Engels Frans Spaans

GoGPT Best VPN GoSearch

OnWorks-favicon

x509ssl - Online in de cloud

Voer x509ssl uit in de gratis hostingprovider van OnWorks via Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator

Dit is de opdracht x509ssl die kan worden uitgevoerd in de gratis hostingprovider van OnWorks met behulp van een van onze meerdere gratis online werkstations zoals Ubuntu Online, Fedora Online, Windows online emulator of MAC OS online emulator

PROGRAMMA:

NAAM


x509 - Hulpprogramma voor weergave en ondertekening van certificaten

KORTE INHOUD


openssl x509 [-informeren DER|PEM|NET] [-outformeren DER|PEM|NET] [-sleutelvorm DER|PEM] [-CA-formulier
DER|PEM] [-CAsleutelformulier DER|PEM] [-in bestandsnaam] [-uit bestandsnaam] [Serial] [-hasj]
[-onderwerp_hash] [-uitgever_hash] [-ocspid] [-onderwerp] [-uitgever] [-naamopt optie] [-e-mail]
[-ocsp_uri] [-begin datum] [-einddatum] [-doel] [-datums] [-controleer num] [-module]
[-pubsleutel] [-vingerafdruk] [-alias] [-no-out] [-vertrouwen] [-clrvertrouwen] [-clrafwijzen] [-addvertrouwen
arg] [-addreject arg] [-setalias arg] [-dagen arg] [-set_serieel n] [-tekensleutel bestandsnaam]
[-passeren arg] [-x509toreq] [-vereist] [-CA bestandsnaam] [-CAsleutel bestandsnaam] [-CAcreateserieel]
[-CAserieel bestandsnaam] [-force_pubkey sleutel] [-tekst] [-certopt optie] [-C]
[-md2|-md5|-sha1|-mdc2] [-clrext] [-ext-bestand bestandsnaam] [-extensies sectie] [-motor id]

PRODUCTBESCHRIJVING


De x509 command is een multifunctioneel certificaathulpprogramma. Het kan worden gebruikt om weer te geven
certificaatinformatie, certificaten naar verschillende vormen converteren, certificaataanvragen ondertekenen
zoals een "mini CA" of bewerk de vertrouwensinstellingen van certificaten.

Omdat er een groot aantal opties zijn, worden ze opgesplitst in verschillende secties.

OPTIES


INVOER, OUTPUT EN ALGEMEEN DOEL OPTIES
-informeren DER|PEM|NET
Dit specificeert het invoerformaat, normaal gesproken verwacht de opdracht een X509-certificaat
maar dit kan veranderen als andere opties zoals -vereist zijn aanwezig. Het DER-formaat is het
DER-codering van het certificaat en PEM is de base64-codering van de DER-codering
met toegevoegde kop- en voettekstregels. De NET-optie is een obscure Netscape-server
formaat dat inmiddels verouderd is.

-outformeren DER|PEM|NET
Dit specificeert het uitvoerformaat, de opties hebben dezelfde betekenis als de -informeren
optie.

-in bestandsnaam
Dit specificeert de invoerbestandsnaam waarvan een certificaat moet worden gelezen, of standaardinvoer als dit het geval is
optie is niet gespecificeerd.

-uit bestandsnaam
Dit specificeert de naam van het uitvoerbestand waarnaar standaard moet worden geschreven of de standaarduitvoer.

-md2|-md5|-sha1|-mdc2
de te gebruiken samenvatting. Dit is van invloed op elke ondertekenings- of weergaveoptie waarbij een bericht wordt gebruikt
verteren, zoals de -vingerafdruk, -tekensleutel en -CA opties. Indien niet gespecificeerd, dan SHA1
is gebruikt. Als de sleutel waarmee wordt ondertekend een DSA-sleutel is, heeft deze optie Nee
effect: SHA1 wordt altijd gebruikt met DSA-sleutels.

-motor id
het specificeren van een motor (door zijn unieke id string) zal veroorzaken x509 proberen om een
functionele verwijzing naar de gespecificeerde engine, waardoor deze indien nodig wordt geïnitialiseerd. De
engine wordt dan ingesteld als de standaard voor alle beschikbare algoritmen.

