これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、MAC OS オンライン エミュレーターなど、複数の無料オンライン ワークステーションのいずれかを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド gnutls-cli です。
プログラム:
NAME
gnutls-cli - GnuTLS クライアント
SYNOPSIS
gnutls-cli [-フラグ] [-国旗 [値]][-オプション名[[= | ]値]] [ホスト名]
オペランドとオプションが混在している可能性があります。 それらは再注文されます。
DESCRIPTION
他のコンピューターへの TLS 接続をセットアップするための単純なクライアント プログラム。 TLSを設定します
接続し、標準入力から保護されたソケットにデータを転送し、その逆も同様です。
OPTIONS
-d 数, - デバッグ=数
デバッグを有効にします。 このオプションは、引数として整数を取ります。 値
of 数 次のように制約されます:
0から9999の範囲
デバッグレベルを指定します。
-V, -詳細
より詳細な出力。 このオプションは、無制限に表示される場合があります。
- 豆腐, - Fl の豆腐
Trust on First Use 認証を有効にします。 の 豆腐 フォームは無効になります
オプションを選択します。
このオプションは、証明書認証に加えて、認証を実行します
SSH認証に似たモデルである、以前に見られた公開鍵に基づいています。 ノート
tofu が指定された場合 (PKI) および DANE 認証がアドバイザリーになること
公開鍵の受け入れプロセスを支援します。
--厳格な豆腐, - Fl -厳格な豆腐
既知の証明書が変更された場合、接続に失敗します。 の 無垢豆腐 フォームは
オプションを無効にします。
このオプションは、オプション --tofu と同様に認証を実行します。 ただし、一方で
--tofu は、変更された公開鍵を信頼するかどうかを尋ねます。このオプションは、次の場合に失敗します。
公開鍵の変更。
--デーン, - Fl のだね
DANE 証明書の検証 (DNSSEC) を有効にします。 の ノダネ フォームは無効になります
オプションを選択します。
このオプションは、信頼できる CA を使用した証明書認証に加えて、
DNSSEC 経由で入手可能な DANE 情報を使用して、サーバー証明書を確認します。
--local-dns, - Fl -no-local-DNS
DNSSEC 解決にローカル DNS サーバーを使用します。 の ローカルDNSなし フォームは無効になります
オプション。
このオプションは、DNSSEC にローカル DNS サーバーを使用します。 これはデフォルトで無効になっています
多くのサーバーが DNSSEC を許可していないためです。
--ca-検証, - Fl -ca-検証なし
CA 証明書の検証を有効にします。 の 認証なし フォームは無効になります
オプション。 このオプションはデフォルトで有効になっています。
このオプションを使用して、CA 証明書の検証を有効または無効にすることができます。 それは
--dane または --tofu オプションとともに使用できます。
--ocsp, - Fl -no-ocsp
OCSP 証明書の検証を有効にします。 の ocspなし フォームはオプションを無効にします。
このオプションは、ocsp を使用したピアの証明書の検証を有効にします。
-r, - 履歴書
セッションを確立して再開します。
接続してセッションを確立し、再接続して再開します。
-e, --再握手
セッションを確立し、再ハンドシェイクします。
接続してセッションを確立し、すぐに再ハンドシェイクします。
-s, --starttls
接続し、プレーン セッションを確立して、TLS を開始します。
EOF または SIGALRM を受信すると、TLS セッションが開始されます。
--app-proto
これはのエイリアスです --starttls-proto オプションを選択します。
--starttls-proto=string
サーバーの証明書を取得するために使用されるアプリケーション プロトコル (https、ftp、
smtp、imap、ldap、xmpp)。 このオプションは、次のいずれかと組み合わせて使用することはできません
次のオプション: starttls。
STARTTLS のアプリケーション層プロトコルを指定します。 プロトコルがサポートされている場合、
gnutls-cli は TLS ネゴシエーションに進みます。
-u, --udp
UDP 経由で DTLS (データグラム TLS) を使用します。
--mtu=数
データグラム TLS の MTU を設定します。 このオプションは、引数として整数を取ります。
の値 数 次のように制約されます:
0から17000の範囲
--crlf LF の代わりに CR LF を送信します。
--x509fmtder
読み取る証明書に DER 形式を使用します。
-f, - 指紋
キーの代わりに openpgp フィンガープリントを送信します。
--print-cert
ピアの証明書を PEM 形式で出力します。
--保存証明書=string
指定されたファイルにピアの証明書チェーンを PEM 形式で保存します。
--save-ocsp=string
提供されたファイルにピアの OCSP ステータス応答を保存します。
--dh-ビット=数
DH に許可されるビットの最小数。 このオプションは、整数を次のように取ります。
その引数。
このオプションは、Diffie-Hellman キーに許可される最小ビット数を設定します
両替。 ピアが弱い素数を送信する場合は、デフォルト値を下げることができます
受け入れられない素数で接続エラーが発生します。
- 優先順位=string
優先度文字列。
有効にする TLS アルゴリズムとプロトコル。 事前定義された暗号スイートのセットを使用できます
PERFORMANCE、NORMAL、PFS、SECURE128、SECURE256など。 デフォルトは NORMAL です。
詳細については、GnuTLS マニュアルの「優先度文字列」セクションを確認してください。
