Este es el comando x509ssl que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
x509 - Utilidad de visualización y firma de certificados
SINOPSIS
openssl x509 [-informar DER | PEM | NET] [-superar DER | PEM | NET] [-forma de tecla DER | PEM] [-CAforma
DER | PEM] [-CAforma de clave DER | PEM] [-in nombre de archivo] [-fuera nombre de archivo] [-de serie] [-picadillo]
[-subject_hash] [-emisor_hash] [-ocspido] [-tema] [-editor] [-opción de nombre opción] [-correo electrónico]
[-ocsp_uri] [-fecha de inicio] [-fecha final] [-objetivo] [-fechas] [-cheque número] [-módulo]
[-pubkey] [-huella dactilar] [-alias] [-sin salida] [-confianza] [-clrconfianza] [-clrechazar] [-añadir confianza
arg] [-adrechazar arg] [-setalias arg] [-dias arg] [-set_serial n] [-señal nombre de archivo]
[-Aconteció en arg] [-x509toreq] [-req] [-CALIFORNIA nombre de archivo] [-Clave nombre de archivo] [-Createserial]
[-CAserie nombre de archivo] [-force_pubkey clave] [-texto] [-certificado opción] [-C]
[-md2 | -md5 | -sha1 | -mdc2] [-clrexto] [-archivo de texto nombre de archivo] [-extensiones .] [-motor id]
DESCRIPCIÓN
La x509 El comando es una utilidad de certificado multipropósito. Puede usarse para mostrar
información de certificado, convertir certificados a varios formularios, firmar solicitudes de certificado
como una "mini CA" o editar la configuración de confianza del certificado.
Dado que hay una gran cantidad de opciones, se dividirán en varias secciones.
OPCIONES
APORTE, SALIDA Y GENERAL PROPÓSITO OPCIONES
-informar DER | PEM | NET
Esto especifica el formato de entrada que normalmente el comando esperará un certificado X509
pero esto puede cambiar si otras opciones como -req están presentes. El formato DER es el
La codificación DER del certificado y PEM es la codificación base64 de la codificación DER
con líneas de encabezado y pie de página agregadas. La opción NET es un servidor Netscape oscuro
formato que ahora está obsoleto.
-superar DER | PEM | NET
Esto especifica el formato de salida, las opciones tienen el mismo significado que el -informar
.
-in nombre de archivo
Esto especifica el nombre del archivo de entrada para leer un certificado o la entrada estándar si esta
La opción no está especificada.
-fuera nombre de archivo
Esto especifica el nombre del archivo de salida para escribir o la salida estándar de forma predeterminada.
-md2 | -md5 | -sha1 | -mdc2
el resumen a utilizar. Esto afecta a cualquier opción de firma o visualización que utilice un mensaje.
digerir, como el -huella dactilar, -señal y -CALIFORNIA opciones. Si no se especifica, entonces SHA1
se utiliza. Si la clave que se utiliza para iniciar sesión es una clave DSA, esta opción no tiene
efecto: SHA1 siempre se usa con teclas DSA.
-motor id
especificar un motor (por su id cadena) causará x509 para intentar obtener un
referencia funcional al motor especificado, inicializándolo si es necesario. los
El motor se establecerá como predeterminado para todos los algoritmos disponibles.
DISPLAY OPCIONES
Nota la -alias y -objetivo Las opciones también son opciones de visualización, pero se describen en la
TRUST AJUSTES .
-texto
imprime el certificado en forma de texto. Se emiten todos los detalles, incluido el público.
clave, algoritmos de firma, nombres de emisores y sujetos, número de serie, cualquier extensión
presente y cualquier configuración de confianza.
-certificado opción
personalizar el formato de salida utilizado con -texto. opción el argumento puede ser un solo
opción o múltiples opciones separadas por comas. los -certificado El interruptor también puede ser
utilizado más de una vez para establecer múltiples opciones. Ver el TEXTO OPCIONES sección para más
-sin salida
esta opción evita la salida de la versión codificada de la solicitud.
