これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、MAC OS オンライン エミュレーターなど、複数の無料オンライン ワークステーションのいずれかを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド x509ssl です。
プログラム:
NAME
x509 - 証明書の表示および署名ユーティリティ
SYNOPSIS
opensslの x509 [-知らせる DER|PEM|ネット] [-アウトフォーム DER|PEM|ネット] [-キーフォーム DER | PEM] [-CAフォーム
DER | PEM] [-CAキーフォーム DER | PEM] [-に ファイル名] [-でる ファイル名] [-シリアル] [-ハッシュ]
[-件名ハッシュ] [-発行者_ハッシュ] [-ocspid] [-主題] [-発行者] [-nameopt オプション] [-Eメール]
[-ocsp_uri] [-開始日] [-終了日] [-目的] [-日付] [-チェックエンド NUM] [-係数]
[-公開鍵] [-指紋] [-エイリアス] [-noout] [-トラストアウト] [-clrtrust] [-clrreject] [-addtrust
argは] [-addreject argは] [-セタリアス argは] [-日々 argは] [-set_serial n] [-サインキー ファイル名]
[-パスイン argは] [-x509トレク] [-必須] [-CA ファイル名] [-CAkey ファイル名] [-CAcreateserial]
[-Cシリアル ファイル名] [-force_pubkey キー] [-テキスト] [-certopt オプション] [-C]
[-md2|-md5|-sha1|-mdc2] [-clrext] [-extfile ファイル名] [-拡張機能 ] [-エンジン id]
DESCRIPTION
当学校区の x509 コマンドは、多目的の証明書ユーティリティです。 ディスプレイに使えます
証明書情報、証明書をさまざまな形式に変換、証明書要求に署名
「ミニ CA」のようにするか、証明書の信頼設定を編集します。
多数のオプションがあるため、さまざまなセクションに分割されます。
OPTIONS
入力、 出力 そして 全般的な 目的 OPTIONS
-知らせる DER|PEM|ネット
これは、通常、コマンドが X509 証明書を期待する入力形式を指定します。
ただし、次のような他のオプションがある場合、これは変更される可能性があります -必須 存在しています。 DER 形式は、
証明書の DER エンコーディングと PEM は、DER エンコーディングの base64 エンコーディングです。
ヘッダーとフッターの行が追加されています。 NET オプションはあいまいな Netscape サーバーです
現在は廃止されている形式。
-アウトフォーム DER|PEM|ネット
これは出力フォーマットを指定します。オプションはと同じ意味を持ちます -知らせる
オプションを選択します。
-に ファイル名
これは、証明書を読み取るための入力ファイル名を指定します。
オプションが指定されていません。
-でる ファイル名
これは、デフォルトで標準出力または標準出力に書き込む出力ファイル名を指定します。
-md2|-md5|-sha1|-mdc2
使用するダイジェスト。 これは、メッセージを使用する署名または表示オプションに影響します
などのダイジェスト -指紋, -サインキー -CA オプション。 指定しない場合はSHA1
使用されている。 署名に使用されている鍵が DSA 鍵である場合、このオプションには
効果: SHA1 は常に DSA キーで使用されます。
-エンジン id
エンジンの指定(その固有の方法による) id 文字列)が発生します x509 取得を試みる
指定されたエンジンへの機能参照。したがって、必要に応じてエンジンを初期化します。 ザ
エンジンは、使用可能なすべてのアルゴリズムのデフォルトとして設定されます。
DISPLAY OPTIONS
注: -エイリアス -目的 オプションは表示オプションでもありますが、
信頼感 SETTINGS のセクションから無料でダウンロードできます。
-テキスト
証明書をテキスト形式で出力します。 公開を含む完全な詳細が出力されます
キー、署名アルゴリズム、発行者名とサブジェクト名、シリアル番号、拡張子
現在およびすべての信頼設定。
-certopt オプション
で使用する出力形式をカスタマイズする -テキストを選択します。 オプション 引数は単一にすることができます
オプションまたはコンマで区切られた複数のオプション。 の -certopt スイッチも