DISPLAY OPTIES
Merk op -alias en -doel opties zijn ook weergaveopties, maar worden beschreven in de
TRUST INSTELLINGEN pagina.

-tekst
drukt het certificaat in tekstvorm af. Volledige details worden weergegeven, inclusief het publiek
sleutel, handtekeningalgoritmen, namen van uitgever en onderwerp, serienummer en eventuele extensies
aanwezig en eventuele vertrouwensinstellingen.

-certopt optie
pas het gebruikte uitvoerformaat aan -tekst. De optie argument kan enkelvoudig zijn
optie of meerdere opties gescheiden door komma's. De -certopt schakelaar kan ook zijn
meer dan eens gebruikt om meerdere opties in te stellen. Zie de TEKST OPTIES sectie voor meer
informatie.

-no-out
deze optie voorkomt uitvoer van de gecodeerde versie van het verzoek.

-pubsleutel
voert het SubjectPublicKeyInfo-blok van het certificaat uit in PEM-indeling.

-module
deze optie drukt de waarde af van de modulus van de publieke sleutel in de
certificaat.

Serial
voert het serienummer van het certificaat uit.

-onderwerp_hash
geeft de "hash" van de certificaatonderwerpnaam weer. Dit wordt in OpenSSL gebruikt om een
index om toe te staan ​​dat certificaten in een map kunnen worden opgezocht op onderwerpnaam.

-uitgever_hash
geeft de "hash" van de naam van de certificaatuitgever weer.

-ocspid
voert de OCSP-hashwaarden uit voor de onderwerpnaam en de openbare sleutel.

-hasj
synoniem voor "-subject_hash" vanwege achterwaartse compatibiliteitsredenen.

-onderwerp_hash_oud
geeft de "hash" van de certificaatonderwerpnaam weer met behulp van het oudere algoritme zoals gebruikt
door OpenSSL-versies vóór 1.0.0.

-uitgever_hash_oud
voert de "hash" uit van de naam van de certificaatuitgever met behulp van het oudere algoritme zoals gebruikt door
OpenSSL-versies vóór 1.0.0.

-onderwerp
voert de onderwerpnaam uit.

-uitgever
geeft de naam van de uitgever weer.

-naamopt optie
optie die bepaalt hoe de naam van het onderwerp of de uitgever wordt weergegeven. De optie
argument kan een enkele optie zijn of meerdere opties, gescheiden door komma's.
Als alternatief de -naamopt De schakelaar kan meerdere keren worden gebruikt om meerdere opties in te stellen.
Zie de NAAM OPTIES sectie voor meer informatie.

-e-mail
voert het/de e-mailadres(sen) uit, indien aanwezig.

-ocsp_uri
voert de OCSP-responderadressen uit, indien aanwezig.

-begin datum
drukt de startdatum van het certificaat af, dat wil zeggen de notBefore-datum.

-einddatum
drukt de vervaldatum van het certificaat af, dat wil zeggen de notAfter-datum.

-datums
drukt de start- en vervaldatum van een certificaat af.

-controleer arg
controleert of het certificaat binnen de volgende tijd verloopt arg seconden en eindigt niet-nul if
ja, het vervalt of nul, zo niet.

-vingerafdruk
drukt de samenvatting af van de DER-gecodeerde versie van het hele certificaat (zie samenvatting
opties).

-C hierdoor wordt het certificaat uitgevoerd in de vorm van een C-bronbestand.

TRUST INSTELLINGEN
Houd er rekening mee dat deze opties momenteel experimenteel zijn en mogelijk nog veranderen.

A vertrouwde certificaat is een gewoon certificaat dat verschillende extra stukken bevat
daaraan gekoppelde informatie, zoals het toegestane en verboden gebruik van het certificaat
en een "alias".

Normaal gesproken moet er bij het verifiëren van een certificaat minstens één certificaat "vertrouwd" zijn.
Standaard moet een vertrouwd certificaat lokaal worden opgeslagen en moet het een root-CA zijn: any
certificaatketen die eindigt op deze CA is dan voor elk doel bruikbaar.

Vertrouwensinstellingen worden momenteel alleen gebruikt met een root-CA. Ze maken een fijnere controle over de
doeleinden waarvoor de root-CA kan worden gebruikt. Een CA kan bijvoorbeeld worden vertrouwd voor een SSL-client, maar
geen SSL-servergebruik.