-pubkey
genera el bloque SubjectPublicKeyInfo del certificado en formato PEM.
-módulo
esta opción imprime el valor del módulo de la clave pública contenida en el
certificado.
-de serie
emite el número de serie del certificado.
-subject_hash
genera el "hash" del nombre del sujeto del certificado. Esto se usa en OpenSSL para formar un
index para permitir la búsqueda de certificados en un directorio por nombre de sujeto.
-emisor_hash
genera el "hash" del nombre del emisor del certificado.
-ocspido
genera los valores hash OCSP para el nombre del sujeto y la clave pública.
-picadillo
sinónimo de "-subject_hash" por razones de compatibilidad con versiones anteriores.
-subject_hash_old
genera el "hash" del nombre del sujeto del certificado utilizando el algoritmo anterior como se usa
por versiones de OpenSSL anteriores a la 1.0.0.
-emisor_hash_antiguo
genera el "hash" del nombre del emisor del certificado utilizando el algoritmo más antiguo utilizado por
Versiones de OpenSSL anteriores a la 1.0.0.
-tema
emite el nombre del sujeto.
-editor
emite el nombre del emisor.
-opción de nombre opción
opción que determina cómo se muestran los nombres de asunto o emisor. los opción
El argumento puede ser una sola opción o varias opciones separadas por comas.
Alternativamente el -opción de nombre El interruptor se puede utilizar más de una vez para configurar varias opciones.
Consulte las NOMBRE OPCIONES sección para más información.
-correo electrónico
muestra las direcciones de correo electrónico, si las hay.
-ocsp_uri
emite las direcciones de respuesta OCSP, si las hay.
-fecha de inicio
imprime la fecha de inicio del certificado, que es la fecha notBefore.
-fecha final
imprime la fecha de caducidad del certificado, que es la fecha notAfter.
-fechas
imprime las fechas de inicio y caducidad de un certificado.
-cheque arg
comprueba si el certificado caduca en el próximo arg segundos y sale distinto de cero si
sí, caducará o cero si no.
-huella dactilar
imprime el resumen de la versión codificada en DER de todo el certificado (ver resumen
opciones).
-C esto genera el certificado en forma de archivo fuente C.
TRUST AJUSTES
Tenga en cuenta que estas opciones son actualmente experimentales y pueden cambiar.
A de confianza certificado es un certificado ordinario que tiene varias piezas adicionales de
información adjunta, como los usos permitidos y prohibidos del certificado
y un "alias".
Normalmente, cuando se está verificando un certificado, al menos un certificado debe ser "confiable".
De forma predeterminada, un certificado de confianza debe almacenarse localmente y debe ser una CA raíz: cualquier
La cadena de certificados que termina en esta CA se puede utilizar para cualquier propósito.
Actualmente, la configuración de confianza solo se usa con una CA raíz. Permiten un control más preciso sobre el
fines para los que se puede utilizar la CA raíz. Por ejemplo, se puede confiar en una CA para el cliente SSL, pero
no el uso del servidor SSL.
Ver la descripción del verificar utilidad para obtener más información sobre el significado de confianza
configuración.
Las versiones futuras de OpenSSL reconocerán la configuración de confianza en cualquier certificado: no solo en la raíz
CA.
-confianza
esto causa x509 para generar un de confianza certificado. Un certificado ordinario o de confianza
se puede ingresar, pero de forma predeterminada se emite un certificado ordinario y cualquier configuración de confianza
se descartan. Con el -confianza opción se emite un certificado de confianza. Un confiable
El certificado se emite automáticamente si se modifica alguna configuración de confianza.
-setalias arg
establece el alias del certificado. Esto permitirá que se haga referencia al certificado
utilizando un apodo, por ejemplo, "Certificado de Steve".
-alias
genera el alias del certificado, si lo hubiera.
-clrconfianza
borra todos los usos permitidos o confiables del certificado.
-clrechazar
borra todos los usos prohibidos o rechazados del certificado.