複数のオプションを設定するために複数回使用されました。 を参照してください TEXT OPTIONS 詳細についてはセクション
情報を表示します。
-noout
このオプションは、リクエストのエンコードされたバージョンの出力を防ぎます。
-公開鍵
証明書の SubjectPublicKeyInfo ブロックを PEM 形式で出力します。
-係数
このオプションは、に含まれる公開鍵のモジュラスの値を出力します。
証明書。
-シリアル
証明書のシリアル番号を出力します。
-件名ハッシュ
証明書サブジェクト名の「ハッシュ」を出力します。 これは OpenSSL で使用され、
インデックスを使用して、ディレクトリ内の証明書をサブジェクト名で検索できるようにします。
-発行者_ハッシュ
証明書発行者名の「ハッシュ」を出力します。
-ocspid
サブジェクト名と公開鍵の OCSP ハッシュ値を出力します。
-ハッシュ
下位互換性の理由から、「-subject_hash」の同義語。
-subject_hash_old
使用されている古いアルゴリズムを使用して、証明書サブジェクト名の「ハッシュ」を出力します
1.0.0 より前の OpenSSL バージョン。
-issuer_hash_old
で使用されている古いアルゴリズムを使用して、証明書発行者名の「ハッシュ」を出力します
1.0.0 より前の OpenSSL バージョン。
-主題
サブジェクト名を出力します。
-発行者
発行者名を出力します。
-nameopt オプション
サブジェクト名または発行者名の表示方法を決定するオプション。 の オプション
引数は、単一のオプションまたはコンマで区切られた複数のオプションです。
あるいは -nameopt スイッチは、複数のオプションを設定するために複数回使用できます。
ジョブの設定方法については、 NAME OPTIONS 詳細については、セクションを参照してください。
-Eメール
もしあれば、電子メールアドレスを出力します。
-ocsp_uri
OCSP レスポンダ アドレスがあれば出力します。
-開始日
証明書の開始日、つまり notBefore 日付を出力します。
-終了日
証明書の有効期限、つまり notAfter 日付を出力します。
-日付
証明書の開始日と有効期限を出力します。
-チェックエンド argは
証明書が次の期限内に期限切れになるかどうかを確認します argは 秒で終了し、次の場合は非ゼロで終了します
はい、期限切れになるか、そうでない場合はゼロになります。
-指紋
証明書全体の DER エンコード バージョンのダイジェストを出力します (ダイジェストを参照)。
オプション)。
-C これにより、証明書が C ソース ファイルの形式で出力されます。
信頼感 SETTINGS
これらのオプションは現在実験的なものであり、変更される可能性があることに注意してください。
A 信頼されている 証明書 は通常の証明書で、いくつかの追加部分があります。
証明書の使用の許可および禁止など、証明書に添付された情報
そして「エイリアス」。
通常、証明書が検証されるとき、少なくとも XNUMX つの証明書が「信頼できる」必要があります。
デフォルトでは、信頼できる証明書はローカルに保存する必要があり、ルート CA である必要があります。
この CA で終わる証明書チェーンは、あらゆる目的に使用できます。
現在、信頼設定はルート CA でのみ使用されます。 それらは、より細かい制御を可能にします
ルート CA を使用できる目的。 たとえば、CA は SSL クライアントに対して信頼されているかもしれませんが、
SSLサーバーの使用ではありません。
の説明を参照してください 確認する 信頼の意味に関する詳細情報のユーティリティ
設定を行います。
OpenSSL の将来のバージョンでは、ルートだけでなく、あらゆる証明書の信頼設定が認識されます
CA。
-トラストアウト
これは〜をひき起こす x509 を出力する 信頼されている 証明書。 通常の証明書または信頼できる証明書
入力できますが、デフォルトでは通常の証明書が出力され、すべての信頼設定が行われます
破棄されます。 とともに -トラストアウト オプションで信頼できる証明書が出力されます。 信頼できる
トラスト設定が変更されると、証明書が自動的に出力されます。
-セタリアス argは
証明書のエイリアスを設定します。 これにより、証明書を参照できるようになります
「Steve's Certificate」などのニックネームを使用します。
-エイリアス
証明書エイリアスがある場合はそれを出力します。
-clrtrust
許可された、または信頼できる証明書の使用をすべてクリアします。
-clrreject
証明書の禁止または拒否された使用をすべてクリアします。