Zie de beschrijving van de controleren hulpprogramma voor meer informatie over de betekenis van vertrouwen
instellingen.

Toekomstige versies van OpenSSL zullen vertrouwensinstellingen op elk certificaat herkennen: niet alleen op root
CA's.

-vertrouwen
dit veroorzaakt x509 om een ​​uit te voeren vertrouwde certificaat. Een gewoon of vertrouwd certificaat
kan worden ingevoerd, maar standaard wordt een gewoon certificaat en eventuele vertrouwensinstellingen uitgevoerd
worden weggegooid. Met de -vertrouwen optie wordt een vertrouwd certificaat uitgevoerd. Een vertrouwde
certificaat wordt automatisch uitgevoerd als vertrouwensinstellingen worden gewijzigd.

-setalias arg
stelt de alias van het certificaat in. Hierdoor kan naar het certificaat worden verwezen
met behulp van een bijnaam, bijvoorbeeld "Steve's Certificate".

-alias
voert de certificaatalias uit, indien aanwezig.

-clrvertrouwen
wist al het toegestane of vertrouwde gebruik van het certificaat.

-clrafwijzen
wist al het verboden of afgewezen gebruik van het certificaat.

-addvertrouwen arg
voegt een vertrouwd certificaatgebruik toe. Elke objectnaam kan hier worden gebruikt, maar momenteel alleen
clientAuth (SSL-clientgebruik), serverAuth (SSL-servergebruik) en emailBescherming (S/MIME
e-mail) worden gebruikt. Andere OpenSSL-toepassingen kunnen aanvullende toepassingen definiëren.

-addreject arg
voegt een verboden gebruik toe. Het accepteert dezelfde waarden als de -addvertrouwen optie.

-doel
deze optie voert tests uit op de certificaatextensies en voert de resultaten uit. Voor
een meer volledige beschrijving zie de CERTIFICAAT EXTENSIONS pagina.

ONDERTEKENEN OPTIES
De x509 hulpprogramma kan worden gebruikt om certificaten en verzoeken te ondertekenen: het kan zich dus gedragen als een
"mini-CA".

-tekensleutel bestandsnaam
deze optie zorgt ervoor dat het invoerbestand zelf wordt ondertekend met de meegeleverde privésleutel.

Als het invoerbestand een certificaat is, wordt de naam van de uitgever ingesteld op de onderwerpnaam (bijv
maakt het zelf ondertekend) verandert de publieke sleutel in de opgegeven waarde en verandert de
begin- en einddata. De startdatum wordt ingesteld op de huidige tijd en de einddatum wordt ingesteld
naar een waarde die wordt bepaald door de -dagen keuze. Eventuele certificaatextensies blijven behouden
Tenzij de -clrext optie wordt meegeleverd.

Als de invoer een certificaatverzoek is, wordt er een zelfondertekend certificaat gemaakt met behulp van
de opgegeven privésleutel met behulp van de onderwerpnaam in het verzoek.

-passeren arg
de belangrijkste wachtwoordbron. Voor meer informatie over de indeling van arg zie PASS
UITDRUKKING ARGUMENTEN sectie in openssl(1).

-clrext
verwijder eventuele extensies van een certificaat. Deze optie wordt gebruikt als er een certificaat is
wordt gemaakt op basis van een ander certificaat (bijvoorbeeld met de -tekensleutel of de -CA
opties). Normaal gesproken blijven alle extensies behouden.

-sleutelvorm PEM|DER
specificeert het formaat (DER of PEM) van het privésleutelbestand dat wordt gebruikt in het -tekensleutel optie.

-dagen arg
specificeert het aantal dagen waarvoor een certificaat geldig moet zijn. De standaardwaarde is 30 dagen.

-x509toreq
converteert een certificaat naar een certificaataanvraag. De -tekensleutel optie wordt gebruikt om door te geven
de vereiste privésleutel.

-vereist
standaard wordt bij invoer een certificaat verwacht. Met deze optie een certificaataanvraag
wordt in plaats daarvan verwacht.