許可されたキーワード
--x509cafile=string
使用する証明書ファイルまたは PKCS #11 URL。
--x509crlファイル=file
使用する CRL ファイル。
--pgpkeyfile=file
使用する PGP キー ファイル。
--pgpkeyring=file
使用する PGP キー リング ファイル。
--pgpcertfile=file
使用する PGP 公開鍵 (証明書) ファイル。 このオプションは組み合わせて表示する必要があります
次のオプションを使用します: pgpkeyfile。
--x509キーファイル=string
使用する X.509 キー ファイルまたは PKCS #11 URL。
--x509証明書ファイル=string
使用する X.509 証明書ファイルまたは PKCS #11 URL。 このオプションは
次のオプションとの組み合わせ: x509keyfile。
--pgpsubkey=string
使用する PGP サブキー (hex または auto)。
--srpusername=string
使用する SRP ユーザー名。
--srppasswd=string
使用する SRP パスワード。
--pskusername=string
使用する PSK ユーザー名。
--pskkey=string
使用する PSK キー (XNUMX 進数)。
-p string, - 港=string
接続するポートまたはサービス。
-安全でない
サーバー証明書が検証できない場合にプログラムを中止しないでください。
-範囲
長さを隠すパディングを使用して、トラフィック分析を防ぎます。
可能な場合 (たとえば、CBC 暗号スイートを使用する場合)、長さを隠すパディングを使用して、
トラフィック分析を防ぎます。
--ベンチマーク暗号
個々の暗号をベンチマークします。
デフォルトでは、ベンチマーク済みの暗号はローカル CPU のあらゆる機能を利用します
パフォーマンスを向上させます。 生のソフトウェア実装セットに対してテストするには、
環境変数 GNUTLS_CPUID_OVERRIDE を 0x1 に変更します。
--ベンチマーク-tls-kx
TLS 鍵交換方式のベンチマーク。
--benchmark-tls-ciphers
TLS 暗号のベンチマーク。
デフォルトでは、ベンチマーク済みの暗号はローカル CPU のあらゆる機能を利用します
パフォーマンスを向上させます。 生のソフトウェア実装セットに対してテストするには、
環境変数 GNUTLS_CPUID_OVERRIDE を 0x1 に変更します。
-l, - リスト
サポートされているアルゴリズムとモードのリストを表示します。 このオプションは、
次のオプションのいずれかと組み合わせてください: port。
サポートされているアルゴリズムとモードのリストを表示します。 優先度文字列が指定されている場合
有効な暗号スイートのみが表示されます。
--優先リスト
サポートされている優先度文字列のリストを出力します。
サポートされている優先度文字列のリストを出力します。 に対応する暗号スイート
各優先度文字列は、-l -p を使用して調べることができます。
--ノチケット
セッション チケットを許可しないでください。
--srtp-プロファイル=string
SRTP プロファイルを提供します。
--alpn=string
アプリケーション層プロトコル。 このオプションは、無制限に表示される場合があります。
このオプションは、Application Layer Protocol Negotiation (ALPN) を設定して有効にします。
TLS プロトコルで。
-b, -ハートビート
ハートビート サポートを有効にします。
--レコードサイズ=数
アドバタイズする最大レコード サイズ。 このオプションは整数を引数として取ります
口論。 の値 数 次のように制約されます:
0から4096の範囲
--無効-sni
Server Name Indication (SNI) を送信しないでください。
--無効化拡張機能
すべての TLS 拡張機能を無効にします。
このオプションは、すべての TLS 拡張機能を無効にします。 非推奨のオプション。 プライオリティを利用する
文字列。
--インラインコマンド
形式のインライン コマンド ^ ^。
フォーム ^ のインライン コマンドを有効にします。 ^。 インラインコマンドは
自分で一列に。 使用可能なコマンドは次のとおりです。再開および再交渉。
--inline-commands-prefix=string
インライン コマンドのデフォルトの区切り文字を変更します。
インライン コマンドに使用されるデフォルトの区切り文字 (^) を変更します。 区切り文字は
単一の US-ASCII 文字 (オクテット 0 - 127) であると予想されます。 このオプションは
inline-commands オプションを介してインライン コマンドが有効になっている場合に関連します。
-プロバイダー=file
PKCS#11プロバイダーライブラリを指定します。
これにより、/ etc / gnutls /pkcs11.confのデフォルトオプションが上書きされます
--fips140-モード
gnutls ライブラリの FIPS140-2 モードのステータスを報告します。
-h, - 助けて
使用情報を表示して終了します。
-!, -詳細-ヘルプ
拡張使用情報をポケットベルに渡します。
-v [{v | c | n - バージョン [{v | c | n}]}]
プログラムのバージョンを出力して終了します。 デフォルトのモードは、単純なバージョンの「v」です。
「c」モードは著作権情報を印刷し、「n」は完全な著作権を印刷します
通知。
例
接続する PSK 認証
PSK 認証を使用してサーバーに接続するには、PSK の選択を有効にする必要があります。
以下の例のような暗号優先度パラメーターを使用します。
$ ./gnutls-cli -p 5556 localhost --pskusername psk_identity --pskkey 88f3824b3e5659f52d00e959bacab954b6540344 --priority NORMAL:-KX-ALL:+ECDHE-PSK:+DHE-PSK:+PSK
「localhost」を解決しています...