-addtrust argは
信頼できる証明書の使用を追加します。 ここでは任意のオブジェクト名を使用できますが、現在は
クライアント認証 (SSL クライアントの使用)、 サーバー認証 (SSLサーバー利用)および メール保護 (S/MIME
メール)が使用されます。 他の OpenSSL アプリケーションでは、追加の用途が定義されている場合があります。
-addreject argは
使用禁止を追加。 と同じ値を受け入れます。 -addtrust オプションを選択します。
-目的
このオプションは、証明書の拡張子に対してテストを実行し、結果を出力します。 為に
より完全な説明については、 CERTIFICATE 延長 のセクションから無料でダウンロードできます。
署名 OPTIONS
当学校区の x509 ユーティリティを使用して、証明書とリクエストに署名できます。したがって、
「ミニCA」。
-サインキー ファイル名
このオプションにより、入力ファイルは提供された秘密鍵を使用して自己署名されます。
入力ファイルが証明書の場合、発行者名がサブジェクト名に設定されます (つまり、
自己署名させます) 公開鍵を指定された値に変更し、
開始日と終了日。 開始日は現在の時刻に設定され、終了日は設定されます
によって決定される値に -日々 オプション。 証明書の拡張子はすべて保持されます
を除いて -clrext オプションが付属しています。
入力が証明書要求の場合、自己署名証明書は以下を使用して作成されます
リクエスト内のサブジェクト名を使用して提供された秘密鍵。
-パスイン argは
キーパスワードソース。 のフォーマットの詳細については、 argは 見る パス
フレーズ 議論 のセクション opensslのとします。
-clrext
証明書から拡張子を削除します。 このオプションは、証明書が
別の証明書から作成されている (たとえば、 -サインキー または -CA
オプション)。 通常、すべての拡張子が保持されます。
-キーフォーム PEM | DER
で使用される秘密鍵ファイルの形式 (DER または PEM) を指定します。 -サインキー オプションを選択します。
-日々 argは
証明書を有効にする日数を指定します。 デフォルトは 30 日です。
-x509トレク
証明書を証明書要求に変換します。 の -サインキー オプションは渡すために使用されます
必要な秘密鍵。
-必須
デフォルトでは、入力時に証明書が期待されます。 このオプションを使用すると、証明書要求
が代わりに期待されます。
-set_serial n
使用するシリアル番号を指定します。 このオプションは、 -サインキー
or -CA オプション。 と組み合わせて使用する場合 -CA オプションのシリアル番号ファイル (
によって指定された -Cシリアル or -CAcreateserial オプション) は使用されません。
シリアル番号は、XNUMX 進数または XNUMX 進数にすることができます (前に 0x)。 負のシリアル番号
も指定できますが、使用は推奨されません。
-CA ファイル名
署名に使用する CA 証明書を指定します。 このオプションが存在する場合 x509
「ミニ CA」のように動作します。 入力ファイルは、このオプションを使用してこの CA によって署名されます。
発行者名が CA のサブジェクト名に設定されており、デジタル署名されている
CA の秘密鍵を使用します。
このオプションは通常、 -必須 オプション。 なしで -必須 オプション
入力は、自己署名する必要がある証明書です。
-CAkey ファイル名
証明書の署名に使用する CA 秘密鍵を設定します。 このオプションが指定されていない場合
その場合、CA 秘密鍵が CA 証明書ファイルに存在すると想定されます。
-Cシリアル ファイル名
使用する CA シリアル番号ファイルを設定します。
時 -CA オプションは、で指定されたシリアル番号を使用する証明書に署名するために使用されます
ファイル。 このファイルは、偶数の XNUMX 進数を含む XNUMX 行で構成され、
使用するシリアル番号。 使用するたびにシリアル番号がインクリメントされ、書き出されます
再びファイルに。
デフォルトのファイル名は、CA 証明書ファイルのベース名に「.srl」を付けたものです。
添付。 たとえば、CA 証明書ファイルの名前が「mycacert.pem」の場合、
「mycacert.srl」というシリアル番号ファイルを見つけます。
-CAcreateserial
このオプションを使用すると、CA シリアル番号ファイルが存在しない場合に作成されます。
シリアル番号「02」が含まれており、署名されている証明書には 1 が含まれます。
シリアルナンバー。 通常、 -CA オプションが指定され、シリアル番号ファイルが