-añadir confianza arg
agrega un uso de certificado confiable. Aquí se puede usar cualquier nombre de objeto, pero actualmente solo
clienteAuth (Uso de cliente SSL), autenticación del servidor (Uso del servidor SSL) y Protección de correo electrónico (S / MIME
correo electrónico) se utilizan. Otras aplicaciones OpenSSL pueden definir usos adicionales.
-adrechazar arg
agrega un uso prohibido. Acepta los mismos valores que el -añadir confianza .
-objetivo
esta opción realiza pruebas en las extensiones del certificado y genera los resultados. Para
una descripción más completa ver el CERTIFICADO AMPLIACIONES .
FIRMA OPCIONES
La x509 La utilidad se puede utilizar para firmar certificados y solicitudes: por lo tanto, puede comportarse como un
"mini CA".
-señal nombre de archivo
esta opción hace que el archivo de entrada se autofirme utilizando la clave privada proporcionada.
Si el archivo de entrada es un certificado, establece el nombre del emisor en el nombre del sujeto (es decir,
hace que sea autofirmado) cambia la clave pública al valor suministrado y cambia el
fechas de inicio y finalización. La fecha de inicio se establece en la hora actual y la fecha de finalización se establece
a un valor determinado por el -dias opción. Se retienen todas las extensiones de certificado
a menos que el -clrexto se suministra la opción.
Si la entrada es una solicitud de certificado, se crea un certificado autofirmado utilizando
la clave privada proporcionada utilizando el nombre del sujeto en la solicitud.
-Aconteció en arg
la fuente de la contraseña de la clave. Para obtener más información sobre el formato de arg ver la PASS
FRASE ARGUMENTOS sección en openssl(1).
-clrexto
elimine las extensiones de un certificado. Esta opción se usa cuando un certificado es
siendo creado a partir de otro certificado (por ejemplo, con el -señal o en el -CALIFORNIA
opciones). Normalmente se conservan todas las extensiones.
-forma de tecla PEM | DER
especifica el formato (DER o PEM) del archivo de clave privada utilizado en el -señal .
-dias arg
especifica el número de días para que un certificado sea válido. El valor predeterminado es 30 días.
-x509toreq
convierte un certificado en una solicitud de certificado. los -señal la opción se usa para pasar
la clave privada requerida.
-req
de forma predeterminada, se espera un certificado en la entrada. Con esta opción una solicitud de certificado
se espera en su lugar.
-set_serial n
especifica el número de serie a utilizar. Esta opción se puede utilizar con el -señal
or -CALIFORNIA opciones. Si se usa junto con el -CALIFORNIA opción el archivo de número de serie (como
especificado por el -CAserie or -Createserial opciones) no se utiliza.
El número de serie puede ser decimal o hexadecimal (si está precedido por 0x). Números de serie negativos
también se puede especificar pero no se recomienda su uso.
-CALIFORNIA nombre de archivo
especifica el certificado de CA que se utilizará para la firma. Cuando esta opción está presente x509
se comporta como una "mini CA". El archivo de entrada está firmado por esta CA mediante esta opción: que
es su nombre de emisor se establece en el nombre de sujeto de la CA y está firmado digitalmente
utilizando la clave privada de la CA.
Esta opción normalmente se combina con la -req opción. Sin el -req opción la
La entrada es un certificado que debe estar autofirmado.
-Clave nombre de archivo
establece la clave privada de CA con la que firmar un certificado. Si no se especifica esta opción
entonces se asume que la clave privada de CA está presente en el archivo de certificado de CA.
-CAserie nombre de archivo
establece el archivo de número de serie de CA que se utilizará.
Cuando el -CALIFORNIA se utiliza para firmar un certificado utiliza un número de serie especificado en
un archivo. Este archivo consta de una línea que contiene un número par de dígitos hexadecimales con el
número de serie a utilizar. Después de cada uso, el número de serie se incrementa y se escribe.
al archivo de nuevo.
El nombre de archivo predeterminado consiste en el nombre base del archivo de certificado de CA con ".srl"
adjunto. Por ejemplo, si el archivo de certificado de CA se llama "mycacert.pem", se espera
para encontrar un archivo de número de serie llamado "mycacert.srl".
