gnutls-cli - מקוון בענן

הפעל את gnutls-cli בספק אירוח חינמי של OnWorks על אובונטו מקוון, פדורה מקוון, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS

זוהי הפקודה gnutls-cli שניתן להריץ בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS

הפעל באובונטו רוץ בפדורה הפעל ב-Windows Sim הפעל ב-MACOS Sim

תָכְנִית:

שֵׁם

gnutls-cli - לקוח GnuTLS

תַקצִיר

gnutls-cli [-דגלים] [-דֶגֶל [ערך]] [--אפשרות-שם[[=| ]ערך]] [שם מארח]

אופרנדים ואפשרויות עשויים להיות מעורבים זה בזה. הם יסודרו מחדש.

תיאור

תוכנית לקוח פשוטה להגדרת חיבור TLS למחשב אחר. זה מגדיר TLS
חיבור ומעביר נתונים מהקלט הסטנדרטי לשקע המאובטח ולהיפך.

אפשרויות

-d מספר, --לנפות=מספר
אפשר איתור באגים. אפשרות זו לוקחת מספר שלם כארגומנט שלה. הערך
of מספר מוגבל להיות:
בטווח 0 עד 9999

מציין את רמת ניפוי הבאגים.

-V, --מִלוּלִי
פלט רב יותר. אפשרות זו עשויה להופיע מספר בלתי מוגבל של פעמים.

--טופו, - Fl -ללא טופו
אפשר אימות אמון בשימוש ראשון. ה ללא טופו הטופס ישבית את
אוֹפְּצִיָה.

אפשרות זו, בנוסף לאימות אישור, תבצע אימות
מבוסס על מפתחות ציבוריים שנראו בעבר, מודל הדומה לאימות SSH. הערה
שכאשר טופו יצוין (PKI) ואימות DANE יהפוך לייעץ
לסייע בתהליך קבלת המפתח הציבורי.

--קפדן-טופו, - Fl -לא-קפדנית-טופו
נכשל בחיבור אם אישור ידוע השתנה. ה לא-קפדנית-טופו טופס צוואה
להשבית את האפשרות.

אפשרות זו תבצע אימות כמו עם אפשרות --tofu; עם זאת, תוך כדי
--tofu שואל אם לסמוך על מפתח ציבורי שהשתנה, אפשרות זו תיכשל במקרה של
שינויים במפתח ציבורי.

--דן, - Fl -אין דני
אפשר אימות אישור DANE (DNSSEC). ה לא-דנית הטופס ישבית את
אוֹפְּצִיָה.

אפשרות זו, בנוסף לאימות אישור באמצעות אישורי האישורים המהימנים,
אמת את אישורי השרת באמצעות מידע DANE הזמין דרך DNSSEC.

--local-dns, - Fl -no-local-dns
השתמש בשרת ה-DNS המקומי לפתרון DNSSEC. ה no-local-dns הטופס ישבית
האפשרות.

אפשרות זו תשתמש בשרת ה-DNS המקומי עבור DNSSEC. זה מושבת כברירת מחדל
בשל שרתים רבים שאינם מאפשרים DNSSEC.

--ca-אימות, - Fl -אין-ca-אימות
אפשר אימות אישור CA. ה ללא אימות הטופס ישבית את
אוֹפְּצִיָה. אפשרות זו מופעלת כברירת מחדל.

ניתן להשתמש באפשרות זו כדי להפעיל או להשבית אימות אישור CA. זה ל
לשמש עם האפשרויות --dane או --tofu.

--ocsp, - Fl -אין-ocsp
אפשר אימות אישור OCSP. ה no-ocsp טופס ישבית את האפשרות.

אפשרות זו תאפשר אימות של תעודת העמית באמצעות ocsp

-r, --קורות חיים
קבע מפגש והמשך.

התחבר, קבע הפעלה, התחבר מחדש והמשך.

-e, --לחיצת יד חוזרת
קבע מפגש ולחיצת יד חוזרת.

התחבר, קבע סשן ולחץ מחדש מיד.

-s, --starttls
התחבר, צור סשן רגיל והתחל TLS.

הפעלת TLS תתחיל כאשר EOF או SIGALRM יתקבלו.

