Dit is de opdracht verificatiessl die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator
PROGRAMMA:
NAAM
verifiëren - Hulpprogramma om certificaten te verifiëren.
KORTE INHOUD
openssl controleren [-CApad directory] [-CA-bestand filet] [-doel doel] [-beleid arg]
[-negeer_kritisch] [-op tijd tijdstempel] [-check_ss_sig] [-crlbestand filet] [-crl_download]
[-crl_check] [-crl_check_all] [-beleid_check] [-expliciet_beleid] [-inhibit_any]
[-inhibit_map] [-x509_strikt] [-uitgebreide_crl] [-use_deltas] [-beleid_afdruk]
[-geen_alt_ketens] [-niet vertrouwd filet] [-Help] [-uitgevende_cheques] [-vertrouwd filet] [-uitgebreid] [-]
[certificaten]
PRODUCTBESCHRIJVING
De controleren opdracht verifieert certificaatketens.
COMMAND OPTIES
-CApad directory
Een map met vertrouwde certificaten. De certificaten moeten de volgende namen hebben:
hash.0 of symbolische links ernaar hebben in deze vorm ("hash" is het gehashte certificaat
onderwerpnaam: zie de -hasj optie van de x509 nutsvoorziening). Onder Unix wordt het c_rehash
script maakt automatisch symbolische koppelingen naar een map met certificaten.
-CA-bestand filet Een bestand met vertrouwde certificaten. Het bestand moet meerdere certificaten bevatten
in PEM-formaat aaneengeschakeld.
-op tijd tijdstempel
Voer validatiecontroles uit met behulp van de tijd die is opgegeven door tijdstempel en niet het huidige systeem
tijd. tijdstempel is het aantal seconden sinds 01.01.1970 (UNIX-tijd).
-check_ss_sig
Controleer de handtekening op de zelfondertekende hoofd-CA. Dit is standaard uitgeschakeld omdat
het voegt geen enkele beveiliging toe.
-crlbestand filet
Bestand met één of meerdere CRL's (in PEM-formaat) om te laden.
-crl_download
Probeer CRL-informatie voor dit certificaat te downloaden.
-crl_check
Controleert de geldigheid van het certificaat van de eindentiteit door te proberen een geldige CRL op te zoeken. Als een
Er kan geen geldige CRL worden gevonden. Er treedt een fout op.
-niet vertrouwd filet
Een bestand met niet-vertrouwde certificaten. Het bestand moet meerdere certificaten in PEM bevatten
formaat aaneengeschakeld.
-doel doel
Het beoogde gebruik van het certificaat. Als deze optie niet is opgegeven, controleren zal niet
houd rekening met het doel van het certificaat tijdens ketenverificatie. Momenteel geaccepteerde toepassingen zijn
SSL-client, SSL-server, nssslserver, smimesign, smimeencrypt. Zie het CONTROLEREN OPERATIE
sectie voor meer informatie.
-Help
Druk een gebruiksbericht af.
-uitgebreid
Druk extra informatie af over de bewerkingen die worden uitgevoerd.
-uitgevende_cheques
Diagnostische gegevens afdrukken met betrekking tot zoekopdrachten naar het certificaat van de huidige uitgever
certificaat. Hieruit blijkt waarom elk kandidaat-uitgevercertificaat werd afgewezen. De
de aanwezigheid van afwijzingsberichten betekent op zichzelf niet dat er iets mis is; tijdens
Tijdens het normale verificatieproces kunnen er meerdere afwijzingen plaatsvinden.
-beleid arg
Beleidsverwerking inschakelen en toevoegen arg aan de door de gebruiker initiële beleidsset (zie RFC5280). De
beleidsmaatregelen arg kan een objectnaam en een OID in numerieke vorm zijn. Dit argument kan verschijnen
meerdere keren.
-beleid_check
Maakt verwerking van certificaatbeleid mogelijk.
-expliciet_beleid
Stel de beleidsvariabele require-explicit-policy in (zie RFC5280).
-inhibit_any
Stel de beleidsvariabele inhibit-any-policy in (zie RFC5280).
-inhibit_map
Stel de beleidsvariabele inhibit-policy-mapping in (zie RFC5280).
-geen_alt_ketens
Bij het bouwen van een certificaatketen, als de eerste gevonden certificaatketen dat niet is
vertrouwd, dan blijft OpenSSL controleren of er een alternatieve keten mogelijk is
gevonden die vertrouwd is. Met deze optie wordt dat gedrag onderdrukt, zodat alleen de
eerste gevonden ketting wordt ooit gebruikt. Als u deze optie gebruikt, wordt het gedrag geforceerd aangepast
die van eerdere OpenSSL-versies.