-Createserial
con esta opción se crea el archivo de número de serie de CA si no existe:
contienen el número de serie "02" y el certificado que se está firmando tendrá el 1 como su
número de serie. Normalmente si el -CALIFORNIA se especifica la opción y el archivo de número de serie no
no existe es un error.
-archivo de texto nombre de archivo
archivo que contiene las extensiones de certificado para usar. Si no se especifica, no se incluyen extensiones.
agregado al certificado.
-extensiones .
la sección desde la que agregar extensiones de certificado. Si no se especifica esta opción,
las extensiones deben estar contenidas en la sección sin nombre (predeterminada) o en la
la sección predeterminada debe contener una variable llamada "extensiones" que contiene la
sección a utilizar. Ver el x509v3_config(5) página de manual para detalles de la extensión
formato de sección.
-force_pubkey clave
cuando se crea un certificado, establezca su clave pública en clave en lugar de la clave en el
certificado o solicitud de certificado. Esta opción es útil para crear certificados.
donde el algoritmo normalmente no puede firmar solicitudes, por ejemplo DH.
El formato o clave se puede especificar utilizando el -forma de tecla .
NOMBRE OPCIONES
La opción de nombre El conmutador de línea de comando determina cómo se muestran los nombres de asunto y emisor.
Si no es correcto opción de nombre el interruptor está presente, se utiliza el formato "en línea" predeterminado, que es compatible
con versiones anteriores de OpenSSL. Cada opción se describe en detalle a continuación, todas las opciones
puede ir precedido de un - para desactivar la opción. Normalmente solo se utilizarán los cuatro primeros.
compat
utilice el formato antiguo. Esto equivale a especificar ninguna opción de nombre.
RFC2253
muestra nombres compatibles con RFC2253 equivalentes a esc_2253, esc_ctrl, esc_msb,
utf8, dump_nostr, basurero_desconocido, volcado_der, sep_coma_plus, dn_rev y quitarse.
una línea
un formato en línea que es más legible que RFC2253. Es equivalente a especificar
el esc_2253, esc_ctrl, esc_msb, utf8, dump_nostr, volcado_der, usar_cita,
sep_coma_más_espacio, espacio_eq y quitarse .
multilínea
un formato multilínea. Es equivalente esc_ctrl, esc_msb, sep_multilínea, espacio_eq, nombre
y alinear.
esc_2253
escapar de los caracteres "especiales" requeridos por RFC2253 en un campo que es , + "<>;.
Adicionalmente # se escapa al comienzo de una cadena y un carácter de espacio en el
principio o final de una cadena.
esc_ctrl
personajes de control de escape. Es decir, aquellos con valores ASCII inferiores a 0x20 (espacio) y
el carácter de eliminación (0x7f). Se escapan usando la notación RFC2253 \ XX (donde XX
son dos dígitos hexadecimales que representan el valor del carácter).
esc_msb
caracteres de escape con el conjunto MSB, es decir, con valores ASCII superiores a 127.
usar_cita
escapa a algunos caracteres rodeando toda la cadena con " personajes, sin el
opción todo el escape se hace con la \ carácter.
utf8
primero convierta todas las cadenas al formato UTF8. Esto es requerido por RFC2253. Si usted es
lo suficientemente afortunado de tener un terminal compatible con UTF8, entonces el uso de esta opción (y No
pólipo esc_msb) puede resultar en la visualización correcta de multibyte (internacional)
caracteres. Si esta opción no está presente, entonces los caracteres multibyte son mayores que 0xff
se representará utilizando el formato \ UXXXX para 16 bits y \ WXXXXXXXX para 32 bits.
Además, si esta opción está desactivada, cualquier UTF8Strings se convertirá a su forma de carácter
de antemano.
tipo_ignorar
esta opción no intenta interpretar caracteres multibyte de ninguna manera. Es decir
sus octetos de contenido simplemente se descartan como si un octeto representara cada carácter.
