Este es el comando s_serverssl que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
s_server - programa de servidor SSL / TLS
SINOPSIS
openssl s_servidor [-aceptar Puerto] [-contexto id] [-verificar profundidad] [-Verificar profundidad] [-crl_check]
[-crl_check_all] [-concierto nombre de archivo] [-forma de concierto DER | PEM] [-llave archivo de clave] [-forma de tecla DER | PEM]
[-pasar arg] [-certificado nombre de archivo] [-dcertform DER | PEM] [-dkey archivo de clave] [-dkeyform DER | PEM]
[-dpass arg] [-dhparam nombre de archivo] [-nbio] [-nbio_test] [-crlf] [-depurar] [-mensaje] [-estado]
[-CAruta directorio] [-CAarchivo nombre de archivo] [-no_alt_chains] [-nocert] [-cifrar lista de cifrado]
[-preferenciaservidor] [-tranquilo] [-no_tmp_rsa] [-ssl2] [-ssl3] [-tls1] [-no_ssl2] [-no_ssl3]
[-no_tls1] [-no_dhe] [-insectos] [-cortar a tajos] [-www] [-WWW] [-HTTP] [-motor id] [-tlsextdebug]
[-No hay boleto] [-id_prefijo arg] [-y archivo (s)] [-información del servidor presentar] [-no_resumen_en_reneg]
[-estado] [-status_verbose] [-status_timeout nseg] [-URL_estado url] [-protoneg siguiente
protocolos]
DESCRIPCIÓN
La s_servidor El comando implementa un servidor SSL / TLS genérico que escucha las conexiones en
un puerto determinado mediante SSL / TLS.
OPCIONES
-aceptar Puerto
el puerto TCP para escuchar las conexiones. Si no se especifica, se utiliza 4433.
-contexto id
establece el ID de contexto SSL. Se le puede dar cualquier valor de cadena. Si esta opción no es
presente se utilizará un valor predeterminado.
-concierto nombrecertificado
El certificado a utilizar, la mayoría de los conjuntos de cifrado de servidores requieren el uso de un certificado.
y algunos requieren un certificado con un cierto tipo de clave pública: por ejemplo, el DSS
Los conjuntos de cifrado requieren un certificado que contenga una clave DSS (DSA). Si no se especifica entonces
se utilizará el nombre de archivo "server.pem".
-forma de concierto formato
El formato de certificado a utilizar: DER o PEM. PEM es el predeterminado.
-llave archivo de clave
La clave privada a utilizar. Si no se especifica, se utilizará el archivo de certificado.
-forma de tecla formato
El formato privado a utilizar: DER o PEM. PEM es el predeterminado.
-pasar arg
la fuente de contraseña de clave privada. Para obtener más información sobre el formato de arg ver la
PASS FRASE ARGUMENTOS sección en openssl(1).
-certificado nombre de archivo, -dkey Nombre clave
especificar un certificado adicional y una clave privada, estos se comportan de la misma manera que
el -concierto y -llave opciones excepto que no hay un valor predeterminado si no se especifican (no
se utiliza un certificado y una clave adicionales). Como se señaló anteriormente, algunos conjuntos de cifrado requieren un
certificado que contiene una clave de cierto tipo. Algunas suites de cifrado necesitan un certificado
llevando una clave RSA y alguna clave DSS (DSA). Mediante el uso de certificados RSA y DSS y
claves que un servidor puede admitir clientes que solo admitan conjuntos de cifrado RSA o DSS mediante el uso de
un certificado apropiado.
-dcertform formato, -dkeyform formato, -dpass arg
certificado adicional y formato de clave privada y frase de contraseña respectivamente.
-nocert
si se establece esta opción, no se utiliza ningún certificado. Esto restringe las suites de cifrado
disponible para los anónimos (actualmente solo DH anónimo).
-dhparam nombre de archivo
el archivo de parámetros DH que se utilizará. Los conjuntos de cifrado DH efímeros generan claves mediante un conjunto
de los parámetros DH. Si no se especifica, se intenta cargar los parámetros desde
el archivo de certificado del servidor. Si esto falla, entonces un conjunto estático de parámetros codificados
en el programa s_server se utilizará.
-no_dhe
Si esta opción está configurada, no se cargarán parámetros DH de manera efectiva, deshabilitando el
conjuntos de cifrado DH efímeros.