存在しません。エラーです。
-extfile ファイル名
使用する証明書拡張子を含むファイル。 指定しない場合、拡張子はありません
証明書に追加されます。
-拡張機能
証明書拡張機能を追加するセクション。 このオプションが指定されていない場合
拡張子は、名前のない (デフォルト) セクションまたは
デフォルトのセクションには、「extensions」と呼ばれる変数が含まれている必要があります。
使用するセクション。 を参照してください x509v3_config(5) 拡張機能の詳細についてのマニュアルページ
セクション形式。
-force_pubkey キー
証明書が作成されたら、その公開鍵を キー のキーの代わりに
証明書または証明書要求。 このオプションは、証明書の作成に役立ちます
アルゴリズムは通常、DH などの要求に署名できません。
フォーマットや キー を使用して指定できます -キーフォーム オプションを選択します。
NAME OPTIONS
当学校区の 名前選択 コマンド ライン スイッチは、サブジェクト名と発行者名の表示方法を決定します。
ない場合 名前選択 スイッチが存在し、互換性のあるデフォルトの「oneline」形式が使用されます
以前のバージョンの OpenSSL で。 各オプションについては、以下で詳しく説明します。すべてのオプション
を前に付けることができます - オプションをオフにします。 通常は最初の XNUMX つだけが使用されます。
互換性
古い形式を使用します。 これは、名前オプションをまったく指定しないのと同じです。
RFC2253
に相当する RFC2253 と互換性のある名前を表示します esc_2253, esc_ctrl, esc_msb,
utf8, dump_nostr, ダンプ_不明, ダンプダー, sep_comma_plus, dn_rev スネーム.
ワンライン
RFC2253 より読みやすいオンライン形式。 を指定するのと同等です。
esc_2253, esc_ctrl, esc_msb, utf8, dump_nostr, ダンプダー, use_quote,
sep_comma_plus_space, スペースeq スネーム オプション。
複数行
複数行形式。 同等です esc_ctrl, esc_msb, sep_multiline, スペースeq, 名前
整列する.
esc_2253
フィールドで RFC2253 が要求する「特殊」文字をエスケープする ,+"<>;.
さらに # 文字列の先頭でエスケープされ、スペース文字でエスケープされます
文字列の先頭または末尾。
esc_ctrl
制御文字をエスケープします。 つまり、ASCII 値が 0x20 (スペース) 未満で、
削除 (0x7f) 文字。 これらは、RFC2253 \XX 表記を使用してエスケープされます (XX は
文字値を表す XNUMX つの XNUMX 進数です)。
esc_msb
ASCII 値が 127 より大きい MSB セットのエスケープ文字。
use_quote
文字列全体を " 文字、なし
オプションですべてのエスケープが行われます \ 文字。
utf8
最初にすべての文字列を UTF8 形式に変換します。 これは RFC2253 で必須です。 あなたがいる場合
幸運なことに、UTF8 互換の端末があれば、このオプションを使用できます (そして
設定 esc_msb)マルチバイト(国際)の正しい表示になる場合があります
文字。 このオプションが存在しない場合、0xff より大きいマルチバイト文字
16 ビットの場合は \UXXXX、32 ビットの場合は \WXXXXXXXX の形式を使用して表されます。
また、このオプションがオフの場合、UTF8Strings は文字形式に変換されます
最初。
無視するタイプ
このオプションは、マルチバイト文字の解釈を試みません。 あれは
それらのコンテンツ オクテットは、あたかも XNUMX オクテットが各文字を表すかのように単にダンプされます。
これは診断目的には役立ちますが、かなり奇妙な出力になります。
show_type
ASN1 文字列のタイプを表示します。 タイプはフィールドの内容よりも優先されます。 為に
例「BMPSTRING: Hello World」。
ダンプダー
このオプションが設定されている場合、XNUMX 進ダンプが必要なフィールドは、
フィールドの DER エンコーディング。 それ以外の場合は、コンテンツ オクテットのみが表示されます。 両方
オプションは RFC2253 を使用します #XXXX... 形式でダウンロードすることができます。
dump_nostr
このオプションが設定されていない場合、非文字列タイプ (OCTET STRING など) をダンプします。