-vertrouwd filet
Een bestand met aanvullende vertrouwde certificaten. Het bestand moet meerdere bevatten
certificaten in PEM-formaat aaneengeschakeld.
-beleid_afdruk
Diagnostische gegevens met betrekking tot beleidsverwerking afdrukken.
-crl_check
Controleert de geldigheid van het certificaat van de eindentiteit door te proberen een geldige CRL op te zoeken. Als een
Er kan geen geldige CRL worden gevonden. Er treedt een fout op.
-crl_check_all
Controleert de geldigheid van allen certificaten in de keten door te proberen geldige certificaten op te zoeken
CRL's.
-negeer_kritisch
Normaal gesproken als er een onverwerkte kritieke extensie aanwezig is die niet wordt ondersteund door
OpenSSL het certificaat wordt afgewezen (zoals vereist door RFC5280). Als deze optie is ingesteld
kritische extensies worden genegeerd.
-x509_strikt
Voor strikte naleving van X.509 schakelt u niet-conforme oplossingen voor defecten uit
certificaten.
-uitgebreide_crl
Schakel uitgebreide CRL-functies in, zoals indirecte CRL's en alternatieve CRL-ondertekeningssleutels.
-use_deltas
Ondersteuning voor delta-CRL's inschakelen.
-check_ss_sig
Controleer de handtekening op de zelfondertekende hoofd-CA. Dit is standaard uitgeschakeld omdat
het voegt geen enkele beveiliging toe.
- Geeft de laatste optie aan. Er wordt aangenomen dat alle argumenten die hierop volgen een certificaat zijn
bestanden. Dit is handig als de eerste certificaatbestandsnaam begint met a -.
certificaten
Eén of meer certificaten om te verifiëren. Als er geen certificaten worden afgegeven, controleren zal proberen
om een certificaat uit standaardinvoer te lezen. Certificaten moeten de PEM-indeling hebben.
CONTROLEREN OPERATIE
De controleren programma gebruikt dezelfde functies als de interne SSL- en S/MIME-verificatie,
daarom is deze beschrijving ook van toepassing op deze verificatiebewerkingen.
Er is één cruciaal verschil tussen de verificatiebewerkingen die worden uitgevoerd door de controleren
programma: waar mogelijk wordt geprobeerd om na een fout verder te gaan terwijl dat normaal het geval is
de verificatiebewerking zou stoppen bij de eerste fout. Hierdoor zijn alle problemen met a
certificaatketen te bepalen.
De verificatiebewerking bestaat uit een aantal afzonderlijke stappen.
Allereerst wordt er een certificaatketen opgebouwd, beginnend bij het aangeleverde certificaat en eindigend
in de root-CA. Het is een fout als de hele keten niet kan worden opgebouwd. De keten is gebouwd
omhoog door het certificaat van de uitgever van het huidige certificaat op te zoeken. Als er een certificaat is
gevonden die zijn eigen uitgever is, wordt aangenomen dat dit de root-CA is.
Het proces van het 'opzoeken van het certificaat van de uitgever' zelf omvat een aantal stappen. In
versies van OpenSSL vóór 0.9.5a het eerste certificaat waarvan de onderwerpnaam overeenkomt met de
Er werd aangenomen dat de uitgever van het huidige certificaat het certificaat van de uitgever was. In OpenSSL
0.9.6 en later alle certificaten waarvan de onderwerpnaam overeenkomt met de naam van de uitgever van het huidige
certificaat worden aan verdere tests onderworpen. De relevante componenten van de sleutelidentificatie van de autoriteit
van het huidige certificaat (indien aanwezig) moet overeenkomen met de subject key identifier (indien aanwezig)
en uitgever en serienummer van de kandidaat-uitgever, naast de keyUsage-extensie
van de kandidaat-uitgever (indien aanwezig) moet ondertekening van certificaten toestaan.
De zoekopdracht zoekt eerst in de lijst met niet-vertrouwde certificaten en als er geen overeenkomst wordt gevonden, wordt de
de resterende zoekopdrachten zijn afkomstig van de vertrouwde certificaten. Er wordt altijd naar de root-CA opgezocht
de lijst met vertrouwde certificaten: als het te verifiëren certificaat een rootcertificaat is, dan is er een
exacte match moet worden gevonden in de vertrouwde lijst.