--app-proto
זהו כינוי ל- --starttls-proto אוֹפְּצִיָה.

--starttls-proto=מחרוזת
פרוטוקול היישום שישמש לקבלת אישור השרת (https, ftp,
smtp, imap, ldap, xmpp). אפשרות זו אינה יכולה להופיע בשילוב עם אף אחת מהן
האפשרויות הבאות: starttls.

ציין את פרוטוקול שכבת היישום עבור STARTTLS. אם הפרוטוקול נתמך,
gnutls-cli ימשיך למשא ומתן TLS.

-u, --udp
השתמש ב-DTLS (Datagram TLS) על UDP.

--mtu=מספר
הגדר MTU עבור Datagram TLS. אפשרות זו לוקחת מספר שלם כארגומנט שלה.
הערך של מספר מוגבל להיות:
בטווח 0 עד 17000

--crlf שלח CR LF במקום LF.

--x509fmtder
השתמש בפורמט DER כדי לקרוא אישורים.

-f, --טביעת אצבע
שלח את טביעת האצבע של openpgp, במקום המפתח.

--print-cert
הדפס תעודת עמיתים בפורמט PEM.

--שמור-אישור=מחרוזת
שמור את שרשרת האישורים של העמית בקובץ שצוין בפורמט PEM.

--save-ocsp=מחרוזת
שמור את תגובת סטטוס ה-OCSP של העמית בקובץ שסופק.

--dh-bits=מספר
המספר המינימלי של ביטים המותר עבור DH. אפשרות זו לוקחת מספר שלם כ
הטיעון שלה.

אפשרות זו מגדירה את מספר הביטים המינימלי המותר עבור מפתח דיפי-הלמן
לְהַחלִיף. ייתכן שתרצה להוריד את ערך ברירת המחדל אם העמית שולח פריט חלש
ואתה מקבל שגיאת חיבור עם ראש לא מקובל.

--עדיפות=מחרוזת
מחרוזת עדיפויות.

אלגוריתמים ופרוטוקולים של TLS לאפשר. אתה יכול להשתמש בקבוצות מוגדרות מראש של חבילות צופן
כגון PERFORMANCE, NORMAL, PFS, SECURE128, SECURE256. ברירת המחדל היא NORMAL.

עיין במדריך GnuTLS בסעיף "מחרוזות עדיפות" למידע נוסף על
מילות המפתח המותרות

--x509cafile=מחרוזת
קובץ אישור או כתובת URL של PKCS #11 לשימוש.

--x509crlfile=פילה
קובץ CRL לשימוש.

--pgpkeyfile=פילה
קובץ מפתח PGP לשימוש.

--pgpkeyring=פילה
קובץ מחזיק מפתחות PGP לשימוש.

--pgpcertfile=פילה
קובץ PGP Public Key (אישור) לשימוש. אפשרות זו חייבת להופיע בשילוב
עם האפשרויות הבאות: pgpkeyfile.

--x509keyfile=מחרוזת
קובץ מפתח X.509 או כתובת URL של PKCS #11 לשימוש.

--x509certfile=מחרוזת
קובץ אישור X.509 או כתובת URL של PKCS #11 לשימוש. אפשרות זו חייבת להופיע ב
שילוב עם האפשרויות הבאות: x509keyfile.

--pgpsubkey=מחרוזת
מפתח משנה PGP לשימוש (hex או אוטומטי).

--srpusername=מחרוזת
שם משתמש SRP לשימוש.

--srppasswd=מחרוזת
סיסמת SRP לשימוש.

--pskusername=מחרוזת
שם משתמש PSK לשימוש.

--pskkey=מחרוזת
מפתח PSK (במשושה) לשימוש.

-p מחרוזת, --נמל=מחרוזת
היציאה או השירות שאליהם יש להתחבר.

--לֹא בָּטוּחַ
אל תבטל את התוכנית אם לא ניתן לאמת את אישור השרת.

--טווחים
השתמש בריפוד מסתיר אורך כדי למנוע ניתוח תנועה.

במידת האפשר (למשל, בעת שימוש ב-CBC ciphersuites), השתמש בריפוד מסתיר אורך כדי
למנוע ניתוח תנועה.