非文字列タイプは、各コンテンツ オクテットのように表示されます。
は単一の文字を表します。
ダンプオール
すべてのフィールドをダンプします。 このオプションは、 ダンプダー の DER エンコーディングを許可します。
明確に決定される構造。
ダンプ_不明
OID が OpenSSL によって認識されないフィールドをダンプします。
sep_comma_plus, sep_comma_plus_space, sep_semi_plus_space, sep_multiline
これらのオプションは、フィールド セパレータを決定します。 最初の文字は RDN と
複数の AVA の間の XNUMX 番目 (複数の AVA は非常にまれであり、その使用は
がっかり)。 「スペース」で終わるオプションは、オプションの後にスペースを追加します。
より読みやすくするために区切り記号を付けます。 の sep_multiline 改行文字を使用します
RDN セパレーターとスペース + AVAセパレーター用。 また、フィールドをインデントします
四文字。 フィールドセパレータが指定されていない場合 sep_comma_plus_space 使用されている
デフォルトでは
dn_rev
DN のフィールドを逆にします。 これは RFC2253 で必須です。 これも副作用として
複数の AVA の順序を逆にしますが、これは許容されます。
ノフネーム, スネーム, 名前, OID
これらのオプションは、フィールド名の表示方法を変更します。 ノフネーム は表示されません
まったくフィールド。 スネーム 「短い名前」形式を使用します (たとえば、commonName の CN)。 名前
長い形式を使用します。 OID OID を数値形式で表し、次の場合に役立ちます。
診断目的。
整列する
より読みやすい出力のためにフィールド値を揃えます。 でのみ使用可能 sep_multiline.
スペースeq
の周りにスペースを配置します = フィールド名に続く文字。
TEXT OPTIONS
名前の出力形式のカスタマイズだけでなく、実際の出力形式のカスタマイズも可能です。
を使用して印刷されたフィールド セルトプト オプション 클라우드 기반 AI/ML및 고성능 컴퓨팅을 통한 디지털 트윈의 기초 – Edward Hsu, Rescale CPO 많은 엔지니어링 중심 기업에게 클라우드는 R&D디지털 전환의 첫 단계일 뿐입니다. 클라우드 자원을 활용해 엔지니어링 팀의 제약을 해결하는 단계를 넘어, 시뮬레이션 운영을 통합하고 최적화하며, 궁극적으로는 모델 기반의 협업과 의사 결정을 지원하여 신제품을 결정할 때 데이터 기반 엔지니어링을 적용하고자 합니다. Rescale은 이러한 혁신을 돕기 위해 컴퓨팅 추천 엔진, 통합 데이터 패브릭, 메타데이터 관리 등을 개발하고 있습니다. 이번 자리를 빌려 비즈니스 경쟁력 제고를 위한 디지털 트윈 및 디지털 스레드 전략 개발 방법에 대한 인사이트를 나누고자 합니다. オプションあり。 デフォルト
動作は、すべてのフィールドを出力することです。
互換性のあります
古い形式を使用します。 これは、出力オプションをまったく指定しないことと同じです。
no_header
ヘッダー情報を印刷しないでください。それは、「Certificate」と「Data」という行です。
no_version
バージョン番号を出力しないでください。
シリアル番号なし
シリアル番号を印刷しないでください。
no_signname
使用された署名アルゴリズムを出力しません。
no_validity
有効性を出力しないでください。 ない前に notAfter フィールド。
件名なし
サブジェクト名を出力しないでください。
no_issuer
発行者名を出力しないでください。
no_pubkey
公開鍵を印刷しないでください。
no_sigdump
証明書の署名の XNUMX 進数のダンプを提供しないでください。
no_aux
証明書の信頼情報を出力しません。
no_extensions
X509V3 拡張機能を出力しないでください。
ext_default
デフォルトの拡張機能の動作を保持: サポートされていない証明書の出力を試みます
拡張機能
ext_error
サポートされていない証明書拡張のエラー メッセージを出力します。
ext_parse
ASN1 は、サポートされていない拡張子を解析します。
ext_dump
サポートされていない拡張子を XNUMX 進ダンプします。
ca_デフォルト
によって使用される値 ca ユーティリティ、同等 no_issuer, no_pubkey, no_header,
no_version, no_sigdump no_signname.
