Il s'agit de la commande verifyssl qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks à l'aide de l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
verify - Utilitaire pour vérifier les certificats.
SYNOPSIS
openssl vérifier [-CAchemin annuaire] [-CAfichier filet] [-but but] [-politique arg]
[-ignore_critique] [-au moment horodatage] [-check_ss_sig] [-fichiercrl filet] [-crl_télécharger]
[-crl_check] [-crl_check_all] [-policy_check] [-politique_explicite] [-inhiber_tout]
[-inhibit_map] [-x509_strict] [-extended_crl] [-use_deltas] [-policy_print]
[-no_alt_chains] [-pas de confiance filet] [-Aide] [-émetteur_chèques] [-de confiance filet] [-verbeux] [-]
[certificats]
DESCRIPTION
Le vérifier La commande vérifie les chaînes de certificats.
COMMAND OPTIONS
-CAchemin annuaire
Un répertoire de certificats de confiance. Les certificats doivent avoir des noms de la forme :
hash.0 ou avoir des liens symboliques vers eux de cette forme ("hash" est le certificat haché
nom du sujet : voir le -hacher choix du x509 utilitaire). Sous Unix le c_ressaisir
script créera automatiquement des liens symboliques vers un répertoire de certificats.
-CAfichier filet Un fichier de certificats de confiance. Le fichier doit contenir plusieurs certificats
au format PEM concaténés ensemble.
-au moment horodatage
Effectuer des contrôles de validation en utilisant le temps spécifié par horodatage et non système actuel
le temps. horodatage est le nombre de secondes depuis le 01.01.1970 (heure UNIX).
-check_ss_sig
Vérifiez la signature sur l'autorité de certification racine auto-signée. Ceci est désactivé par défaut car
cela n'ajoute aucune sécurité.
-fichiercrl filet
Fichier contenant une ou plusieurs CRL (au format PEM) à charger.
-crl_télécharger
Essayez de télécharger les informations CRL pour ce certificat.
-crl_check
Vérifie la validité du certificat d'entité de fin en tentant de rechercher une liste de révocation de certificats valide. Si un
CRL valide est introuvable, une erreur se produit.
-pas de confiance filet
Un fichier de certificats non fiables. Le fichier doit contenir plusieurs certificats dans PEM
format concaténé ensemble.
-but but
L'utilisation prévue du certificat. Si cette option n'est pas spécifiée, vérifier ne sera pas
tenir compte de l'objectif du certificat lors de la vérification de la chaîne. Les utilisations actuellement acceptées sont
client ssl, serveur ssl, serveur nsssl, smimedesign, smimecrypter. Voir l' VÉRIFIER FONCTIONNEMENT
section pour plus d'informations.
-Aide
Imprimez un message d'utilisation.
-verbeux
Imprimez des informations supplémentaires sur les opérations en cours.
-émetteur_chèques
Imprimer les diagnostics relatifs aux recherches du certificat émetteur du courant
certificat. Cela montre pourquoi chaque certificat d'émetteur candidat a été rejeté. Les
la présence de messages de rejet n'implique pas en soi que quelque chose ne va pas ; pendant
le processus normal de vérification, plusieurs rejets peuvent avoir lieu.
-politique arg
Activer le traitement des stratégies et ajouter arg au user-initial-policy-set (voir RFC5280). Les
politique arg peut être un nom d'objet un OID sous forme numérique. Cet argument peut apparaître
plus d'une fois.
-policy_check
Active le traitement de la stratégie de certificat.
-politique_explicite
Définissez la variable de politique require-explicit-policy (voir RFC5280).
-inhiber_tout
Définissez la variable de politique inhibit-any-policy (voir RFC5280).
-inhibit_map
Définissez la variable de politique inhibit-policy-mapping (voir RFC5280).
-no_alt_chains
Lors de la construction d'une chaîne de certificats, si la première chaîne de certificats trouvée n'est pas
de confiance, alors OpenSSL continuera à vérifier si une chaîne alternative peut être
trouvé qui est digne de confiance. Avec cette option, ce comportement est supprimé de sorte que seul le
la première chaîne trouvée est jamais utilisée. L'utilisation de cette option forcera le comportement à correspondre
celui des versions précédentes d'OpenSSL.