-set_serieel n
specificeert het te gebruiken serienummer. Deze optie kan worden gebruikt met de -tekensleutel
or -CA opties. Indien gebruikt in combinatie met de -CA optie het serienummerbestand (zoals
gespecificeerd door de -CAserieel or -CAcreateserieel opties) wordt niet gebruikt.

Het serienummer kan decimaal of hexadecimaal zijn (indien voorafgegaan door 0x). Negatieve serienummers
kunnen ook worden gespecificeerd, maar het gebruik ervan wordt niet aanbevolen.

-CA bestandsnaam
specificeert het CA-certificaat dat moet worden gebruikt voor ondertekening. Wanneer deze optie aanwezig is x509
gedraagt ​​zich als een "mini CA". Het invoerbestand wordt door deze CA ondertekend met behulp van deze optie: that
De naam van de uitgever is ingesteld op de onderwerpnaam van de CA en is digitaal ondertekend
met behulp van de privésleutel van de CA.

Deze optie wordt normaal gesproken gecombineerd met de -vereist keuze. Zonder de -vereist optie de
invoer is een certificaat dat zelfondertekend moet zijn.

-CAsleutel bestandsnaam
stelt de persoonlijke CA-sleutel in waarmee een certificaat moet worden ondertekend. Als deze optie niet is opgegeven
dan wordt aangenomen dat de private CA-sleutel aanwezig is in het CA-certificaatbestand.

-CAserieel bestandsnaam
stelt het te gebruiken CA-serienummerbestand in.

Wanneer de -CA optie wordt gebruikt om een ​​certificaat te ondertekenen waarin het een serienummer gebruikt dat is opgegeven
een bestand. Dit bestand bestaat uit één regel met een even aantal hexadecimale cijfers met de
serienummer te gebruiken. Na elk gebruik wordt het serienummer verhoogd en uitgeschreven
opnieuw naar het bestand.

De standaardbestandsnaam bestaat uit de basisnaam van het CA-certificaatbestand met ".srl"
toegevoegd. Als het CA-certificaatbestand bijvoorbeeld "mycacert.pem" heet, verwacht het
om een ​​serienummerbestand te vinden met de naam "mycacert.srl".

-CAcreateserieel
met deze optie wordt het CA-serienummerbestand aangemaakt als het niet bestaat: dat zal wel gebeuren
bevat het serienummer "02" en het certificaat dat wordt ondertekend, heeft de 1 als zijn certificaat
serienummer. Normaal gesproken als de -CA optie is opgegeven en het serienummerbestand doet dat ook
bestaat niet, het is een fout.

-ext-bestand bestandsnaam
bestand met de te gebruiken certificaatextensies. Als dit niet is opgegeven, zijn er geen extensies
toegevoegd aan het certificaat.

-extensies sectie
de sectie waaruit u certificaatextensies wilt toevoegen. Als deze optie niet is opgegeven, dan
de extensies moeten zich bevinden in de naamloze (standaard) sectie of in de
standaardsectie moet een variabele bevatten met de naam "extensions" die de
sectie te gebruiken. Zie de x509v3_config(5) handleidingpagina voor details van de extensie
sectie formaat.

-force_pubkey sleutel
Wanneer een certificaat wordt aangemaakt, stelt u de openbare sleutel in op sleutel in plaats van de sleutel in de
certificaat of certificaataanvraag. Deze optie is handig voor het maken van certificaten
waarbij het algoritme normaal gesproken geen verzoeken kan ondertekenen, bijvoorbeeld DH.

Het formaat of sleutel kan worden opgegeven met behulp van de -sleutelvorm optie.

NAAM OPTIES
De naamopt opdrachtregelschakelaar bepaalt hoe de namen van het onderwerp en de uitgever worden weergegeven.
Zo nee naamopt switch aanwezig is, wordt het standaard "oneline"-formaat gebruikt dat compatibel is
met eerdere versies van OpenSSL. Elke optie wordt hieronder in detail beschreven, alle opties
kan worden voorafgegaan door een - om de optie uit te schakelen. Normaal gesproken worden alleen de eerste vier gebruikt.

compat
gebruik het oude formaat. Dit komt overeen met het opgeven van helemaal geen naamopties.