例
注: これらの例の「\」は、例がすべて XNUMX 行にあることを意味します。
証明書の内容を表示します。
openssl x509 -in cert.pem -noout -text
証明書のシリアル番号を表示します。
openssl x509 -in cert.pem -noout -serial
証明書のサブジェクト名を表示します。
openssl x509 -in cert.pem -noout -subject
証明書のサブジェクト名を RFC2253 形式で表示します。
openssl x509 -in cert.pem -noout -subject -nameopt RFC2253
UTF8 をサポートする端末で証明書サブジェクト名を XNUMX 行形式で表示します。
openssl x509 -in cert.pem -noout -subject -nameopt oneline、-esc_msb
証明書の MD5 フィンガープリントを表示します。
openssl x509 -in cert.pem -noout -fingerprint
証明書の SHA1 フィンガープリントを表示します。
openssl x509 -sha1 -in cert.pem -noout -fingerprint
証明書を PEM から DER 形式に変換します。
openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
証明書を証明書要求に変換します。
openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem
CA の拡張機能を使用して、証明書要求を自己署名証明書に変換します。
openssl x509 -req -in Careq.pem -extfile openssl.cnf -extensions v3_ca \
-signkey key.pem -out cacert.pem
上記の CA 証明書を使用して証明書要求に署名し、ユーザー証明書を追加します
拡張:
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr \
-CA cacert.pem -CAkey key.pem -CAcreateserial
SSL クライアントが使用する証明書を信頼できるように設定し、エイリアスを「Steve's」に変更します。
クラス1 CA」
openssl x509 -in cert.pem -addtrust clientAuth \
-setalias "スティーブのクラス 1 CA" -out trust.pem
注意事項
PEM 形式では、ヘッダー行とフッター行が使用されます。
-----証明書の開始-----
-----証明書の終了-----
以下を含むファイルも処理します。
-----X509 証明書の開始-----
-----エンド X509 証明書-----
信頼できる証明書には次の行があります
-----信頼できる証明書の開始-----
-----信頼できる証明書の終了-----
name オプションで使用される UTF8 形式への変換では、T61Strings が
ISO8859-1 文字セット。 これは間違っていますが、Netscape と MSIE は多くの場合と同様にこれを行います
証明書。 したがって、これは正しくありませんが、大部分を表示する可能性が高くなります。
証明書を正しく。
当学校区の -指紋 オプションは、DER でエンコードされた証明書のダイジェストを取得します。 これは一般的に
「指紋」と呼ばれるもの。 メッセージの性質上、
証明書はその証明書に固有であり、同じフィンガープリントを持つ XNUMX つの証明書
と同じと考えられます。
Netscape フィンガープリントは MD5 を使用しますが、MSIE は SHA1 を使用します。
当学校区の -Eメール オプションは、サブジェクト名とサブジェクトの別名拡張子を検索します。
一意の電子メール アドレスのみが印刷されます。同じアドレスは印刷されません。
一度より。
CERTIFICATE 延長
当学校区の -目的 オプションは、証明書の拡張子をチェックし、証明書が何であるかを決定します
に使用できます。 実際に行われるチェックはかなり複雑で、さまざまなハックや
壊れた証明書とソフトウェアを処理するための回避策。
チェーン内の信頼できない証明書を検証するときに同じコードが使用されるため、このセクションは
検証コードによってチェーンが拒否された場合に役立ちます。
basicConstraints 拡張 CA フラグは、証明書を使用できるかどうかを判断するために使用されます。
CAとして使用されます。 CA フラグが true の場合は CA であり、CA フラグが false の場合は CA です。
CAではありません。 All CA では、CA フラグを true に設定する必要があります。
basicConstraints 拡張が存在しない場合、証明書は