-de confiance filet
Un fichier de certificats de confiance supplémentaires. Le fichier doit contenir plusieurs
certificats au format PEM concaténés entre eux.
-policy_print
Imprimez les diagnostics liés au traitement des stratégies.
-crl_check
Vérifie la validité du certificat d'entité de fin en tentant de rechercher une liste de révocation de certificats valide. Si un
CRL valide est introuvable, une erreur se produit.
-crl_check_all
Vérifie la validité de tous certificats dans la chaîne en essayant de rechercher des certificats valides
CRL.
-ignore_critique
Normalement, si une extension critique non gérée est présente qui n'est pas prise en charge par
OpenSSL le certificat est rejeté (comme requis par RFC5280). Si cette option est définie
les extensions critiques sont ignorées.
-x509_strict
Pour une conformité X.509 stricte, désactivez les solutions de contournement non conformes pour les
certificats.
-extended_crl
Activez les fonctionnalités CRL étendues telles que les CRL indirectes et les clés de signature de CRL alternatives.
-use_deltas
Activer la prise en charge des listes de révocation de certificats delta.
-check_ss_sig
Vérifiez la signature sur l'autorité de certification racine auto-signée. Ceci est désactivé par défaut car
cela n'ajoute aucune sécurité.
- Indique la dernière option. Tous les arguments qui suivent sont supposés être un certificat
des dossiers. Ceci est utile si le premier nom de fichier du certificat commence par un -.
certificats
Un ou plusieurs certificats à vérifier. Si aucun certificat n'est délivré, vérifier va tenter
pour lire un certificat à partir d'une entrée standard. Les certificats doivent être au format PEM.
VÉRIFIER FONCTIONNEMENT
Le vérifier programme utilise les mêmes fonctions que la vérification interne SSL et S/MIME,
par conséquent, cette description s'applique également à ces opérations de vérification.
Il existe une différence cruciale entre les opérations de vérification effectuées par le vérifier
programme : dans la mesure du possible, une tentative est faite pour continuer après une erreur alors que normalement
l'opération de vérification s'arrêterait à la première erreur. Cela permet à tous les problèmes avec un
chaîne de certificats à déterminer.
L'opération de vérification consiste en un certain nombre d'étapes distinctes.
Premièrement, une chaîne de certificats est construite à partir du certificat fourni et se termine
dans l'autorité de certification racine. C'est une erreur si toute la chaîne ne peut pas être construite. La chaîne est construite
en recherchant le certificat des émetteurs du certificat actuel. Si un certificat est
trouvé qui est son propre émetteur, il est supposé être l'autorité de certification racine.
Le processus de « recherche du certificat de l'émetteur » lui-même comporte un certain nombre d'étapes. Dans
versions d'OpenSSL antérieures à la 0.9.5a le premier certificat dont le nom de sujet correspond au
l'émetteur du certificat actuel a été supposé être le certificat de l'émetteur. En OpenSSL
0.9.6 et versions ultérieures tous les certificats dont le nom du sujet correspond au nom de l'émetteur du
certificat sont soumis à des tests supplémentaires. Les composants pertinents de l'identifiant de la clé d'autorité
du certificat actuel (le cas échéant) doit correspondre à l'identifiant de la clé du sujet (le cas échéant)
et l'émetteur et le numéro de série de l'émetteur candidat, en plus de l'extension keyUsage
de l'émetteur candidat (le cas échéant) doit autoriser la signature du certificat.
La recherche regarde d'abord dans la liste des certificats non approuvés et si aucune correspondance n'est trouvée, le
les recherches restantes proviennent des certificats de confiance. L'autorité de certification racine est toujours recherchée dans
la liste des certificats de confiance : si le certificat à vérifier est un certificat racine alors un
la correspondance exacte doit être trouvée dans la liste de confiance.