Esto es útil para fines de diagnóstico, pero dará como resultado un resultado bastante extraño.
mostrar_tipo
muestra el tipo de cadena de caracteres ASN1. El tipo precede al contenido del campo. Para
ejemplo "BMPSTRING: Hello World".
volcado_der
cuando esta opción está configurada, cualquier campo que necesite ser hexadecimal será volcado usando el
Codificación DER del campo. De lo contrario, solo se mostrarán los octetos de contenido. Ambos
opciones utilizan el RFC2253 #XXXX ... formato.
dump_nostr
volcar tipos de cadenas sin caracteres (por ejemplo, OCTET STRING) si esta opción no está configurada
luego, los tipos de cadenas de caracteres no se mostrarán como si cada octeto de contenido
representa un solo carácter.
volcado_todo
volcar todos los campos. Esta opción cuando se usa con volcado_der permite la codificación DER de la
estructura a determinar sin ambigüedades.
basurero_desconocido
volcar cualquier campo cuyo OID no sea reconocido por OpenSSL.
sep_coma_plus, sep_coma_más_espacio, sep_semi_plus_espacio, sep_multilínea
estas opciones determinan los separadores de campo. El primer carácter está entre RDN y
el segundo entre múltiples AVA (múltiples AVA son muy raros y su uso es
desanimado). Las opciones que terminan en "espacio" colocan además un espacio después de la
separador para que sea más legible. los sep_multilínea utiliza un carácter de salto de línea para
el separador RDN y un espaciado + para el separador AVA. También sangra los campos por
cuatro personajes. Si no se especifica ningún separador de campo, sep_coma_más_espacio se utiliza
por defecto
dn_rev
invierta los campos del DN. Esto es requerido por RFC2253. Como efecto secundario, esto también
invierte el orden de varios AVA, pero esto está permitido.
sin nombre, quitarse, nombre, sobre
estas opciones alteran la forma en que se muestra el nombre del campo. sin nombre no muestra el
campo en absoluto. quitarse utiliza la forma de "nombre corto" (CN para commonName, por ejemplo). nombre
usa la forma larga. sobre representa el OID en forma numérica y es útil para
propósito de diagnóstico.
alinear
alinee los valores de campo para una salida más legible. Solo utilizable con sep_multilínea.
espacio_eq
coloca espacios alrededor del = carácter que sigue al nombre del campo.
TEXTO OPCIONES
Además de personalizar el formato de salida del nombre, también es posible personalizar el
campos impresos con el certificado opciones cuando el texto la opción está presente. El valor por defecto
El comportamiento es imprimir todos los campos.
compatible
utilice el formato antiguo. Esto equivale a no especificar ninguna opción de salida.
sin_encabezado
no imprima la información del encabezado: son las líneas que dicen "Certificado" y "Datos".
sin_versión
no imprima el número de versión.
no_serial
no imprima el número de serie.
no_signname
no imprima el algoritmo de firma utilizado.
no_validez
no imprima la validez, esa es la no antes y no después de campos.
sin asunto
no imprima el nombre del sujeto.
no_emisor
no imprima el nombre del emisor.
no_pubkey
no imprima la clave pública.
no_sigdump
no dé un volcado hexadecimal de la firma del certificado.
no_aux
no imprima la información del certificado de confianza.
sin_extensiones
no imprima ninguna extensión X509V3.
ext_default
conservar el comportamiento de extensión predeterminado: intentar imprimir un certificado no compatible
extensiones.
error_ext
imprima un mensaje de error para las extensiones de certificado no admitidas.
ext_parse
ASN1 analiza extensiones no compatibles.
ext_dump
extensiones no admitidas del volcado hexadecimal.
ca_default
el valor utilizado por el ca utilidad, equivalente a no_emisor, no_pubkey, sin_encabezado,
sin_versión, no_sigdump y no_signname.
EJEMPLOS
Nota: en estos ejemplos, el '\' significa que el ejemplo debe estar todo en una línea.
