Ini adalah perintah ocsptool yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa workstation online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
alat ocsptool - Alat OCSP GnuTLS
RINGKASAN
alat ocsptool [-bendera] [-bendera [nilai]] [--nama-pilihan[[=| ]nilai]]
Semua argumen harus berupa opsi.
DESKRIPSI
Ocsptool adalah program yang dapat mengurai dan mencetak informasi tentang permintaan/tanggapan OCSP,
menghasilkan permintaan dan memverifikasi tanggapan.
PILIHAN
-d jumlah, --debug=jumlah
Aktifkan debug. Opsi ini mengambil bilangan bulat sebagai argumennya. Nilai
of jumlah dibatasi menjadi:
dalam kisaran 0 hingga 9999
Menentukan tingkat debug.
-V, --bertele-tele
Lebih banyak keluaran verbose. Opsi ini mungkin muncul dalam jumlah yang tidak terbatas.
--masuk=fillet
Berkas masukan.
--file keluar=string
Berkas keluaran.
--bertanya [=Server nama|url]
Tanyakan server OCSP/HTTP tentang validitas sertifikat. Opsi ini harus muncul di
kombinasi dengan opsi berikut: load-cert, load-issuer.
Menghubungkan ke server HTTP OCSP yang ditentukan dan menanyakan validitas
sertifikat yang dimuat.
-e, --verifikasi-tanggapan
Verifikasi tanggapan.
-i, --permintaan-info
Cetak informasi pada permintaan OCSP.
-j, --respon-info
Mencetak informasi tentang respons OCSP.
-q, --generate-permintaan
Buat permintaan OCSP.
--tidak pernah, - Fl -tidak-nonce
Gunakan (atau tidak) nonce untuk permintaan OCSP. NS tidak pernah formulir akan menonaktifkan opsi.
--load-penerbit=fillet
Baca sertifikat penerbit dari file.
--beban-sertifikat=fillet
Baca sertifikat untuk memeriksa dari file.
--beban-kepercayaan=fillet
Baca jangkar kepercayaan OCSP dari file. Opsi ini tidak boleh muncul bersamaan dengan
salah satu opsi berikut: load-signer.
--beban-penandatangan=fillet
Baca penanda respons OCSP dari file. Opsi ini tidak boleh muncul dalam kombinasi
dengan salah satu opsi berikut: load-trust.
--inder, - Fl -tanpa-inder
Gunakan format DER untuk sertifikat input dan kunci pribadi. NS tidak ada apa-apanya bentuk kemauan
menonaktifkan opsi.
-Q fillet, --load-permintaan=fillet
Baca permintaan OCSP yang disandikan DER dari file.
-S fillet, --load-respons=fillet
Baca respons OCSP yang disandikan DER dari file.
-h, --membantu
Tampilkan informasi penggunaan dan keluar.
-!, --lebih-membantu
Lewati informasi penggunaan yang diperpanjang melalui pager.
-v [{v|c|n --Versi: kapan [{v|c|n}]}]
Versi keluaran program dan keluar. Modus default adalah `v', versi sederhana.
Mode `c' akan mencetak informasi hak cipta dan `n' akan mencetak hak cipta penuh
melihat.
CONTOH
Mencetak informasi tentang an OKSP permintaan
Untuk mengurai permintaan OCSP dan mencetak informasi tentang konten, tombol -i or --permintaan-info
parameter dapat digunakan sebagai berikut. NS -Q parameter tentukan nama file
berisi permintaan OCSP, dan harus berisi permintaan OCSP dalam format DER biner.
$ ocsptool -i -Q ocsp-request.der
File input juga dapat dikirim ke input standar seperti ini:
$cat ocsp-request.der | ocsptool --request-info
Mencetak informasi tentang an OKSP tanggapan
Mirip dengan parsing permintaan OCSP, tanggapan OCSP dapat diuraikan menggunakan -j or
--respon-info sebagai berikut.
$ ocsptool -j -Q ocsp-response.der
$cat ocsp-response.der | ocsptool --respons-info
Menghasilkan an OKSP permintaan
-q or --generate-permintaan parameter digunakan untuk menghasilkan permintaan OCSP. Secara default
permintaan OCSP ditulis ke output standar dalam format DER biner, tetapi dapat disimpan dalam
file menggunakan --file keluar. Untuk menghasilkan permintaan OCSP, penerbit sertifikat untuk
cek harus ditentukan dengan --load-penerbit dan sertifikat untuk diperiksa
--beban-sertifikat. Secara default, format PEM digunakan untuk file-file ini, meskipun --inder dapat digunakan
untuk menentukan bahwa file input dalam format DER.