De tweede bewerking is het controleren van de consistentie van alle niet-vertrouwde certificaatextensies
met het opgegeven doel. Als de -doel optie niet is opgenomen, worden er geen controles uitgevoerd.
Het meegeleverde of "blad"-certificaat moet extensies hebben die compatibel zijn met het meegeleverde certificaat
doel en alle andere certificaten moeten ook geldige CA-certificaten zijn. De precieze
vereiste uitbreidingen worden gedetailleerder beschreven in de CERTIFICAAT EXTENSIONS gedeelte van
the x509 utility.
De derde handeling is het controleren van de vertrouwensinstellingen op de root-CA. De root-CA zou moeten zijn
vertrouwd voor het opgegeven doel. Voor compatibiliteit met eerdere versies van SSLeay en
OpenSSL: een certificaat zonder vertrouwensinstellingen wordt als geldig beschouwd voor alle doeleinden.
De laatste handeling is het controleren van de geldigheid van de certificaatketen. De geldigheidsduur
wordt gecontroleerd aan de hand van de huidige systeemtijd en de datums notBefore en notAfter in de
certificaat. De certificaathandtekeningen worden op dit punt ook gecontroleerd.
Als alle bewerkingen succesvol zijn voltooid, wordt het certificaat als geldig beschouwd. Indien aanwezig
mislukt, dan is het certificaat niet geldig.
DIAGNOSE
Wanneer een verificatiebewerking mislukt, kunnen de uitvoerberichten enigszins cryptisch zijn. De algemene
vorm van de foutmelding is:
server.pem: /C=AU/ST=Queensland/O=CryptSoft Pty Ltd/CN=Test CA (1024 bit)
fout 24 bij 1 dieptezoekopdracht: ongeldig CA-certificaat
De eerste regel bevat de naam van het certificaat dat wordt geverifieerd, gevolgd door het onderwerp
naam van het certificaat. De tweede regel bevat het foutnummer en de diepte. De
diepte is het nummer van het certificaat dat wordt geverifieerd toen er een probleem werd gedetecteerd
met nul voor het certificaat dat zelf wordt geverifieerd en vervolgens 1 voor de CA die het certificaat heeft ondertekend
certificaat enzovoort. Tenslotte wordt een tekstversie van het foutnummer gepresenteerd.
Hieronder vindt u een uitputtende lijst van de foutcodes en meldingen, inclusief de
naam van de foutcode zoals gedefinieerd in het headerbestand x509_vfy.h Enkele foutcodes
zijn gedefinieerd maar nooit geretourneerd: deze worden beschreven als "ongebruikt".
0 X509_V_OK: ok
de operatie was succesvol.
2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: niet in staat naar krijgen emittent certificaat
het uitgeverscertificaat van een opgezocht certificaat kon niet worden gevonden. Dit normaal
betekent dat de lijst met vertrouwde certificaten niet compleet is.
3 X509_V_ERR_UNABLE_TO_GET_CRL: niet in staat naar krijgen certificaat CRL
de CRL van een certificaat kon niet worden gevonden.
4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE: niet in staat naar decoderen certificaat handtekening
de certificaathandtekening kon niet worden gedecodeerd. Dit betekent dat de daadwerkelijke handtekening
waarde kon niet worden bepaald, in plaats van dat deze niet overeenkomt met de verwachte waarde
alleen zinvol voor RSA-sleutels.
5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE: niet in staat naar decoderen CRL's handtekening
de CRL-handtekening kon niet worden ontsleuteld: dit betekent dat de werkelijke handtekeningwaarde is
niet kon worden vastgesteld, maar dat deze niet overeenkwam met de verwachte waarde. Ongebruikt.
6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY: niet in staat naar decoderen emittent publiek sleutel
de publieke sleutel in het certificaat SubjectPublicKeyInfo kon niet worden gelezen.
7 X509_V_ERR_CERT_SIGNATURE_FAILURE: certificaat handtekening storing
de handtekening van het certificaat is ongeldig.
8 X509_V_ERR_CRL_SIGNATURE_FAILURE: CRL handtekening storing
de handtekening van het certificaat is ongeldig.
9 X509_V_ERR_CERT_NOT_YET_VALID: certificaat is niet nog geldig
het certificaat is nog niet geldig: de notBefore-datum ligt na de huidige tijd.
10 X509_V_ERR_CERT_HAS_EXPIRED: certificaat heeft verlopen
het certificaat is verlopen: dat wil zeggen dat de notAfter-datum vóór de huidige tijd ligt.
