Ini adalah perintah verifikasissl yang dapat dijalankan di penyedia hosting gratis OnWorks menggunakan salah satu dari beberapa stasiun kerja online gratis kami seperti Ubuntu Online, Fedora Online, emulator online Windows atau emulator online MAC OS
PROGRAM:
NAMA
verifikasi - Utilitas untuk memverifikasi sertifikat.
RINGKASAN
openssl memeriksa [-CAPath direktori] [-CAfile fillet] [-tujuan tujuan] [-aturan arg]
[-abaikan_kritis] [-pada waktu timestamp] [-periksa_ss_sig] [-file crl fillet] [-crl_unduh]
[-crl_periksa] [-crl_periksa_semua] [-pemeriksaan_kebijakan] [-kebijakan_eksplisit] [-menghambat_any]
[-menghambat_peta] [-x509_ketat] [-extend_crl] [-gunakan_delta] [-cetak_kebijakan]
[-tidak_alt_rantai] [-tidak terpercaya fillet] [-bantu] [-penerbit_cek] [-tepercaya fillet] [-verbose] [-]
[sertifikat]
DESKRIPSI
The memeriksa perintah memverifikasi rantai sertifikat.
COMMAND PILIHAN
-CAPath direktori
Direktori sertifikat tepercaya. Sertifikat harus memiliki nama formulir:
hash.0 atau memiliki tautan simbolis ke mereka dalam bentuk ini ("hash" adalah sertifikat hash
nama subjek: lihat -hash pilihan dari x509 kegunaan). Di bawah Unix c_rehash
skrip akan secara otomatis membuat tautan simbolis ke direktori sertifikat.
-CAfile fillet File sertifikat tepercaya. File harus berisi beberapa sertifikat
dalam format PEM digabungkan bersama.
-pada waktu timestamp
Lakukan pemeriksaan validasi menggunakan waktu yang ditentukan oleh timestamp dan bukan sistem saat ini
waktu. timestamp adalah jumlah detik sejak 01.01.1970 (waktu UNIX).
-periksa_ss_sig
Verifikasi tanda tangan pada CA root yang ditandatangani sendiri. Ini dinonaktifkan secara default karena
itu tidak menambahkan keamanan apa pun.
-file crl fillet
File yang berisi satu atau lebih CRL (dalam format PEM) untuk dimuat.
-crl_unduh
Coba unduh informasi CRL untuk sertifikat ini.
-crl_periksa
Memeriksa validitas sertifikat entitas akhir dengan mencoba mencari CRL yang valid. Jika sebuah
CRL yang valid tidak dapat ditemukan terjadi kesalahan.
-tidak terpercaya fillet
File sertifikat yang tidak tepercaya. File harus berisi beberapa sertifikat dalam PEM
format yang digabungkan menjadi satu.
-tujuan tujuan
Tujuan penggunaan sertifikat. Jika opsi ini tidak ditentukan, memeriksa tidak akan
pertimbangkan tujuan sertifikat selama verifikasi berantai. Penggunaan yang diterima saat ini adalah
klien, server SSL, nssslserver, tanda smi, smimeencrypt. Lihat VERIFIKASI OPERASI
bagian untuk informasi lebih lanjut.
-bantu
Cetak pesan penggunaan.
-verbose
Cetak informasi tambahan tentang operasi yang sedang dilakukan.
-penerbit_cek
Cetak diagnostik yang berkaitan dengan pencarian sertifikat penerbit saat ini
sertifikat. Hal ini menunjukkan mengapa setiap calon penerbit sertifikat ditolak. NS
kehadiran pesan penolakan tidak dengan sendirinya menyiratkan bahwa ada sesuatu yang salah; selama
proses verifikasi normal, beberapa penolakan mungkin terjadi.
-aturan arg
Aktifkan pemrosesan kebijakan dan tambahkan arg ke set kebijakan awal pengguna (lihat RFC5280). NS
kebijaksanaan arg dapat berupa nama objek dan OID dalam bentuk numerik. Argumen ini dapat muncul
lebih dari sekali.
-pemeriksaan_kebijakan
Mengaktifkan pemrosesan kebijakan sertifikat.
-kebijakan_eksplisit
Tetapkan variabel kebijakan memerlukan-kebijakan-eksplisit (lihat RFC5280).
-menghambat_any
Tetapkan variabel kebijakan menghambat-setiap-kebijakan (lihat RFC5280).
-menghambat_peta
Tetapkan variabel kebijakan penghambat-pemetaan kebijakan (lihat RFC5280).