$ ocsptool -q --load-issuer issuer.pem --load-cert client.pem --outfile ocsp-request.der
Saat membuat permintaan OCSP, alat akan menambahkan ekstensi OCSP yang berisi nonce.
Perilaku ini dapat dinonaktifkan dengan menentukan --tidak-nonce.
Memeriksa tanda tangan in OKSP tanggapan
Untuk memverifikasi tanda tangan dalam respons OCSP, -e or --verifikasi-tanggapan parameter digunakan.
Alat ini akan membaca respons OCSP dalam format DER dari input standar, atau dari file
ditentukan oleh --load-respons. Tanggapan OCSP diverifikasi terhadap serangkaian kepercayaan
jangkar, yang ditentukan menggunakan --beban-kepercayaan. Jangkar kepercayaan digabungkan
sertifikat dalam format PEM. Sertifikat yang menandatangani tanggapan OCSP harus ada di
set jangkar kepercayaan, atau penerbit sertifikat penandatangan harus ada di set
jangkar kepercayaan dan bit Penggunaan Kunci Diperpanjang OCSP harus ditegaskan di penandatangan
sertifikat.
$ ocsptool -e --load-trust issuer.pem --load-response ocsp-response.der
Alat akan mencetak status verifikasi.
Memeriksa tanda tangan in OKSP tanggapan terhadap diberikan sertifikat
Dimungkinkan untuk mengganti logika kepercayaan normal jika Anda mengetahui bahwa sertifikat tertentu
seharusnya telah menandatangani tanggapan OCSP, dan Anda ingin menggunakannya untuk memeriksa
tanda tangan. Ini dicapai dengan menggunakan --beban-penandatangan alih-alih --beban-kepercayaan. Ini akan memuat
satu sertifikat dan itu akan digunakan untuk memverifikasi tanda tangan dalam respons OCSP. Itu akan
tidak memeriksa bit Penggunaan Kunci yang Diperpanjang.
$ ocsptool -e --load-signer ocsp-signer.pem --load-response ocsp-response.der
Pendekatan ini biasanya hanya relevan dalam dua situasi. Yang pertama adalah ketika OCSP
tanggapan tidak berisi salinan sertifikat penandatangan, sehingga --beban-kepercayaan kode akan
gagal. Yang kedua adalah jika Anda ingin menghindari mode tidak langsung di mana penanda respons OCSP
sertifikat ditandatangani oleh jangkar kepercayaan.
Dunia nyata contoh
Berikut adalah contoh cara membuat permintaan OCSP untuk sertifikat dan memverifikasi
tanggapan. Sebagai ilustrasi kita akan menggunakan blog.josefsson.org host, yang (pada saat penulisan)
menggunakan sertifikat dari CACert. Pertama kita akan menggunakan gnutls-cli untuk mendapatkan salinan server
rantai sertifikat. Server tidak diharuskan untuk mengirim informasi ini, tetapi ini
tertentu dikonfigurasi untuk melakukannya.
$ gema | gnutls-cli -p 443 blog.josefsson.org --print-cert > chain.pem
Gunakan editor teks di rantai.pem untuk membuat tiga file untuk setiap sertifikat terpisah,
bernama sertifikat.pem untuk sertifikat pertama untuk domain itu sendiri, kedua penerbit.pem untuk
sertifikat perantara dan root.pem untuk sertifikat root akhir.
Sertifikat domain biasanya berisi penunjuk ke tempat penanggap OCSP berada,
dalam ekstensi Informasi Akses Informasi Otoritas. Misalnya dari alat sertifikat -i
< sertifikat.pem ada informasi ini:
Informasi Akses Informasi Otoritas (tidak kritis):
Metode Akses: 1.3.6.1.5.5.7.48.1 (id-ad-ocsp)
Akses Lokasi URI: http://ocsp.CAcert.org/
Ini berarti CA mendukung kueri OCSP melalui HTTP. Kami sekarang siap untuk membuat OCSP
permintaan sertifikat.
$ ocsptool --ask ocsp.CAcert.org --load-issuer issuer.pem --load-cert cert.pem --outfile ocsp-response.der
Permintaan dikirim melalui HTTP ke alamat server OCSP yang ditentukan. Jika alamatnya adalah
ocsptool yang dihilangkan akan menggunakan alamat yang disimpan dalam sertifikat.
EXIT STATUS
Salah satu dari nilai keluar berikut akan dikembalikan:
0 (KELUAR_SUKSES)
Eksekusi program sukses.
1 (EXIT_FAILURE)
Operasi gagal atau sintaks perintah tidak valid.
70 (EX_PERANGKAT LUNAK)
libopts mengalami kesalahan operasional internal. Tolong laporkan ke autogen-
[email dilindungi]. Terima kasih.
Gunakan ocsptool online menggunakan layanan onworks.net