-no_tmp_rsa
ciertos conjuntos de cifrado de exportación a veces usan una clave RSA temporal, esta opción deshabilita
generación de clave RSA temporal.
-verificar profundidad, -Verificar profundidad
Verificar la profundidad a utilizar. Esto especifica la longitud máxima del certificado de cliente.
encadena y hace que el servidor solicite un certificado al cliente. Con el -verificar
opción se solicita un certificado pero el cliente no tiene que enviar uno, con la
-Verificar opción el cliente debe proporcionar un certificado o se producirá un error.
Si el conjunto de cifrado no puede solicitar un certificado de cliente (por ejemplo, un
ciphersuite o PSK) esta opción no tiene ningún efecto.
-crl_check, -crl_check_all
Compruebe que su CA no haya revocado el certificado del mismo nivel. Las CRL se adjuntan a
el archivo de certificado. Con el -crl_check_all Opción todas las CRL de todas las CA de la cadena
están marcados
-CAruta directorio
El directorio que se utilizará para la verificación del certificado del cliente. Este directorio debe estar en
"formato hash", consulte verificar para más información. Estos también se utilizan al construir el
cadena de certificados de servidor.
-CAarchivo presentar
Un archivo que contiene certificados de confianza para usar durante la autenticación del cliente y para usar
al intentar construir la cadena de certificados del servidor. La lista también se utiliza en la
lista de CA de clientes aceptables que se pasan al cliente cuando se solicita un certificado.
-no_alt_chains
Consulte las verificar página de manual para más detalles.
-estado
imprime los estados de la sesión SSL.
-depurar
imprima información de depuración extensa, incluido un volcado hexadecimal de todo el tráfico.
-mensaje
muestra todos los mensajes de protocolo con volcado hexadecimal.
-nbio_test
prueba E / S sin bloqueo
-nbio
enciende E / S sin bloqueo
-crlf
esta opción tradujo un salto de línea desde la terminal a CR + LF.
-tranquilo
inhibir la impresión de la información de la sesión y del certificado.
-psk_hint indirecta
Utilice la sugerencia de identidad de PSK indirecta cuando se utiliza un paquete de cifrado PSK.
-psk clave
Usa la clave PSK clave cuando se utiliza un paquete de cifrado PSK. La clave se da como hexadecimal.
número sin 0x a la izquierda, por ejemplo -psk 1a2b3c4d.
-ssl2, -ssl3, -tls1, -tls1_1, -tls1_2, -no_ssl2, -no_ssl3, -no_tls1, -no_tls1_1,
-no_tls1_2
Estas opciones requieren o deshabilitan el uso de los protocolos SSL o TLS especificados. Por
por defecto, el apretón de manos inicial usa un versión-flexible método que negociará el
la versión más alta del protocolo mutuamente compatible.
-insectos
Hay varios errores conocidos en las implementaciones de SSL y TLS. Agregar esta opción habilita
varias soluciones.
-cortar a tajos
esta opción permite una solución alternativa para algunos de los primeros códigos SSL de Netscape (?).
-cifrar lista de cifrado
esto permite modificar la lista de cifrado utilizada por el servidor. Cuando el cliente envía
una lista de cifrados admitidos el primer cifrado de cliente también incluido en la lista de servidores
se utiliza. Debido a que el cliente especifica el orden de preferencia, el orden del servidor
Cipherlist irrelevante. Ver el sistemas de cifrado comando para obtener más información.
-preferenciaservidor
utilice las preferencias de cifrado del servidor, en lugar de las preferencias del cliente.
-tlsextdebug
imprima un volcado hexadecimal de cualquier extensión TLS recibida del servidor.
-No hay boleto
deshabilite el soporte de tickets de sesión RFC4507bis.
-www
envía un mensaje de estado al cliente cuando se conecta. Esto incluye muchos
información sobre los cifrados utilizados y varios parámetros de sesión. La salida está en
Formato HTML, por lo que esta opción se utilizará normalmente con un navegador web.
-WWW
emula un servidor web simple. Las páginas se resolverán en relación con la actual
directorio, por ejemplo, si se solicita la URL https: //myhost/page.html, el archivo
Se cargará ./page.html.