RFC2253
geeft namen weer die compatibel zijn met RFC2253, equivalent aan esc_2253, esc_ctrl, esc_msb,
utf8, dump_nostr, dump_onbekend, dump_der, sep_comma_plus, dn_rev en opstijgen.

een lijn
een éénregelig formaat dat beter leesbaar is dan RFC2253. Het is hetzelfde als specificeren
the esc_2253, esc_ctrl, esc_msb, utf8, dump_nostr, dump_der, gebruik_quote,
sep_comma_plus_spatie, ruimte_eq en opstijgen opties.

multiline
een meerregelig formaat. Het is gelijkwaardig esc_ctrl, esc_msb, sep_multiline, ruimte_eq, naam
en richten.

esc_2253
ontsnappen aan de "speciale" tekens die vereist zijn door RFC2253 in een veld ,+"<>;.
Daarnaast # wordt geëscaped aan het begin van een tekenreeks en een spatie aan de
begin of einde van een string.

esc_ctrl
ontsnappen aan controlekarakters. Dat zijn degenen met ASCII-waarden kleiner dan 0x20 (spatie) en
het verwijderteken (0x7f). Ze worden geëscaped met behulp van de RFC2253 \XX-notatie (waarbij XX
zijn twee hexadecimale cijfers die de tekenwaarde vertegenwoordigen).

esc_msb
escape-tekens met de MSB-set, dat wil zeggen met ASCII-waarden groter dan 127.

gebruik_quote
ontsnapt aan sommige tekens door de hele string te omringen " karakters, zonder de
optie alle ontsnappingen worden gedaan met de \ karakter.

utf8
converteer eerst alle strings naar UTF8-formaat. Dit is vereist door RFC2253. Als je bent
gelukkig genoeg om een ​​UTF8-compatibele terminal te hebben, dan is het gebruik van deze optie (en niet
het instellen van esc_msb) kan resulteren in de juiste weergave van multibyte (internationaal)
karakters. Is deze optie niet aanwezig dan zijn multibyte karakters groter dan 0xff
wordt weergegeven met het formaat \UXXXX voor 16 bits en \WXXXXXXXX voor 32 bits.
Ook als deze optie is uitgeschakeld, worden alle UTF8Strings geconverteerd naar hun tekenvorm
kopen.

negeer_type
deze optie probeert op geen enkele manier multibyte-tekens te interpreteren. Dat is
hun inhoudsoctetten worden slechts gedumpt alsof één octet elk teken vertegenwoordigt.
Dit is handig voor diagnostische doeleinden, maar zal resulteren in een nogal vreemd ogende uitvoer.

show_type
toon het type van de ASN1-tekenreeks. Het type gaat vooraf aan de veldinhoud. Voor
voorbeeld "BMPSTRING: Hallo wereld".

dump_der
Wanneer deze optie is ingesteld, worden alle velden die moeten worden gehexdumpt, gedumpt met behulp van de
DER-codering van het veld. Anders worden alleen de inhoudsoctetten weergegeven. Beide
opties gebruiken de RFC2253 #XXXX... formaat.

dump_nostr
dump niet-tekenreekstypen (bijvoorbeeld OCTET STRING) als deze optie niet is ingesteld
dan worden niet-tekenreekstypen weergegeven alsof elk inhoudsoctet is
staat voor een enkel teken.

dump_alles
dump alle velden. Deze optie indien gebruikt met dump_der staat de DER-codering toe van de
structuur ondubbelzinnig vast te stellen.

dump_onbekend
dump elk veld waarvan de OID niet wordt herkend door OpenSSL.

sep_comma_plus, sep_comma_plus_spatie, sep_semi_plus_space, sep_multiline
deze opties bepalen de veldscheidingstekens. Het eerste teken bevindt zich tussen RDN's en
de tweede tussen meerdere AVA's (meerdere AVA's zijn zeer zeldzaam en het gebruik ervan is dat ook
ontmoedigd). De opties die eindigen op "spatie" plaatsen bovendien een spatie na de
scheidingsteken om het leesbaarder te maken. De sep_multiline gebruikt een linefeed-teken voor
het RDN-scheidingsteken en een tussenruimte + voor de AVA-afscheider. De velden worden ook ingesprongen met
vier karakters. Als er geen veldscheidingsteken is opgegeven, dan sep_comma_plus_spatie is gebruikt
standaard.