「possible CA」その他の拡張子は、その使用目的に従ってチェックされます。
証明書。 この場合、証明書は実際には認証されるべきではないため、警告が表示されます。
CA と見なされます: ただし、一部の壊れたソフトウェアを回避するために CA になることは許可されています。
証明書が V1 証明書 (したがって拡張子がない) であり、自己署名されている場合
これも CA であると見なされますが、再度警告が表示されます。これは、CA を回避するためのものです。
V1 自己署名証明書である Verisign ルートの問題。
keyUsage 拡張機能が存在する場合、追加の制限が使用に対して行われます。
証明書。 CA 証明書 しなければなりません keyUsage の場合、keyCertSign ビットを設定します。
拡張子が存在します。
拡張されたキー使用法拡張により、証明書の使用に追加の制限が課されます。
この拡張機能が存在する場合 (重要かどうかに関係なく)、キーは次の用途にのみ使用できます。
目的が明記されています。
各テストの完全な説明を以下に示します。 basicConstraints に関するコメント
上記の keyUsage および V1 証明書が適用されます を CA 証明書。
SSL クライアント
拡張キー使用拡張は、存在しないか、「Web クライアント」を含める必要があります。
authentication" OID。keyUsage が存在しないか、digitalSignature ビットが必要です。
設定。 Netscape 証明書タイプが存在しないか、SSL クライアント ビットが設定されている必要があります。
SSL クライアント CA
拡張キー使用拡張は、存在しないか、「Web クライアント」を含める必要があります。
authentication" OID。Netscape 証明書タイプが存在しないか、SSL が必要です。
CA ビット セット: これは、basicConstraints 拡張が存在しない場合の回避策として使用されます。
SSL サーバー
拡張キー使用拡張は、存在しないか、「Web サーバー」を含める必要があります。
authentication」および/または SGC OID の XNUMX つ。
digitalSignature、keyEncipherment セット、または両方のビット セット。 Netscape 証明書
type が指定されていないか、SSL サーバー ビットが設定されている必要があります。
SSL サーバー CA
拡張キー使用拡張は、存在しないか、「Web サーバー」を含める必要があります。
authentication」および/または SGC OID の XNUMX つ。Netscape 証明書タイプは存在しない必要があります
または、SSL CA ビットを設定する必要があります。これは、basicConstraints が
拡張子はありません。
ネットスケープ SSL サーバー
Netscape SSL クライアントが SSL サーバーに接続するには、keyEncipherment が必要です。
keyUsage 拡張が存在する場合に設定されるビット。 これは常に有効であるとは限りません。
暗号スイートは、デジタル署名にキーを使用します。 それ以外はノーマルと同じ
SSL サーバー。
コマンドと [S / MIME クライアント テスト
拡張キー使用拡張は、存在しないか、「電子メール保護」OID を含める必要があります。
Netscape 証明書の種類が存在しないか、S/MIME ビットが設定されている必要があります。 もし
S/MIME ビットが Netscape 証明書タイプに設定されていない場合、SSL クライアント ビットは
代替手段として許容されますが、警告が表示されます: これは一部の Verisign が原因です。
証明書は S/MIME ビットを設定しません。
[S / MIME 署名する
一般的な S/MIME クライアント テストに加えて、次の場合は digitalSignature ビットを設定する必要があります。
keyUsage 拡張が存在します。
[S / MIME Encryption
一般的な S/MIME テストに加えて、keyEncipherment ビットを設定する必要があります。
keyUsage 拡張機能が存在します。
[S / MIME CA
拡張キー使用拡張は、存在しないか、「電子メール保護」OID を含める必要があります。
Netscape 証明書タイプが存在しないか、S/MIME CA ビットが設定されている必要があります: これは
basicConstraints 拡張が存在しない場合の回避策として使用されます。
CRL 署名する
keyUsage 拡張子が存在しないか、CRL 署名ビットが設定されている必要があります。
CRL 署名する CA
通常の CA テストが適用されます。 この場合を除いて、basicConstraints エクステンションは
プレゼント。
onworks.net サービスを使用してオンラインで x509ssl を使用する
