यह कमांड ocsptool है जिसे हमारे कई मुफ्त ऑनलाइन वर्कस्टेशन जैसे कि उबंटू ऑनलाइन, फेडोरा ऑनलाइन, विंडोज ऑनलाइन एमुलेटर या मैक ओएस ऑनलाइन एमुलेटर का उपयोग करके ऑनवर्क्स फ्री होस्टिंग प्रदाता में चलाया जा सकता है।
कार्यक्रम:
नाम
ocsptool - जीएनयूटीएलएस ओसीएसपी उपकरण
SYNOPSIS
ocsptool [-फलों का] [-झंडा [मूल्य]] [--विकल्प-नाम[[=| ]मूल्य]]
सभी तर्क विकल्प होने चाहिए।
वर्णन
Ocsptool एक प्रोग्राम है जो OCSP अनुरोधों/प्रतिक्रियाओं के बारे में जानकारी को पार्स और प्रिंट कर सकता है,
अनुरोध उत्पन्न करें और प्रतिक्रियाओं को सत्यापित करें।
विकल्प
-d संख्या, - दाढ़=संख्या
डिबगिंग सक्षम करें। यह विकल्प अपने तर्क के रूप में एक पूर्णांक संख्या लेता है। महत्व
of संख्या होने के लिए विवश है:
0 से 9999 . की सीमा में
डिबग स्तर निर्दिष्ट करता है।
-V, --शब्दशः
अधिक वर्बोज़ आउटपुट। यह विकल्प असीमित बार प्रकट हो सकता है।
--फाइल मैं=पट्टिका
इनपुट फ़ाइल।
--आउटफाइल=स्ट्रिंग
निर्गम संचिका।
--पूछना [=सर्वर नाम|यूआरएल]
प्रमाणपत्र की वैधता के बारे में OCSP/HTTP सर्वर से पूछें। यह विकल्प अवश्य दिखना चाहिए
निम्नलिखित विकल्पों के साथ संयोजन: लोड-प्रमाणपत्र, लोड-जारीकर्ता।
निर्दिष्ट HTTP OCSP सर्वर से जुड़ता है और इसकी वैधता पर प्रश्न पूछता है
भरा हुआ प्रमाणपत्र.
-e, --सत्यापित-प्रतिक्रिया
प्रतिक्रिया सत्यापित करें.
-i, --अनुरोध जानकारी
OCSP अनुरोध पर जानकारी प्रिंट करें।
-j, --प्रतिक्रिया-जानकारी
OCSP प्रतिक्रिया पर जानकारी प्रिंट करें।
-q, --उत्पन्न-अनुरोध
OCSP अनुरोध जनरेट करें.
--नहीं, - Fl -नहीं-नहीं
OCSP अनुरोध के लिए एक नॉन का उपयोग करें (या नहीं)। नहीं-नहीं फॉर्म विकल्प को निष्क्रिय कर देगा।
--लोड-जारीकर्ता=पट्टिका
फ़ाइल से जारीकर्ता प्रमाणपत्र पढ़ें.
--लोड-प्रमाणपत्र=पट्टिका
फ़ाइल से जाँचने के लिए प्रमाणपत्र पढ़ें।
--लोड-भरोसा=पट्टिका
फ़ाइल से OCSP ट्रस्ट एंकर पढ़ें। यह विकल्प इनके संयोजन में नहीं दिखना चाहिए
निम्नलिखित में से कोई भी विकल्प: लोड-साइनर।
--लोड-हस्ताक्षरकर्ता=पट्टिका
फ़ाइल से ओसीएसपी प्रतिक्रिया हस्ताक्षरकर्ता पढ़ें। यह विकल्प संयोजन में नहीं दिखना चाहिए
निम्नलिखित विकल्पों में से किसी के साथ: लोड-ट्रस्ट।
--इंदर, - Fl -नो-इंदर
इनपुट प्रमाणपत्र और निजी कुंजी के लिए डीईआर प्रारूप का उपयोग करें। नो-इंदर फॉर्म विल
विकल्प को अक्षम करें।
-Q पट्टिका, --लोड-अनुरोध=पट्टिका
फ़ाइल से DER एन्कोडेड OCSP अनुरोध पढ़ें।
-S पट्टिका, --लोड-प्रतिक्रिया=पट्टिका
फ़ाइल से DER एन्कोडेड OCSP प्रतिक्रिया पढ़ें।
-h, --मदद
उपयोग की जानकारी प्रदर्शित करें और बाहर निकलें।
-!, --और अधिक सहायता
एक पेजर के माध्यम से विस्तारित उपयोग की जानकारी पास करें।
-v [{वी|सी|एन --संस्करण [{वी|सी|एन}]}]
प्रोग्राम का आउटपुट संस्करण और बाहर निकलें। डिफ़ॉल्ट मोड `v' है, जो एक साधारण संस्करण है।
'सी' मोड कॉपीराइट जानकारी प्रिंट करेगा और 'एन' पूर्ण कॉपीराइट प्रिंट करेगा
नोटिस।
उदाहरण
छाप करें- के बारे में an ओसीएसपी का अनुरोध