--בנצ'מרק-צפנים
סימון צפנים בודדים.

כברירת מחדל, הצפנים הממומנים ישתמשו בכל היכולות של המעבד המקומי
לשיפור הביצועים. כדי לבדוק מול יישום התוכנה הגולמית הגדר את
משתנה סביבה GNUTLS_CPUID_OVERRIDE ל-0x1.

--benchmark-tls-kx
Benchmark שיטות החלפת מפתחות TLS.

--benchmark-tls-ciphers
צפני TLS בנצ'מרק.

כברירת מחדל, הצפנים הממומנים ישתמשו בכל היכולות של המעבד המקומי
לשיפור הביצועים. כדי לבדוק מול יישום התוכנה הגולמית הגדר את
משתנה סביבה GNUTLS_CPUID_OVERRIDE ל-0x1.

-l, --רשימה
הדפס רשימה של האלגוריתמים והמצבים הנתמכים. אפשרות זו אסור להופיע ב
שילוב עם כל אחת מהאפשרויות הבאות: יציאה.

הדפס רשימה של האלגוריתמים והמצבים הנתמכים. אם ניתנת מחרוזת עדיפות
לאחר מכן מוצגות רק חבילות הצפנים המופעלות.

--רשימת עדיפות
הדפס רשימה של מחרוזות העדיפות הנתמכות.

הדפס רשימה של מחרוזות העדיפות הנתמכות. חבילות הצופן המקבילות ל
ניתן לבחון כל מחרוזת עדיפות באמצעות -l -p.

--noticket
אל תאפשר כרטיסים למפגש.

--srtp-profiles=מחרוזת
הצע פרופילי SRTP.

--alpn=מחרוזת
פרוטוקול שכבת יישום. אפשרות זו עשויה להופיע מספר בלתי מוגבל של פעמים.

אפשרות זו תגדיר ותפעיל את משא ומתן על פרוטוקול יישומים (ALPN)
בפרוטוקול TLS.

-b, --דופק לב
הפעל את תמיכת פעימות הלב.

--גודל שיא=מספר
גודל הרשומה המקסימלי לפרסום. אפשרות זו לוקחת מספר שלם בתור שלה
טַעֲנָה. הערך של מספר מוגבל להיות:
בטווח 0 עד 4096

--disable-sni
אין לשלוח ציון שם שרת (SNI).

--בטל-הרחבות
השבת את כל הרחבות TLS.

אפשרות זו משביתה את כל הרחבות TLS. אפשרות שהוצאה משימוש. השתמש בעדיפות
מחרוזת.

--פקודות מוטבעות
פקודות מוטבעות בצורת ^ ^.

אפשר פקודות מוטבעות בטופס ^ ^. הפקודות המוטבעות צפויות להיות
בשורה בפני עצמם. הפקודות הזמינות הן: המשך וניהול משא ומתן מחדש.

--inline-commands-prefix=מחרוזת
שנה את מפריד ברירת המחדל עבור פקודות מוטבעות..

שנה את מפריד ברירת המחדל (^) המשמש עבור פקודות מוטבעות. התוחם הוא
צפוי להיות תו US-ASCII יחיד (אוקטטים 0 - 127). אפשרות זו היא בלבד
רלוונטי אם פקודות מוטבעות מופעלות דרך אפשרות הפקודות המוטבעות

--ספק=פילה
ציין את ספריית ספק PKCS #11.

זה יעקוף את אפשרויות ברירת המחדל ב- /etc/gnutls/pkcs11.conf

--fips140-mode
מדווח על המצב של FIPS140-2 בספריית gnutls.

-h, - עזרה
הצג מידע שימוש וצא.

-!, --עוד עזרה
העבר את מידע השימוש המורחב דרך ביפר.

-v [{v|c|n --גִרְסָה [{v|c|n}]}]
גרסת פלט של התוכנית ויציאה. מצב ברירת המחדל הוא 'v', גרסה פשוטה.
מצב 'c' ידפיס מידע על זכויות יוצרים ו-'n' ידפיס את מלוא זכויות היוצרים
הודעה.

