan 'v'dir.
'c' modu telif hakkı bilgilerini yazdıracak ve 'n' tüm telif hakkını yazdıracaktır.
Not.
ÖRNEKLER
Print bilgi hakkında an OCSP talep
Bir OCSP isteğini ayrıştırmak ve içerikle ilgili bilgileri yazdırmak için, -i or --Bilgi istemek
parametre aşağıdaki gibi kullanılabilir. NS -Q parametre dosyanın adını belirtir
OCSP talebini içerir ve OCSP talebini ikili DER formatında içermelidir.
$ ocsptool -i -Q ocsp-request.der
Girdi dosyası ayrıca şu şekilde standart girdiye gönderilebilir:
$ kedi ocsp-request.der | ocsptool -- istek bilgisi
Print bilgi hakkında an OCSP yanıt
OCSP isteklerini ayrıştırmaya benzer şekilde, OCSP yanıtları, -j or
--yanıt-bilgisi aşağıdaki gibi.
$ ocsptool -j -Q ocsp-response.der
$ kedi ocsp-response.der | ocsptool --response-info
Oluşturmak an OCSP talep
The -q or --üret-istek parametreler bir OCSP isteği oluşturmak için kullanılır. Varsayılan olarak
OCSP talebi, ikili DER formatında standart çıktıya yazılır, ancak
kullanan bir dosya --outfile. Bir OCSP oluşturmak için sertifikayı verenden
kontrol ile belirtilmesi gerekiyor --yük veren ve kontrol edilecek sertifika
--yük sertifikası. Bu dosyalar için varsayılan olarak PEM formatı kullanılır, ancak --inder kullanılabilir
giriş dosyalarının DER biçiminde olduğunu belirtmek için.
$ ocsptool -q --load-issuer veren.pem --load-cert client.pem --outfile ocsp-request.der
OCSP istekleri oluştururken araç, nonce içeren bir OCSP uzantısı ekleyecektir.
Bu davranış belirtilerek devre dışı bırakılabilir. --hayır-nonce.
doğrulamak imza in OCSP yanıt
Bir OCSP yanıtındaki imzayı doğrulamak için -e or --verify-yanıt parametre kullanılır.
Araç, standart girdiden veya dosyadan DER formatında bir OCSP yanıtı okuyacaktır.
tarafından belirtilen --yük-yanıt. OCSP yanıtı, bir dizi güvene göre doğrulanır
kullanılarak belirtilen ankrajlar --yük-güven. Güven çapaları birleştirilir
PEM formatında sertifikalar. OCSP yanıtını imzalayan sertifikanın şurada olması gerekir:
güven bağlantıları kümesi veya imzalayan sertifikasını verenin kümede olması gerekir
güven çapaları ve OCSP Genişletilmiş Anahtar Kullanımı biti imzalayanda belirtilmelidir
belgesi.
$ ocsptool -e --load-trust veren.pem --load-response ocsp-response.der
Araç, doğrulama durumunu yazdıracaktır.
doğrulamak imza in OCSP yanıt karşı verilmiş sertifika
Belirli bir sertifikanın olduğunu biliyorsanız, normal güven mantığını geçersiz kılmak mümkündür.
OCSP yanıtını imzalamış olması gerekiyor ve bunu kontrol etmek için kullanmak istiyorsunuz.
imza. Bu kullanılarak elde edilir --yük imzalayan yerine --yük-güven. Bu yüklenecek
bir sertifika ve OCSP yanıtındaki imzayı doğrulamak için kullanılacaktır. O olacak
Genişletilmiş Anahtar Kullanımı bitini kontrol etmeyin.
$ ocsptool -e --load-signer ocsp-signer.pem --load-response ocsp-response.der
Bu yaklaşım normalde yalnızca iki durumda geçerlidir. Birincisi, OCSP'nin
yanıt, imzalayan sertifikasının bir kopyasını içermez, bu nedenle --yük-güven kod
hata. İkincisi, OCSP yanıt imzalayanının olduğu dolaylı moddan kaçınmak istemenizdir.
sertifika bir güven bağlantısı tarafından imzalanır.
Gerçek dünya örnek
İşte bir sertifika için OCSP talebinin nasıl oluşturulacağına ve sertifikanın nasıl doğrulanacağına dair bir örnek:
cevap. Örnekleme için kullanacağız blog.josefsson.org ana bilgisayar, ki (yazılı olarak)
CACert'ten bir sertifika kullanır. İlk önce kullanacağız Gnutls-cli sunucunun bir kopyasını almak için
sertifika zinciri. Sunucunun bu bilgileri göndermesi gerekli değildir, ancak bu
özellikle biri bunu yapacak şekilde yapılandırılmıştır.
$ yankı | gnutls-cli -p 443 blog.josefsson.org --print-cert > chain.pem
üzerinde bir metin düzenleyici kullanın zincir.pem her ayrı sertifika için üç dosya oluşturmak,
denilen sertifika.pem etki alanının kendisi için ilk sertifika için, ikincisi veren.pem için
ara sertifika ve kök.pem nihai kök sertifika için.
Etki alanı sertifikası normalde OCSP yanıtlayıcısının bulunduğu yere bir işaretçi içerir,
Yetki Bilgi Erişim Bilgi uzantısında. Örneğin, sertifika aracı -i
< sertifika.pem şu bilgi var:
Yetki Bilgileri Erişim Bilgileri (kritik değil):
Erişim Yöntemi: 1.3.6.1.5.5.7.48.1 (id-ad-ocsp)
Konum URI'sine Erişim: http://ocsp.CAcert.org/
Bu, CA'nın HTTP üzerinden OCSP sorgularını desteklediği anlamına gelir. Artık bir OCSP oluşturmaya hazırız
sertifika talebi.
$ ocsptool --ask ocsp.CAcert.org --load-issuer issuer.pem --load-cert cert.pem --outfile ocsp-response.der
İstek, belirtilen OCSP sunucu adresine HTTP aracılığıyla gönderilir. adres ise
ommited ocsptool, sertifikada depolanan adresi kullanır.
EXIT DURUMU
Aşağıdaki çıkış değerlerinden biri döndürülecektir:
0 (ÇIKIŞ_BAŞARISI)
Başarılı program yürütme.
1 (ÇIKIŞ_BAŞARISIZ)
İşlem başarısız oldu veya komut sözdizimi geçerli değildi.
70 (EX_YAZILIM)
libopts'ta dahili bir işlem hatası vardı. Lütfen autogen'e bildirin.
[e-posta korumalı]. Teşekkür ederim.
onworks.net hizmetlerini kullanarak ocsptool'u çevrimiçi kullanın