-tidak_alt_rantai
Saat membangun rantai sertifikat, jika rantai sertifikat pertama ditemukan tidak
tepercaya, maka OpenSSL akan terus memeriksa untuk melihat apakah rantai alternatif dapat
ditemukan yang dipercaya. Dengan opsi ini perilaku tersebut ditekan sehingga hanya
rantai pertama yang ditemukan pernah digunakan. Menggunakan opsi ini akan memaksa perilaku untuk mencocokkan
dari versi OpenSSL sebelumnya.
-tepercaya fillet
File sertifikat tepercaya tambahan. File harus berisi banyak
sertifikat dalam format PEM digabungkan bersama.
-cetak_kebijakan
Cetak diagnostik yang terkait dengan pemrosesan kebijakan.
-crl_periksa
Memeriksa validitas sertifikat entitas akhir dengan mencoba mencari CRL yang valid. Jika sebuah
CRL yang valid tidak dapat ditemukan terjadi kesalahan.
-crl_periksa_semua
Memeriksa validitas semua sertifikat dalam rantai dengan mencoba mencari yang valid
CRL.
-abaikan_kritis
Biasanya jika ada ekstensi kritis yang tidak tertangani yang tidak didukung oleh
OpenSSL sertifikat ditolak (seperti yang dipersyaratkan oleh RFC5280). Jika opsi ini disetel
ekstensi kritis diabaikan.
-x509_ketat
Untuk kepatuhan X.509 yang ketat, nonaktifkan solusi yang tidak sesuai untuk kerusakan
sertifikat.
-extend_crl
Aktifkan fitur CRL yang diperluas seperti CRL tidak langsung dan kunci penandatanganan CRL alternatif.
-gunakan_delta
Aktifkan dukungan untuk CRL delta.
-periksa_ss_sig
Verifikasi tanda tangan pada CA root yang ditandatangani sendiri. Ini dinonaktifkan secara default karena
itu tidak menambahkan keamanan apa pun.
- Menunjukkan opsi terakhir. Semua argumen berikut ini dianggap sebagai sertifikat
file. Ini berguna jika nama file sertifikat pertama dimulai dengan a -.
sertifikat
Satu atau lebih sertifikat untuk diverifikasi. Jika tidak ada sertifikat yang diberikan, memeriksa akan mencoba
untuk membaca sertifikat dari input standar. Sertifikat harus dalam format PEM.
VERIFIKASI OPERASI
The memeriksa program menggunakan fungsi yang sama dengan verifikasi SSL dan S/MIME internal,
oleh karena itu deskripsi ini berlaku untuk operasi verifikasi ini juga.
Ada satu perbedaan penting antara operasi verifikasi yang dilakukan oleh memeriksa
program: sedapat mungkin upaya dilakukan untuk melanjutkan setelah kesalahan sedangkan biasanya
operasi verifikasi akan berhenti pada kesalahan pertama. Ini memungkinkan semua masalah dengan a
rantai sertifikat yang akan ditentukan.
Operasi verifikasi terdiri dari sejumlah langkah terpisah.
Pertama, rantai sertifikat dibangun mulai dari sertifikat yang disediakan dan diakhiri
di root CA. Ini adalah kesalahan jika seluruh rantai tidak dapat dibangun. Rantai dibangun
dengan mencari sertifikat penerbit dari sertifikat saat ini. Jika sertifikat adalah
ditemukan yang merupakan penerbitnya sendiri dianggap sebagai CA root.
Proses 'mencari sertifikat penerbit' itu sendiri melibatkan beberapa langkah. Di dalam
versi OpenSSL sebelum 0.9.5a sertifikat pertama yang nama subjeknya cocok dengan
penerbit sertifikat saat ini diasumsikan sebagai penerbit sertifikat. Di OpenSSL
0.9.6 dan yang lebih baru semua sertifikat yang nama subjeknya cocok dengan nama penerbit saat ini
sertifikat tunduk pada tes lebih lanjut. Komponen pengidentifikasi kunci otoritas yang relevan
sertifikat saat ini (jika ada) harus cocok dengan pengidentifikasi kunci subjek (jika ada)
dan penerbit dan nomor seri calon penerbit, selain ekstensi keyUsage
calon penerbit (jika ada) harus mengizinkan penandatanganan sertifikat.
Pencarian pertama kali terlihat dalam daftar sertifikat yang tidak tepercaya dan jika tidak ada yang cocok ditemukan
pencarian yang tersisa berasal dari sertifikat tepercaya. CA root selalu dicari di
daftar sertifikat tepercaya: jika sertifikat yang akan diverifikasi adalah sertifikat root, maka
kecocokan persis harus ditemukan dalam daftar tepercaya.