OCSP अनुरोध को पार्स करने और सामग्री के बारे में जानकारी प्रिंट करने के लिए, -i or --अनुरोध जानकारी
पैरामीटर का उपयोग निम्नानुसार किया जा सकता है। -Q पैरामीटर फ़ाइल का नाम निर्दिष्ट करें
जिसमें OCSP अनुरोध हो, और इसमें बाइनरी DER प्रारूप में OCSP अनुरोध शामिल होना चाहिए।
$ ocsptool -i -Q ocsp-request.der
इनपुट फ़ाइल को इस प्रकार मानक इनपुट पर भी भेजा जा सकता है:
$ बिल्ली ocsp-request.der | ocsptool--अनुरोध-जानकारी
छाप करें- के बारे में an ओसीएसपी प्रतिक्रिया
OCSP अनुरोधों को पार्स करने के समान, OCSP प्रतिक्रियाओं को इसका उपयोग करके पार्स किया जा सकता है -j or
--प्रतिक्रिया-जानकारी निम्नलिखित नुसार।
$ ocsptool -j -Q ocsp-response.der
$ cat ocsp-response.der | ocsptool --प्रतिक्रिया-जानकारी
उत्पन्न करें an ओसीएसपी का अनुरोध
RSI -q or --उत्पन्न-अनुरोध OCSP अनुरोध उत्पन्न करने के लिए पैरामीटर का उपयोग किया जाता है। डिफ़ॉल्ट रूप से
ओसीएसपी अनुरोध बाइनरी डीईआर प्रारूप में मानक आउटपुट के लिए लिखा गया है, लेकिन इसमें संग्रहीत किया जा सकता है
एक फ़ाइल का उपयोग कर रहा हूँ --आउटफाइल. ओसीएसपी उत्पन्न करने के लिए प्रमाणपत्र जारीकर्ता से अनुरोध करें
चेक को निर्दिष्ट करने की आवश्यकता है --लोड-जारीकर्ता और जांचने के लिए प्रमाणपत्र
--लोड-प्रमाणपत्र. हालाँकि, इन फ़ाइलों के लिए डिफ़ॉल्ट रूप से PEM प्रारूप का उपयोग किया जाता है --इंदर इस्तेमाल किया जा सकता है
यह निर्दिष्ट करने के लिए कि इनपुट फ़ाइलें डीईआर प्रारूप में हैं।
$ ocsptool -q --लोड-जारीकर्ता जारीकर्ता.pem --load-cert client.pem --outfile ocsp-request.der
OCSP अनुरोध उत्पन्न करते समय, टूल एक OCSP एक्सटेंशन जोड़ देगा जिसमें एक नॉन शामिल होगा।
निर्दिष्ट करके इस व्यवहार को अक्षम किया जा सकता है --नहीं-नहीं.
सत्यापित करें हस्ताक्षर in ओसीएसपी प्रतिक्रिया
OCSP प्रतिक्रिया में हस्ताक्षर सत्यापित करने के लिए -e or --सत्यापित-प्रतिक्रिया पैरामीटर का उपयोग किया जाता है.
उपकरण मानक इनपुट से या फ़ाइल से डीईआर प्रारूप में ओसीएसपी प्रतिक्रिया पढ़ेगा
इसके द्वारा निर्दिष्ट --लोड-प्रतिक्रिया. OCSP प्रतिक्रिया को विश्वास के एक समूह के विरुद्ध सत्यापित किया जाता है
एंकर, जिनका उपयोग करके निर्दिष्ट किया जाता है --लोड-भरोसा. ट्रस्ट एंकरों को संयोजित किया गया है
पीईएम प्रारूप में प्रमाण पत्र। OCSP प्रतिक्रिया पर हस्ताक्षर करने वाला प्रमाणपत्र होना आवश्यक है
ट्रस्ट एंकर का सेट, या हस्ताक्षरकर्ता प्रमाणपत्र जारीकर्ता का सेट में होना आवश्यक है
हस्ताक्षरकर्ता में ट्रस्ट एंकर और ओसीएसपी विस्तारित कुंजी उपयोग बिट का दावा करना होगा
प्रमाण पत्र।
$ ocsptool -e --लोड-ट्रस्ट जारीकर्ता.pem --लोड-प्रतिक्रिया ocsp-response.der
टूल सत्यापन की स्थिति प्रिंट करेगा।
सत्यापित करें हस्ताक्षर in ओसीएसपी प्रतिक्रिया के खिलाफ दी प्रमाण पत्र
यदि आप जानते हैं कि एक निश्चित प्रमाणपत्र है तो सामान्य ट्रस्ट तर्क को ओवरराइड करना संभव है