La deuxième opération consiste à vérifier la cohérence de chaque extension de certificat non fiable
avec le but fourni. Si la -but l'option n'est pas incluse, aucune vérification n'est effectuée.
Le certificat fourni ou "feuille" doit avoir des extensions compatibles avec le certificat fourni
but et tous les autres certificats doivent également être des certificats CA valides. Le précis
les extensions requises sont décrites plus en détail dans le CERTIFICAT EXTENSIONS l'article de
le x509 utilitaire.
La troisième opération consiste à vérifier les paramètres de confiance sur l'autorité de certification racine. L'autorité de certification racine doit être
digne de confiance pour l'usage prévu. Pour la compatibilité avec les versions précédentes de SSLeay et
OpenSSL, un certificat sans paramètres de confiance est considéré comme valide à toutes fins utiles.
L'opération finale consiste à vérifier la validité de la chaîne de certificats. La période de validité
est comparé à l'heure système actuelle et aux dates notBefore et notAfter dans le
certificat. Les signatures de certificat sont également vérifiées à ce stade.
Si toutes les opérations se terminent avec succès, le certificat est considéré comme valide. Si seulement
l'opération échoue, le certificat n'est pas valide.
DIAGNOSTIC
Lorsqu'une opération de vérification échoue, les messages de sortie peuvent être quelque peu énigmatiques. Le général
la forme du message d'erreur est :
server.pem : /C=AU/ST=Queensland/O=CryptSoft Pty Ltd/CN=Test CA (1024 bits)
erreur 24 à 1 recherche de profondeur:certificat CA invalide
La première ligne contient le nom du certificat en cours de vérification suivi du sujet
nom du certificat. La deuxième ligne contient le numéro d'erreur et la profondeur. Les
la profondeur est le numéro du certificat en cours de vérification lorsqu'un problème a été détecté en commençant
avec zéro pour le certificat en cours de vérification puis 1 pour l'AC qui a signé le
certificat et ainsi de suite. Enfin, une version texte du numéro d'erreur est présentée.
Une liste exhaustive des codes d'erreur et des messages est présentée ci-dessous, cela inclut également les
nom du code d'erreur tel que défini dans le fichier d'en-tête x509_vfy.h Certains des codes d'erreur
sont définis mais jamais retournés : ils sont décrits comme "inutilisés".
0 X509_V_OK : ok
l'opération a réussi.
2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT : incapable à obtenez émetteur certificat
le certificat de l'émetteur d'un certificat recherché est introuvable. Ceci normalement
signifie que la liste des certificats de confiance n'est pas complète.
3 X509_V_ERR_UNABLE_TO_GET_CRL : incapable à obtenez certificat CRL
la CRL d'un certificat n'a pas pu être trouvée.
4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE : incapable à décrypter certificat Signature
la signature du certificat n'a pas pu être déchiffrée. Cela signifie que la signature réelle
la valeur n'a pas pu être déterminée plutôt qu'elle ne correspond pas à la valeur attendue, c'est
significatif uniquement pour les clés RSA.
5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE : incapable à décrypter CRL Signature
la signature CRL n'a pas pu être déchiffrée : cela signifie que la valeur réelle de la signature
n'a pas pu être déterminé plutôt qu'il ne correspond pas à la valeur attendue. Inutilisé.
6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY : incapable à décoder émetteur public clé
la clé publique dans le certificat SubjectPublicKeyInfo n'a pas pu être lue.
7 X509_V_ERR_CERT_SIGNATURE_FAILURE : certificat Signature échec
la signature du certificat est invalide.
8 X509_V_ERR_CRL_SIGNATURE_FAILURE : CRL Signature échec
la signature du certificat est invalide.
9 X509_V_ERR_CERT_NOT_YET_VALID : certificat is pas encore Info de contact.
le certificat n'est pas encore valide : la date notBefore est postérieure à l'heure actuelle.
10 X509_V_ERR_CERT_HAS_EXPIRED : certificat a expiré
le certificat a expiré : c'est-à-dire que la date notAfter est antérieure à l'heure actuelle.