Operasi kedua adalah memeriksa konsistensi setiap ekstensi sertifikat yang tidak tepercaya
dengan tujuan yang disediakan. jika -tujuan opsi tidak disertakan maka tidak ada pemeriksaan yang dilakukan.
Sertifikat yang disediakan atau "daun" harus memiliki ekstensi yang kompatibel dengan yang disertakan
tujuan dan semua sertifikat lainnya juga harus merupakan sertifikat CA yang valid. yang tepat
ekstensi yang diperlukan dijelaskan secara lebih rinci di SURAT KETERANGAN EKSTENSI bagian
itu x509 utilitas
Operasi ketiga adalah memeriksa pengaturan kepercayaan pada CA root. Akar CA seharusnya
dipercaya untuk tujuan yang disediakan. Untuk kompatibilitas dengan versi SSLeay sebelumnya dan
OpenSSL sertifikat tanpa pengaturan kepercayaan dianggap valid untuk semua tujuan.
Operasi terakhir adalah memeriksa validitas rantai sertifikat. Masa berlaku
diperiksa terhadap waktu sistem saat ini dan tanggal notBefore dan notAfter di
sertifikat. Tanda tangan sertifikat juga diperiksa pada saat ini.
Jika semua operasi berhasil diselesaikan maka sertifikat dianggap valid. Jika ada
operasi gagal maka sertifikat tidak valid.
DIAGNOSTIK
Ketika operasi verifikasi gagal, pesan keluaran bisa agak samar. Umum
bentuk pesan kesalahannya adalah:
server.pem: /C=AU/ST=Queensland/O=CryptSoft Pty Ltd/CN=Uji CA (1024 bit)
pencarian kesalahan 24 pada 1 kedalaman: sertifikat CA tidak valid
Baris pertama berisi nama sertifikat yang diverifikasi diikuti oleh subjek
nama sertifikat. Baris kedua berisi nomor kesalahan dan kedalaman. NS
kedalaman adalah jumlah sertifikat yang diverifikasi ketika masalah terdeteksi mulai
dengan nol untuk sertifikat yang diverifikasi sendiri kemudian 1 untuk CA yang menandatangani
sertifikat dan sebagainya. Akhirnya versi teks dari nomor kesalahan disajikan.
Daftar lengkap kode kesalahan dan pesan ditampilkan di bawah, ini juga termasuk:
nama kode kesalahan seperti yang didefinisikan dalam file header x509_vfy.h Beberapa kode kesalahan
didefinisikan tetapi tidak pernah dikembalikan: ini digambarkan sebagai "tidak digunakan".
0 X509_V_OK: ok
operasi itu berhasil.
2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: tidak mampu untuk mendapatkan penerbit sertifikat
sertifikat penerbit dari sertifikat yang dicari tidak dapat ditemukan. Ini biasanya
berarti daftar sertifikat tepercaya tidak lengkap.
3 X509_V_ERR_UNABLE_TO_GET_CRL: tidak mampu untuk mendapatkan sertifikat CRL
CRL sertifikat tidak dapat ditemukan.
4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE: tidak mampu untuk mendekripsi sertifikat tanda tangan
tanda tangan sertifikat tidak dapat didekripsi. Ini berarti bahwa tanda tangan yang sebenarnya
nilai tidak dapat ditentukan daripada tidak sesuai dengan nilai yang diharapkan, ini adalah
hanya bermakna untuk kunci RSA.
5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE: tidak mampu untuk mendekripsi CRL tanda tangan
tanda tangan CRL tidak dapat didekripsi: ini berarti nilai tanda tangan yang sebenarnya
tidak dapat ditentukan daripada tidak sesuai dengan nilai yang diharapkan. Tidak terpakai.
6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY: tidak mampu untuk membaca sandi penerbit publik kunci
kunci publik dalam sertifikat SubjectPublicKeyInfo tidak dapat dibaca.
7 X509_V_ERR_CERT_SIGNATURE_FAILURE: sertifikat tanda tangan kegagalan
tanda tangan sertifikat tidak sah.
8 X509_V_ERR_CRL_SIGNATURE_FAILURE: CRL tanda tangan kegagalan
tanda tangan sertifikat tidak sah.
9 X509_V_ERR_CERT_NOT_YET_VALID: sertifikat is tidak namun sah
sertifikat belum valid: tanggal notBefore adalah setelah waktu saat ini.
10 X509_V_ERR_CERT_HAS_EXPIRED: sertifikat memiliki kadaluarsa
sertifikat telah kedaluwarsa: itu adalah tanggal notAfter sebelum waktu saat ini.