Mostrar el contenido de un certificado:
openssl x509 -in cert.pem -noout -texto
Muestra el número de serie del certificado:
openssl x509 -en cert.pem -noout -serial
Muestra el nombre del sujeto del certificado:
openssl x509 -in cert.pem -noout -subject
Muestre el nombre del sujeto del certificado en formato RFC2253:
openssl x509 -in cert.pem -noout -subject -nameopt RFC2253
Muestre el nombre del sujeto del certificado en forma en línea en un terminal que admita UTF8:
openssl x509 -in cert.pem -noout -subject -nameopt oneline, -esc_msb
Muestre la huella digital del certificado MD5:
openssl x509 -in cert.pem -noout-fingerprint
Muestre la huella digital del certificado SHA1:
openssl x509 -sha1 -in cert.pem -noout-huella digital
Convierta un certificado de formato PEM a DER:
openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
Convierta un certificado en una solicitud de certificado:
openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem
Convierta una solicitud de certificado en un certificado autofirmado usando extensiones para una CA:
openssl x509 -req -in careq.pem -extfile openssl.cnf -extensiones v3_ca \
-signkey key.pem -out cacert.pem
Firme una solicitud de certificado utilizando el certificado CA anterior y agregue el certificado de usuario
extensiones:
openssl x509 -req -in req.pem -extfile openssl.cnf -extensiones v3_usr \
-CA cacert.pem -CAkey key.pem -CAcreateserial
Establezca un certificado que sea de confianza para el uso del cliente SSL y cambie su alias a "Steve's
Clase 1 CA "
openssl x509 -in cert.pem -addtrust clientAuth \
-setalias "CA de clase 1 de Steve" -out trust.pem
NOTAS
El formato PEM utiliza las líneas de encabezado y pie de página:
----- COMIENCE EL CERTIFICADO -----
----- FINALIZAR CERTIFICADO -----
también manejará archivos que contengan:
----- COMIENCE EL CERTIFICADO X509 -----
----- FIN DEL CERTIFICADO X509 -----
Los certificados de confianza tienen las líneas
----- COMIENCE EL CERTIFICADO DE CONFIANZA -----
----- FIN DEL CERTIFICADO DE CONFIANZA -----
La conversión al formato UTF8 usado con las opciones de nombre asume que T61Strings usa el
Conjunto de caracteres ISO8859-1. Esto está mal, pero Netscape y MSIE lo hacen al igual que muchos
Certificados. Entonces, aunque esto es incorrecto, es más probable que muestre la mayoría de
certificados correctamente.
La -huella dactilar La opción toma el resumen del certificado codificado DER. Esto es comúnmente
llamada "huella digital". Debido a la naturaleza del mensaje, digiere la huella digital de un
el certificado es único para ese certificado y dos certificados con la misma huella dactilar
puede considerarse igual.
La huella digital de Netscape usa MD5 mientras que MSIE usa SHA1.
La -correo electrónico La opción busca el nombre del sujeto y la extensión del nombre alternativo del sujeto.
Solo se imprimirán direcciones de correo electrónico únicas: ya no se imprimirá la misma dirección
de una vez
CERTIFICADO AMPLIACIONES
La -objetivo La opción comprueba las extensiones del certificado y determina cuál es el certificado.
se puede utilizar para. Las comprobaciones reales realizadas son bastante complejas e incluyen varios trucos y
Soluciones alternativas para manejar certificados y software rotos.
El mismo código se utiliza al verificar certificados que no son de confianza en cadenas, por lo que esta sección es
útil si el código de verificación rechaza una cadena.
El indicador de CA de extensión basicConstraints se utiliza para determinar si el certificado se puede
utilizado como CA. Si la bandera de CA es verdadera, entonces es una CA, si la bandera de CA es falsa, entonces es
no una CA. VER TODAS Las CA deben tener el indicador CA establecido en verdadero.
Si la extensión basicConstraints está ausente, el certificado se considera un
"posible CA" otras extensiones se comprueban de acuerdo con el uso previsto de la
certificado. Se da una advertencia en este caso porque el certificado realmente no debería ser
Considerado como una CA: sin embargo, se le permite ser una CA para solucionar algunos programas defectuosos.