माना जाता है कि उसने ओसीएसपी प्रतिक्रिया पर हस्ताक्षर किए हैं, और आप इसका उपयोग इसकी जांच के लिए करना चाहते हैं
हस्ताक्षर। इसका प्रयोग करके यह हासिल किया जाता है --लोड-हस्ताक्षरकर्ता के बजाय --लोड-भरोसा. यह लोड हो जाएगा
एक प्रमाणपत्र और इसका उपयोग OCSP प्रतिक्रिया में हस्ताक्षर को सत्यापित करने के लिए किया जाएगा। यह
विस्तारित कुंजी उपयोग बिट की जाँच न करें।
$ ocsptool -e --load-signer ocsp-signer.pem --load-प्रतिक्रिया ocsp-response.der
यह दृष्टिकोण आम तौर पर केवल दो स्थितियों में ही प्रासंगिक है। पहला है जब OCSP
प्रतिक्रिया में हस्ताक्षरकर्ता प्रमाणपत्र की प्रति शामिल नहीं है, इसलिए --लोड-भरोसा कोड होगा
असफल। दूसरा यह है कि यदि आप अप्रत्यक्ष मोड से बचना चाहते हैं जहां ओसीएसपी प्रतिक्रिया हस्ताक्षरकर्ता है
प्रमाणपत्र पर ट्रस्ट एंकर द्वारा हस्ताक्षर किए जाते हैं।
असली दुनिया उदाहरण
किसी प्रमाणपत्र के लिए OCSP अनुरोध कैसे जनरेट करें और उसे सत्यापित कैसे करें, इसका एक उदाहरण यहां दिया गया है
प्रतिक्रिया। उदाहरण के लिए हम इसका उपयोग करेंगे blog.josefsson.org मेज़बान, जो (लेखन के समय)
CACert से प्रमाणपत्र का उपयोग करता है। पहले हम प्रयोग करेंगे नटल्स-क्ली सर्वर की एक प्रति प्राप्त करने के लिए
प्रमाणपत्र श्रृंखला. सर्वर को यह जानकारी भेजने की आवश्यकता नहीं है, लेकिन यह
विशेष को ऐसा करने के लिए कॉन्फ़िगर किया गया है।
$ प्रतिध्वनि | gnutls-cli -p 443 blog.josefsson.org --print-cert > चेन.पेम
पर एक टेक्स्ट एडिटर का उपयोग करें चेन.पेम प्रत्येक अलग प्रमाणपत्र के लिए तीन फ़ाइलें बनाने के लिए,
बुलाया सर्ट.पेम पहले डोमेन के लिए प्रमाणपत्र के लिए, दूसरे जारीकर्ता.pem एसटी
मध्यवर्ती प्रमाणपत्र और रूट.पेम अंतिम रूट प्रमाणपत्र के लिए.
डोमेन प्रमाणपत्र में आम तौर पर एक सूचक होता है जहां OCSP उत्तरदाता स्थित होता है,
प्राधिकरण सूचना पहुँच सूचना विस्तार में। उदाहरण के लिए, से सर्टटूल -i
< सर्ट.पेम यह जानकारी है:
प्राधिकारी सूचना पहुँच सूचना (महत्वपूर्ण नहीं):
पहुँच विधि: 1.3.6.1.5.5.7.48.1 (id-ad-ocsp)
स्थान यूआरआई तक पहुंचें: http://ocsp.CAcert.org/
इसका मतलब है कि CA HTTP पर OCSP क्वेरीज़ का समर्थन करता है। अब हम OCSP बनाने के लिए तैयार हैं
प्रमाणपत्र के लिए अनुरोध.
$ ocsptool --ask ocsp.CAcert.org --लोड-जारीकर्ता जारीकर्ता.pem --load-cert cert.pem --outfile ocsp-response.der
अनुरोध HTTP के माध्यम से निर्दिष्ट OCSP सर्वर पते पर भेजा जाता है। यदि पता है
छोड़े गए ocsptool प्रमाणपत्र में संग्रहीत पते का उपयोग करेगा।
बाहर निकलें स्थिति
निम्नलिखित निकास मानों में से एक लौटाया जाएगा:
0 (EXIT_SUCCESS)
कार्यक्रम का सफल निष्पादन।
1 (EXIT_FAILURE)
कार्रवाई विफल रही या कमांड सिंटैक्स मान्य नहीं था।
70 (EX_सॉफ़्टवेयर)
libopts में एक आंतरिक परिचालन त्रुटि थी। कृपया इसे ऑटोजेन को रिपोर्ट करें-
[ईमेल संरक्षित]. धन्यवाद.
onworks.net सेवाओं का उपयोग करके ऑनलाइन ocsptool का उपयोग करें