דוגמאות

מקשר באמצעות PSK אימות
כדי להתחבר לשרת באמצעות אימות PSK, עליך להפעיל את הבחירה של PSK על ידי
באמצעות פרמטר עדיפות צופן כמו בדוגמה למטה.
$ ./gnutls-cli -p 5556 localhost --pskusername psk_identity --pskkey 88f3824b3e5659f52d00e959bacab954b6540344 --priority NORMAL:-KX-ALL:+ECDHE-PSK:+DHE
פותר את 'מארח מקומי'...
מתחבר אל '127.0.0.1:5556'...
- אימות PSK.
- גרסה: TLS1.1
- החלפת מפתחות: PSK
- צופן: AES-128-CBC
- MAC: SHA1
- דחיסה: NULL
- לחיצת היד הושלמה
- מצב לקוח פשוט:
על ידי שמירה על הפרמטר --pskusername והסרת הפרמטר --pskkey, הוא יבצע שאילתות
רק עבור הסיסמה במהלך לחיצת היד.

רישום חבילות צופן in a עדיפות מחרוזת
כדי לרשום את חבילות הצופן במחרוזת עדיפות:
$ ./gnutls-cli --priority SECURE192 -l
חבילות צופן עבור SECURE192
TLS_ECDHE_ECDSA_AES_256_CBC_SHA384 0xc0, 0x24 TLS1.2
TLS_ECDHE_ECDSA_AES_256_GCM_SHA384 0xc0, 0x2e TLS1.2
TLS_ECDHE_RSA_AES_256_GCM_SHA384 0xc0, 0x30 TLS1.2
TLS_DHE_RSA_AES_256_CBC_SHA256 0x00, 0x6b TLS1.2
TLS_DHE_DSS_AES_256_CBC_SHA256 0x00, 0x6a TLS1.2
TLS_RSA_AES_256_CBC_SHA256 0x00, 0x3d TLS1.2

סוגי תעודות: CTYPE-X.509
פרוטוקולים: VERS-TLS1.2, VERS-TLS1.1, VERS-TLS1.0, VERS-SSL3.0, VERS-DTLS1.0
דחיסה: COMP-NULL
עקומות אליפטיות: CURVE-SECP384R1, CURVE-SECP521R1
חתימות PK: SIGN-RSA-SHA384, SIGN-ECDSA-SHA384, SIGN-RSA-SHA512, SIGN-ECDSA-SHA512

מקשר באמצעות a PKCS #11 אסימון
כדי להתחבר לשרת באמצעות אישור ומפתח פרטי הקיימים באסימון PKCS #11
עליך להחליף את כתובות האתרים של PKCS 11 בפרמטרים x509certfile ו-x509keyfile.

ניתן למצוא אותם באמצעות "p11tool --list-tokens" ולאחר מכן רשימה של כל האובייקטים ב-
האסימון הדרוש, ושימוש במתאים.
$ p11tool --list-tokens

אסימון 0:
כתובת אתר: pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=בדיקה
תווית: מבחן
יצרן: EnterSafe
דגם: PKCS15
סידורי: 1234

$ p11tool --login --list-certs "pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test"

אובייקט 0:
כתובת אתר: pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test;object=client;type=cert
סוג: תעודת X.509
תווית: לקוח
ID: 2a:97:0d:58:d1:51:3c:23:07:ae:4e:0d:72:26:03:7d:99:06:02:6a

$ MYCERT="pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test;object=client;type=cert"
$ MYKEY="pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test;object=client;type=private"
$ ייצוא MYCERT MYKEY

$ gnutls-cli www.example.com --x509keyfile $MYKEY --x509certfile $MYCERT
שימו לב שהמפתח הפרטי שונה רק מהאישור בסוג.

יְצִיאָה סטָטוּס

אחד מערכי היציאה הבאים יוחזר:

0 (EXIT_SUCCESS)
ביצוע תוכנית מוצלח.

1 (EXIT_FAILURE)
הפעולה נכשלה או שתחביר הפקודה לא היה חוקי.

70 (EX_SOFTWARE)
ל-libopts הייתה שגיאה תפעולית פנימית. נא לדווח על כך לאוטוג'ן-
[מוגן בדוא"ל]. תודה.

השתמש ב-gnutls-cli באינטרנט באמצעות שירותי onworks.net