「127.0.0.1:5556」に接続しています...
- PSK 認証。
- バージョン: TLS1.1
- 鍵交換: PSK
- 暗号: AES-128-CBC
- MAC: SHA1
- 圧縮: NULL
・握手完了
- シンプル クライアント モード:
--pskusername パラメーターを保持し、--pskkey パラメーターを削除すると、クエリが実行されます。
握手時のパスワードのみ。
リスト 暗号スイート in a 優先順位 string
優先度文字列で暗号スイートを一覧表示するには:
$ ./gnutls-cli --priority SECURE192 -l
SECURE192 の暗号スイート
TLS_ECDHE_ECDSA_AES_256_CBC_SHA384 0xc0, 0x24 TLS1.2
TLS_ECDHE_ECDSA_AES_256_GCM_SHA384 0xc0, 0x2e TLS1.2
TLS_ECDHE_RSA_AES_256_GCM_SHA384 0xc0, 0x30 TLS1.2
TLS_DHE_RSA_AES_256_CBC_SHA256 0x00, 0x6b TLS1.2
TLS_DHE_DSS_AES_256_CBC_SHA256 0x00, 0x6a TLS1.2
TLS_RSA_AES_256_CBC_SHA256 0x00, 0x3d TLS1.2
証明書の種類: CTYPE-X.509
プロトコル: VERS-TLS1.2、VERS-TLS1.1、VERS-TLS1.0、VERS-SSL3.0、VERS-DTLS1.0
圧縮: COMP-NULL
楕円曲線: CURVE-SECP384R1、CURVE-SECP521R1
PK 署名: SIGN-RSA-SHA384、SIGN-ECDSA-SHA384、SIGN-RSA-SHA512、SIGN-ECDSA-SHA512
接続する a PKCS #11 トークン
PKCS #11 トークンに存在する証明書と秘密鍵を使用してサーバーに接続するには
x11certfile および x509keyfile パラメータの PKCS 509 URL を置き換える必要があります。
これらは、「p11tool --list-tokens」を使用して見つけることができ、その後、
トークンを必要とし、適切なものを使用します。
$ p11tool--list-tokens
トークン 0:
URL: pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test
レーベル: Test
メーカー: エンターセーフ
モデル: PKCS15
シリアル:1234
$ p11tool --login --list-certs "pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test"
オブジェクト0:
URL: pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test;object=client;type=cert
タイプ: X.509証明書
レーベル: クライアント
ID: 2a:97:0d:58:d1:51:3c:23:07:ae:4e:0d:72:26:03:7d:99:06:02:6a
$ MYCERT="pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test;object=client;type=cert"
$ MYKEY="pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test;object=client;type=private"
$ エクスポート MYCERT MYKEY
$ gnutls-cli www.example.com --x509keyfile $MYKEY --x509certfile $MYCERT
秘密鍵は証明書とはタイプが異なるだけであることに注意してください。
EXIT ステータス
次のいずれかの終了値が返されます。
0(EXIT_SUCCESS)
プログラムの実行が成功しました。
1(EXIT_FAILURE)
操作が失敗したか、コマンド構文が無効でした。
70(EX_SOFTWARE)
liboptsに内部操作エラーがありました。 autogenに報告してください-
[メール保護]。 ありがとうございます。
onworks.net サービスを使用してオンラインで gnutls-cli を使用する