dn_rev
keer de velden van de DN om. Dit is vereist door RFC2253. Als bijwerking dit ook
keert de volgorde van meerdere AVA's om, maar dit is toegestaan.

naam, opstijgen, naam, horen
deze opties veranderen hoe de veldnaam wordt weergegeven. naam geeft de niet weer
veld überhaupt. opstijgen gebruikt de vorm "korte naam" (CN voor commonName bijvoorbeeld). naam
gebruikt het lange formulier. horen vertegenwoordigt de OID in numerieke vorm en is nuttig voor
diagnostisch doel.

richten
lijn veldwaarden uit voor een beter leesbare uitvoer. Alleen bruikbaar met sep_multiline.

ruimte_eq
plaatst spaties rond de = teken dat volgt op de veldnaam.

TEKST OPTIES
Naast het aanpassen van het naamuitvoerformaat, is het ook mogelijk om het daadwerkelijke
velden afgedrukt met behulp van de zeker opties wanneer de tekst optie aanwezig is. De standaard
gedrag is om alle velden af ​​te drukken.

verenigbaar
gebruik het oude formaat. Dit komt overeen met het opgeven van helemaal geen uitvoeropties.

geen_header
druk geen koptekstinformatie af: dat zijn de regels met de tekst "Certificaat" en "Gegevens".

geen_versie
druk het versienummer niet af.

geen_serieel
druk het serienummer niet af.

no_iname
druk het gebruikte handtekeningalgoritme niet af.

geen_geldigheid
druk de geldigheid niet af, dat is de niet Hiervoor en niet na te worden.

geen onderwerp
druk de onderwerpnaam niet af.

geen_uitgever
druk de naam van de uitgever niet af.

geen_pubkey
druk de openbare sleutel niet af.

geen_sigdump
geef geen hexadecimale dump van de certificaathandtekening.

geen_aux
druk geen certificaatvertrouwensinformatie af.

geen_extensies
druk geen X509V3-extensies af.

ext_default
standaardextensiegedrag behouden: probeer een niet-ondersteund certificaat af te drukken
extensies.

ext_fout
druk een foutmelding af voor niet-ondersteunde certificaatextensies.

ext_parse
ASN1 parseert niet-ondersteunde extensies.

ext_dump
hex dump niet-ondersteunde extensies.

ca_standaard
de waarde die wordt gebruikt door de ca nut, gelijk aan geen_uitgever, geen_pubkey, geen_header,
geen_versie, geen_sigdump en no_iname.

Voorbeelden


Let op: in deze voorbeelden betekent de '\' dat het voorbeeld allemaal op één regel moet staan.

Geef de inhoud van een certificaat weer:

openssl x509 -in cert.pem -noout -tekst

Geef het serienummer van het certificaat weer:

openssl x509 -in cert.pem -noout -serieel

Geef de onderwerpnaam van het certificaat weer:

openssl x509 -in cert.pem -noout -onderwerp

Geef de onderwerpnaam van het certificaat weer in RFC2253-vorm:

openssl x509 -in cert.pem -noout -onderwerp -naamopt RFC2253

Geef de onderwerpnaam van het certificaat in éénregelvorm weer op een terminal die UTF8 ondersteunt:

openssl x509 -in cert.pem -noout -subject -nameopt oneline, -esc_msb

Geef het certificaat MD5-vingerafdruk weer:

openssl x509 -in cert.pem -noout -vingerafdruk

Geef het certificaat SHA1-vingerafdruk weer:

openssl x509 -sha1 -in cert.pem -noout -vingerafdruk

Converteer een certificaat van PEM naar DER-formaat:

openssl x509 -in cert.pem -inform PEM -uit cert.der -outform DER

Converteer een certificaat naar een certificaataanvraag:

openssl x509 -x509toreq -in cert.pem -out req.pem -signkey sleutel.pem

Converteer een certificaatverzoek naar een zelfondertekend certificaat met behulp van extensies voor een CA:

openssl x509 -req -in careq.pem -extbestand openssl.cnf -extensions v3_ca \
-signkey key.pem -out cacert.pem