11 X509_V_ERR_CRL_NOT_YET_VALID: CRL is niet nog geldig
de CRL is nog niet geldig.
12 X509_V_ERR_CRL_HAS_EXPIRED: CRL heeft verlopen
de CRL is verlopen.
13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD: formaat fout in certificaat niet Hiervoor
veld-
het veld certificaat notBefore bevat een ongeldige tijd.
14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD: formaat fout in certificaat niet na veld-
het veld certificaat notAfter bevat een ongeldige tijd.
15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD: formaat fout in CRL's laatste update veld-
het veld CRL lastUpdate bevat een ongeldige tijd.
16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD: formaat fout in CRL's volgendeUpdate veld-
het veld CRL nextUpdate bevat een ongeldige tijd.
17 X509_V_ERR_OUT_OF_MEM: uit of geheugen
Er is een fout opgetreden bij het toewijzen van geheugen. Dit mag nooit gebeuren.
18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT: zelf Gesigneerd certificaat
het geslaagde certificaat is zelfondertekend en hetzelfde certificaat kan niet worden gevonden in de
lijst met vertrouwde certificaten.
19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: zelf Gesigneerd certificaat in certificaat keten
de certificaatketen kan worden opgebouwd met behulp van de niet-vertrouwde certificaten, behalve de root
kon lokaal niet gevonden worden.
20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: niet in staat naar krijgen lokaal emittent certificaat
het uitgeverscertificaat kon niet worden gevonden: dit gebeurt als het uitgeverscertificaat van een
Er kan geen niet-vertrouwd certificaat worden gevonden.
21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE: niet in staat naar controleren the eerste certificaat
er konden geen handtekeningen worden geverifieerd omdat de keten slechts één certificaat bevat
is niet zelfondertekend.
22 X509_V_ERR_CERT_CHAIN_TOO_LONG: certificaat keten ook lang
de lengte van de certificaatketting is groter dan de opgegeven maximale diepte. Ongebruikt.
23 X509_V_ERR_CERT_REVOKED: certificaat herroepen
het certificaat is ingetrokken.
24 X509_V_ERR_INVALID_CA: ongeldig CA certificaat
een CA-certificaat is ongeldig. Het is óf geen CA, óf de extensies ervan zijn dat niet
in overeenstemming met het opgegeven doel.
25 X509_V_ERR_PATH_LENGTH_EXCEEDED: pad lengte beperking overschreden
de pathlength-parameter basicConstraints is overschreden.
26 X509_V_ERR_INVALID_PURPOSE: niet gesteund certificaat doel
het meegeleverde certificaat kan niet voor het aangegeven doel worden gebruikt.
27 X509_V_ERR_CERT_UNTRUSTED: certificaat niet vertrouwde
de hoofd-CA is niet gemarkeerd als vertrouwd voor het opgegeven doel.
28 X509_V_ERR_CERT_REJECTED: certificaat verworpen
de root-CA is gemarkeerd om het opgegeven doel af te wijzen.
29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH: onderwerpen emittent wanverhouding
het huidige kandidaat-uitgevercertificaat werd afgewezen omdat de onderwerpnaam dat niet deed
overeenkomen met de naam van de uitgever van het huidige certificaat. Wordt alleen weergegeven als de
-uitgevende_cheques optie is ingesteld.
30 X509_V_ERR_AKID_SKID_MISMATCH: autoriteit en onderwerpen sleutel identificatie wanverhouding
het huidige kandidaat-uitgevercertificaat is afgewezen vanwege de onderwerpsleutel
ID was aanwezig en kwam niet overeen met de huidige autorisatiesleutel-ID
certificaat. Wordt alleen weergegeven als de -uitgevende_cheques optie is ingesteld.
31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH: autoriteit en emittent serie- aantal wanverhouding
het huidige kandidaat-uitgevercertificaat is afgewezen vanwege de naam van de uitgever en
serienummer was aanwezig en kwam niet overeen met de autorisatiesleutel-ID van de
huidige certificaat. Wordt alleen weergegeven als de -uitgevende_cheques optie is ingesteld.
32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN: sleutel gebruik doet niet omvatten certificaat het ondertekenen van
het huidige kandidaat-uitgevercertificaat is afgewezen vanwege de keyUsage-extensie
staat het ondertekenen van certificaten niet toe.
50 X509_V_ERR_APPLICATION_VERIFICATION: toepassing verificatie storing
een applicatiespecifieke fout. Ongebruikt.
Gebruik verificatiessl online met behulp van onworks.net-services