11 X509_V_ERR_CRL_NOT_YET_VALID : CRL is pas encore Info de contact.
la CRL n'est pas encore valide.
12 X509_V_ERR_CRL_HAS_EXPIRED : CRL a expiré
la liste de révocation de certificats a expiré.
13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD : le format erreur in certificat pas avant
champ
le champ certificate notBefore contient une heure invalide.
14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD : le format erreur in certificat pas après champ
le champ certificate notAfter contient une heure invalide.
15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD : le format erreur in CRL dernière mise à jour champ
le champ CRL lastUpdate contient une heure non valide.
16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD : le format erreur in CRL suivantMise à jour champ
le champ CRL nextUpdate contient une heure non valide.
17 X509_V_ERR_OUT_OF_MEM : ande of Mémoire
une erreur s'est produite lors de la tentative d'allocation de mémoire. Cela ne devrait jamais arriver.
18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT : soi signé certificat
le certificat réussi est auto-signé et le même certificat ne peut pas être trouvé dans le
liste des certificats de confiance.
19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN : soi signé certificat in certificat chaîne
la chaîne de certificats pourrait être construite à l'aide des certificats non fiables, mais la racine
n'a pas pu être trouvé localement.
20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY : incapable à obtenez locales émetteur certificat
le certificat de l'émetteur est introuvable : cela se produit si le certificat de l'émetteur d'un
le certificat non approuvé est introuvable.
21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE : incapable à vérifier le premier certificat
aucune signature n'a pu être vérifiée car la chaîne ne contient qu'un seul certificat et il
n'est pas auto-signé.
22 X509_V_ERR_CERT_CHAIN_TOO_LONG : certificat chaîne trop Long
la longueur de la chaîne du certificat est supérieure à la profondeur maximale fournie. Inutilisé.
23 X509_V_ERR_CERT_REVOKED : certificat révoqué
le certificat a été révoqué.
24 X509_V_ERR_INVALID_CA : invalide CA certificat
un certificat CA n'est pas valide. Soit ce n'est pas une CA, soit ses extensions ne le sont pas
compatible avec le but fourni.
25 X509_V_ERR_PATH_LENGTH_EXCEEDED : chemin longueur contrainte dépassé
le paramètre de longueur de chemin basicConstraints a été dépassé.
26 X509_V_ERR_INVALID_PURPOSE : non pris en charge certificat but
le certificat fourni ne peut pas être utilisé aux fins spécifiées.
27 X509_V_ERR_CERT_UNTRUSTED : certificat pas confiance
l'autorité de certification racine n'est pas marquée comme approuvée pour l'objectif spécifié.
28 X509_V_ERR_CERT_REJECTÉ : certificat rejeté
l'autorité de certification racine est marquée pour rejeter l'objectif spécifié.
29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH : sujet émetteur décalage
le certificat de l'émetteur candidat actuel a été rejeté parce que son nom de sujet n'a pas
correspond au nom de l'émetteur du certificat actuel. Affiché uniquement lorsque le
-émetteur_chèques l'option est définie.
30 X509_V_ERR_AKID_SKID_MISMATCH : autorité et sujet clé identifiant décalage
le certificat de l'émetteur candidat actuel a été rejeté car sa clé de sujet
l'identifiant était présent et ne correspondait pas à l'identifiant de la clé d'autorité actuel
certificat. Affiché uniquement lorsque le -émetteur_chèques l'option est définie.
31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH : autorité et émetteur en série nombre décalage
le certificat d'émetteur candidat actuel a été rejeté parce que son nom d'émetteur et
le numéro de série était présent et ne correspondait pas à l'identifiant de la clé d'autorité du
certificat actuel. Affiché uniquement lorsque le -émetteur_chèques l'option est définie.
32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN:clé usage ne pas comprennent certificat signature
le certificat de l'émetteur candidat actuel a été rejeté car son extension keyUsage
ne permet pas la signature de certificat.
50 X509_V_ERR_APPLICATION_VERIFICATION : application vérification échec
une erreur spécifique à l'application. Inutilisé.
Utilisez verifyssl en ligne à l'aide des services onworks.net