Onderteken een certificaataanvraag met het bovenstaande CA-certificaat en voeg een gebruikerscertificaat toe
extensies:

openssl x509 -req -in req.pem -extbestand openssl.cnf -extensions v3_usr \
-CA cacert.pem -CAkey key.pem -CAcreateserial

Stel een certificaat in dat u kunt vertrouwen voor SSL-clientgebruik en wijzig de alias in 'Steve's
Klasse 1 CA"

openssl x509 -in cert.pem -addtrust clientAuth \
-setalias "Steve's Class 1 CA" -uit trust.pem

OPMERKINGEN


Het PEM-formaat gebruikt de kop- en voettekstregels:

-----BEGIN CERTIFICAAT-----

-----EINDE CERTIFICAAT-----
het kan ook bestanden verwerken die het volgende bevatten:

-----BEGIN X509-CERTIFICAAT-----

-----EIND X509 CERTIFICAAT-----
Vertrouwde certificaten hebben de regels

-----BEGIN MET HET VERTROUWDE CERTIFICAAT-----

-----EINDE VERTROUWD CERTIFICAAT-----
Bij de conversie naar UTF8-indeling die bij de naamopties wordt gebruikt, wordt ervan uitgegaan dat T61Strings de
ISO8859-1 tekenset. Dit is verkeerd, maar Netscape en MSIE doen dit, net als velen
certificaten. Dus ook al is dit onjuist, het is waarschijnlijker dat het merendeel ervan wordt weergegeven
certificaten correct.

De -vingerafdruk optie neemt de samenvatting van het DER-gecodeerde certificaat. Dit is gewoonlijk
een "vingerafdruk" genoemd. Vanwege de aard van het bericht verteert de vingerafdruk van een
certificaat is uniek voor dat certificaat en twee certificaten met dezelfde vingerafdruk
kan als hetzelfde worden beschouwd.

De Netscape-vingerafdruk gebruikt MD5, terwijl MSIE SHA1 gebruikt.

De -e-mail optie zoekt naar de onderwerpnaam en de alternatieve naamextensie van het onderwerp.
Alleen unieke e-mailadressen worden afgedrukt: hetzelfde adres wordt niet meer afgedrukt
dan één keer

CERTIFICAAT EXTENSIONS


De -doel optie controleert de certificaatextensies en bepaalt wat het certificaat is
kan voor gebruikt worden. De daadwerkelijk uitgevoerde controles zijn nogal complex en omvatten verschillende hacks en
oplossingen voor het omgaan met kapotte certificaten en software.

Dezelfde code wordt gebruikt bij het verifiëren van niet-vertrouwde certificaten in ketens, dus dit gedeelte is dat ook
handig als een keten wordt afgewezen door de verificatiecode.

De CA-vlag van de basicConstraints-extensie wordt gebruikt om te bepalen of het certificaat kan worden
gebruikt als CA. Als de CA-vlag waar is, is het een CA, als de CA-vlag onwaar is, dan is het dat wel
geen CA. Alles Bij CA's moet de CA-vlag zijn ingesteld op true.

Als de extensie basicConstraints ontbreekt, wordt het certificaat beschouwd als een
"mogelijke CA" andere extensies worden gecontroleerd op basis van het beoogde gebruik van de
certificaat. Er wordt in dit geval een waarschuwing gegeven omdat het certificaat dat eigenlijk niet zou moeten zijn
beschouwd als een CA: het is echter toegestaan ​​om een ​​CA te zijn om kapotte software te omzeilen.

Als het certificaat een V1-certificaat is (en dus geen extensies heeft) en zelfondertekend is
Er wordt ook aangenomen dat het een CA is, maar er wordt opnieuw een waarschuwing gegeven: dit is om de
probleem met Verisign-roots, dit zijn zelfondertekende V1-certificaten.

Als de keyUsage-extensie aanwezig is, worden er extra beperkingen gesteld aan het gebruik van
het certificaat. Een CA-certificaat Dan moet je zorg ervoor dat de keyCertSign-bit is ingesteld als de keyUsage
uitbreiding aanwezig is.