-HTTP
emula un servidor web simple. Las páginas se resolverán en relación con la actual
directorio, por ejemplo, si se solicita la URL https: //myhost/page.html, el archivo
Se cargará ./page.html. Se supone que los archivos cargados contienen un
respuesta HTTP correcta (las líneas que forman parte de la línea de respuesta HTTP y los encabezados deben
terminar con CRLF).
-motor id
especificar un motor (por su id cadena) causará s_servidor para intentar
obtener una referencia funcional al motor especificado, inicializándolo si es necesario.
A continuación, el motor se establecerá como predeterminado para todos los algoritmos disponibles.
-id_prefijo arg
generar ID de sesión SSL / TLS con el prefijo arg. Esto es principalmente útil para probar cualquier
Código SSL / TLS (por ejemplo, proxies) que desean tratar con varios servidores, cuando cada uno de los cuales
podría estar generando un rango único de ID de sesión (por ejemplo, con un determinado prefijo).
-y archivo (s)
un archivo o archivos que contienen datos aleatorios utilizados para sembrar el generador de números aleatorios, o un
Toma EGD (ver RAND_egd(3)). Se pueden especificar varios archivos separados por un SO-
Carácter dependiente. El separador es ; para MS-Windows, , para OpenVMS y : para todos
otros.
-información del servidor presentar
un archivo que contiene uno o más bloques de datos PEM. Cada bloque PEM debe codificar un TLS
Extensión ServerHello (tipo de 2 bytes, longitud de 2 bytes, seguida de bytes de "longitud" de
datos de extensión). Si el cliente envía una extensión TLS ClientHello vacía que coincide con el
type, se devolverá la extensión ServerHello correspondiente.
-no_resumen_en_reneg
establecer el indicador SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION.
-estado
habilita el soporte de solicitud de estado de certificado (también conocido como grapado OCSP).
-status_verbose
habilita el soporte de solicitud de estado de certificado (también conocido como grapado OCSP) y brinda una descripción detallada
impresión de la respuesta OCSP.
-status_timeout nseg
establece el tiempo de espera para la respuesta OCSP a nseg segundos.
-URL_estado url
establece una URL de respuesta alternativa para usar si no hay una URL de respuesta en el servidor
certificado. Sin esta opción, se devuelve un error si el certificado del servidor no
no contiene una dirección de respuesta.
-protoneg siguiente protocolos
habilitar la extensión TLS de negociación de protocolo siguiente y proporcionar una lista separada por comas de
nombres de protocolo admitidos. La lista debe contener primero los protocolos más buscados.
Los nombres de protocolo son cadenas ASCII imprimibles, por ejemplo, "http / 1.1" o "spdy / 3".
CONECTADO COMANDOS
Si se establece una solicitud de conexión con un cliente SSL y ni el -www ni la
-WWW se ha utilizado la opción, entonces normalmente se muestran los datos recibidos del cliente y
cualquier pulsación de tecla se enviará al cliente.
También se reconocen ciertos comandos de una sola letra que realizan operaciones especiales: estos
están enlistados debajo.
q finalice la conexión SSL actual pero aún acepte nuevas conexiones.
Q finalice la conexión SSL actual y salga.
r renegociar la sesión SSL.
R renegocie la sesión SSL y solicite un certificado de cliente.
P envíe un texto sin formato por la conexión TCP subyacente: esto debería hacer que el cliente
desconectarse debido a una violación del protocolo.
S imprima información sobre el estado de la caché de sesión.
NOTAS
s_servidor se puede utilizar para depurar clientes SSL. Para aceptar conexiones desde un navegador web,
mando:
openssl s_server -aceptar 443 -www
se puede utilizar, por ejemplo.
La mayoría de los navegadores web (en particular Netscape y MSIE) solo admiten conjuntos de cifrado RSA, por lo que
no pueden conectarse a servidores que no utilizan un certificado que lleve una clave RSA o una
versión de OpenSSL con RSA deshabilitado.
Aunque especificar una lista vacía de CA al solicitar un certificado de cliente es estrictamente
hablando de una violación de protocolo, algunos clientes SSL interpretan que esto significa que cualquier CA es
aceptable. Esto es útil para fines de depuración.
Los parámetros de la sesión se pueden imprimir utilizando el ses_id .
Use s_serverssl en línea usando los servicios de onworks.net