11 X509_V_ERR_CRL_NOT_YET_VALID: CRL is tidak namun sah
CRL belum valid.
12 X509_V_ERR_CRL_HAS_EXPIRED: CRL memiliki kadaluarsa
CRL telah kedaluwarsa.
13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD: format kesalahan in sertifikat tidak sebelum
bidang
bidang sertifikat notBefore berisi waktu yang tidak valid.
14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD: format kesalahan in sertifikat tidakSetelah bidang
bidang sertifikat notAfter berisi waktu yang tidak valid.
15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD: format kesalahan in CRL pembaharuan Terakhir bidang
bidang CRL lastUpdate berisi waktu yang tidak valid.
16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD: format kesalahan in CRL pembaruan berikutnya bidang
bidang CRL nextUpdate berisi waktu yang tidak valid.
17 X509_V_ERR_OUT_OF_MEM: di luar of ingatan
terjadi kesalahan saat mencoba mengalokasikan memori. Ini seharusnya tidak pernah terjadi.
18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT: diri tertanda sertifikat
sertifikat yang lulus ditandatangani sendiri dan sertifikat yang sama tidak dapat ditemukan di
daftar sertifikat tepercaya.
19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: diri tertanda sertifikat in sertifikat rantai
rantai sertifikat dapat dibangun menggunakan sertifikat yang tidak dipercaya tetapi root
tidak dapat ditemukan secara lokal.
20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: tidak mampu untuk mendapatkan lokal penerbit sertifikat
sertifikat penerbit tidak dapat ditemukan: ini terjadi jika sertifikat penerbit
sertifikat tidak tepercaya tidak dapat ditemukan.
21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE: tidak mampu untuk memeriksa itu pertama sertifikat
tidak ada tanda tangan yang dapat diverifikasi karena rantai hanya berisi satu sertifikat dan itu
tidak ditandatangani sendiri.
22 X509_V_ERR_CERT_CHAIN_TOO_LONG: sertifikat rantai terlalu panjang
panjang rantai sertifikat lebih besar dari kedalaman maksimum yang disediakan. Tidak terpakai.
23 X509_V_ERR_CERT_REVOKED: sertifikat dicabut
sertifikatnya dicabut.
24 X509_V_ERR_INVALID_CA: tidak sah CA sertifikat
sertifikat CA tidak valid. Entah itu bukan CA atau ekstensinya bukan
sesuai dengan tujuan yang diberikan.
25 X509_V_ERR_PATH_LENGTH_EXCEEDED: path panjangnya paksaan melampaui
parameter pathlength basicConstraints telah terlampaui.
26 X509_V_ERR_INVALID_TUJUAN: tidak didukung sertifikat tujuan
sertifikat yang diberikan tidak dapat digunakan untuk tujuan yang ditentukan.
27 X509_V_ERR_CERT_UNTRUSTED: sertifikat tidak Terpercaya
root CA tidak ditandai sebagai tepercaya untuk tujuan yang ditentukan.
28 X509_V_ERR_CERT_DITOLAK: sertifikat ditolak
root CA ditandai untuk menolak tujuan yang ditentukan.
29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH: subyek penerbit ketidakcocokan
sertifikat calon penerbit sertifikat saat ini ditolak karena nama subjeknya tidak
cocok dengan nama penerbit sertifikat saat ini. Hanya ditampilkan saat
-penerbit_cek pilihan diatur.
30 X509_V_ERR_AKID_SKID_MISMATCH: kewenangan dan subyek kunci identifier ketidakcocokan
sertifikat penerbit kandidat saat ini ditolak karena kunci subjeknya
pengidentifikasi ada dan tidak cocok dengan pengidentifikasi kunci otoritas saat ini
sertifikat. Hanya ditampilkan saat -penerbit_cek pilihan diatur.
31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH: kewenangan dan penerbit serial jumlah ketidakcocokan
calon penerbit sertifikat saat ini ditolak karena nama penerbitnya dan
nomor seri ada dan tidak cocok dengan pengidentifikasi kunci otoritas dari
sertifikat saat ini. Hanya ditampilkan saat -penerbit_cek pilihan diatur.
32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN:kunci pemakaian tidak tidak memasukkan sertifikat penandatanganan
sertifikat penerbit kandidat saat ini ditolak karena ekstensi keyUsage-nya
tidak mengizinkan penandatanganan sertifikat.
50 X509_V_ERR_APPLICATION_VERIFICATION: aplikasi verifikasi kegagalan
kesalahan khusus aplikasi. Tidak terpakai.
Gunakan verifikasissl online menggunakan layanan onworks.net