De uitgebreide extensie voor sleutelgebruik legt extra beperkingen op aan het certificaatgebruik.
Als deze extensie aanwezig is (al dan niet kritisch) kan de sleutel alleen gebruikt worden voor de
doeleinden gespecificeerd.

Hieronder vindt u een volledige beschrijving van elke test. De opmerkingen over basicConstraints
en keyUsage- en V1-certificaten hierboven zijn van toepassing op allen CA-certificaten.

SSL Bedrijf
De extensie voor uitgebreid sleutelgebruik moet ontbreken of de 'webclient' bevatten
authenticatie" OID. keyUsage moet ontbreken of moet de digitalSignature-bit hebben
set. Het Netscape-certificaattype moet ontbreken of de SSL-clientbit moet zijn ingesteld.

SSL Bedrijf CA
De extensie voor uitgebreid sleutelgebruik moet ontbreken of de 'webclient' bevatten
authenticatie" OID. Het Netscape-certificaattype moet ontbreken of het moet SSL hebben
CA-bitset: dit wordt gebruikt als tijdelijke oplossing als de extensie basicConstraints afwezig is.

SSL Server
De extensie voor uitgebreid sleutelgebruik moet ontbreken of de 'webserver
authenticatie" en/of een van de SGC OID's. keyUsage moet ontbreken of moet aanwezig zijn
de digitalSignature, de keyEncipherment-set of beide bits ingesteld. Netscape-certificaat
type moet ontbreken of de SSL-serverbit moet zijn ingesteld.

SSL Server CA
De extensie voor uitgebreid sleutelgebruik moet ontbreken of de 'webserver
authenticatie" en/of een van de SGC OID's. Het Netscape-certificaattype moet ontbreken
of de SSL CA-bit moet worden ingesteld: dit wordt gebruikt als tijdelijke oplossing als de basicConstraints
extensie ontbreekt.

Netscape SSL Server
Als Netscape SSL-clients verbinding willen maken met een SSL-server, moet deze over de keyEncipherment beschikken
bit ingesteld als de keyUsage-extensie aanwezig is. Dit is niet altijd geldig, omdat sommige
cipher suites gebruiken de sleutel voor digitale ondertekening. Anders is het hetzelfde als normaal
SSL-server.

Gemeen S / MIME Bedrijf Tests
De uitgebreide extensie voor sleutelgebruik moet ontbreken of de OID voor "e-mailbeveiliging" bevatten.
Het Netscape-certificaattype moet ontbreken of de S/MIME-bit moet zijn ingesteld. Als de
De S/MIME-bit is niet ingesteld als netscape-certificaattype, maar de SSL-clientbit is dat wel
getolereerd als alternatief, maar er wordt een waarschuwing getoond: dit komt omdat er Verisign
certificaten stellen de S/MIME-bit niet in.

S / MIME Signing
Naast de gebruikelijke S/MIME-clienttests moet de digitalSignature-bit worden ingesteld als
de keyUsage-extensie is aanwezig.

S / MIME Encryptie
Naast de gebruikelijke S/MIME-tests moet de keyEncipherment-bit worden ingesteld als de
keyUsage-extensie is aanwezig.

S / MIME CA
De uitgebreide extensie voor sleutelgebruik moet ontbreken of de OID voor "e-mailbeveiliging" bevatten.
Het Netscape-certificaattype moet ontbreken of de S/MIME CA-bit moet zijn ingesteld: dit is het geval
gebruikt als tijdelijke oplossing als de extensie basicConstraints afwezig is.

CRL Signing
De keyUsage-extensie moet ontbreken of de CRL-ondertekeningsbit moet zijn ingesteld.

CRL Signing CA
De normale CA-testen zijn van toepassing. Behalve in dit geval moet de extensie basicConstraints zijn
aanwezig is.

Gebruik x509ssl online met behulp van onworks.net-services


Gratis servers en werkstations

Windows- en Linux-apps downloaden

Linux-commando's

Ad




Copyright ©2025 OffiDocs Group OU. Alle rechten voorbehouden. OffiDocs® is een geregistreerd handelsmerk.

Beheerd door OffiDocs Group-OE | VPS hosting by OnWorks | OffiDocs IT-beveiliging.

×
advertentie
❤️Koop, boek of koop hier — het is gratis, en zo blijven onze diensten gratis.