Si el certificado es un certificado V1 (y por lo tanto no tiene extensiones) y está autofirmado
También se supone que es una CA, pero se vuelve a dar una advertencia: esto es para evitar el
problema de las raíces de Verisign que son certificados autofirmados V1.
Si la extensión keyUsage está presente, se realizan restricciones adicionales sobre los usos de
el certificado. Un certificado de CA deben tener el bit keyCertSign establecido si el keyUsage
la extensión está presente.
La extensión de uso de clave extendida impone restricciones adicionales sobre los usos del certificado.
Si esta extensión está presente (ya sea crítica o no), la clave solo se puede usar para el
fines especificados.
A continuación se ofrece una descripción completa de cada prueba. Los comentarios sobre las restricciones básicas
y los certificados keyUsage y V1 anteriores se aplican a que todas Certificados CA
SSL Portafolio
La extensión de uso de clave extendida debe estar ausente o incluir el "cliente web
autenticación "OID. keyUsage debe estar ausente o debe tener el bit digitalSignature
colocar. El tipo de certificado de Netscape debe estar ausente o debe tener configurado el bit de cliente SSL.
SSL Portafolio CA
La extensión de uso de clave extendida debe estar ausente o incluir el "cliente web
autenticación "OID. El tipo de certificado de Netscape debe estar ausente o debe tener el SSL
Conjunto de bits CA: esto se usa como una solución si la extensión basicConstraints está ausente.
SSL Server
La extensión de uso de clave extendida debe estar ausente o incluir el "servidor web
autenticación "y / o uno de los OID de SGC. keyUsage debe estar ausente o debe tener
digitalSignature, keyEncipherment o ambos bits establecidos. Certificado de Netscape
El tipo debe estar ausente o tener el bit del servidor SSL configurado.
SSL Server CA
La extensión de uso de clave extendida debe estar ausente o incluir el "servidor web
autenticación "y / o uno de los OID SGC. El tipo de certificado de Netscape debe estar ausente
o se debe establecer el bit de CA SSL: esto se usa como una solución si las restricciones básicas
la extensión está ausente.
Netscape SSL Server
Para que los clientes SSL de Netscape se conecten a un servidor SSL, debe tener el cifrado de claves
bit establecido si la extensión keyUsage está presente. Esto no siempre es válido porque algunos
los conjuntos de cifrado utilizan la clave para la firma digital. De lo contrario, es lo mismo que un normal.
Servidor SSL.
Sus Preguntas S / MIME Portafolio Examenes
La extensión de uso de clave extendida debe estar ausente o incluir el OID de "protección de correo electrónico".
El tipo de certificado de Netscape debe estar ausente o debe tener el bit S / MIME establecido. Si el
El bit S / MIME no está configurado en el tipo de certificado netscape, entonces el bit del cliente SSL es
tolerado como una alternativa, pero se muestra una advertencia: esto se debe a que algunos Verisign
los certificados no establecen el bit S / MIME.
S / MIME Firma
Además de las pruebas de cliente S / MIME comunes, el bit digitalSignature debe establecerse si
la extensión keyUsage está presente.
S / MIME Cifrado
Además de las pruebas S / MIME comunes, el bit keyEncipherment debe establecerse si el
La extensión keyUsage está presente.
S / MIME CA
La extensión de uso de clave extendida debe estar ausente o incluir el OID de "protección de correo electrónico".
El tipo de certificado de Netscape debe estar ausente o debe tener el bit S / MIME CA establecido: esto es
se utiliza como solución temporal si la extensión basicConstraints está ausente.
CRL Firma
La extensión keyUsage debe estar ausente o debe tener el bit de firma CRL establecido.
CRL Firma CA
Se aplican las pruebas de CA normales. Excepto en este caso, la extensión basicConstraints debe ser
presente.
Utilice x509ssl en línea utilizando los servicios de onworks.net
