Este é o comando gnutls-cli que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
gnutls-cli - Cliente GnuTLS
SINOPSE
gnutls-cli [-bandeiras] [-bandeira [valor]] [--opção-nome[[= | ]valor]] [nome de anfitrião]
Operandos e opções podem ser misturados. Eles serão reordenados.
DESCRIÇÃO
Programa cliente simples para configurar uma conexão TLS com algum outro computador. Ele configura um TLS
conexão e encaminha os dados da entrada padrão para o soquete seguro e vice-versa.
OPÇÕES
-d número, --depurar=número
Habilite a depuração. Esta opção leva um número inteiro como argumento. O valor que
of número é restrito a ser:
no intervalo de 0 a 9999
Especifica o nível de depuração.
-V, --verbose
Saída mais detalhada. Esta opção pode aparecer um número ilimitado de vezes.
--tofu, - Fl -não-tofu
Ative a confiança na autenticação do primeiro uso. o não tofu formulário irá desativar o
opção.
Esta opção irá, além da autenticação do certificado, realizar a autenticação
com base em chaves públicas vistas anteriormente, um modelo semelhante à autenticação SSH. Observação
que quando o tofu for especificado (PKI) e a autenticação DANE se tornará um aviso para
auxiliar no processo de aceitação da chave pública.
--estrito-tofu, - Fl -no-estrito-tofu
Falha ao conectar se um certificado conhecido foi alterado. o no-estrito-tofu formulário vai
desative a opção.
Esta opção executará a autenticação como com a opção --tofu; entretanto, enquanto
--tofu pergunta se deve confiar em uma chave pública alterada, esta opção irá falhar no caso de
mudanças de chave pública.
--dinamarquês, - Fl -não-dinamarquês
Habilite a verificação de certificado DANE (DNSSEC). o no-dinamarquês formulário irá desativar o
opção.
Esta opção irá, além de autenticação de certificado usando CAs confiáveis,
verifique os certificados do servidor usando as informações do DANE disponíveis via DNSSEC.
--local-dns, - Fl -no-local-dns
Use o servidor DNS local para resolução de DNSSEC. o sem DNS local formulário irá desabilitar
a opção.
Esta opção usará o servidor DNS local para DNSSEC. Isto está desabilitado por padrão
devido a muitos servidores que não permitem DNSSEC.
--ca-verificação, - Fl -sem-ca-verificação
Habilite a verificação do certificado CA. o verificação sem ca formulário irá desativar o
opção. Essa opção é ativada por padrão.
Esta opção pode ser usada para habilitar ou desabilitar a verificação do certificado CA. É para
ser usado com as opções --dane ou --tofu.
--ocsp, - Fl -no-ocsp
Habilite a verificação do certificado OCSP. o não-ocsp formulário irá desativar a opção.
Esta opção irá permitir a verificação do certificado do par usando ocsp
-r, --retomar
Estabeleça uma sessão e retome.
Conecte, estabeleça uma sessão, reconecte e retome.
-e, --rehandshake
Estabeleça uma sessão e aperte novamente.
Conecte-se, estabeleça uma sessão e sacuda imediatamente.
-s, --starttls
Conecte-se, estabeleça uma sessão simples e inicie o TLS.
A sessão TLS será iniciada quando EOF ou um SIGALRM for recebido.
--app-proto
Este é um alias para o --starttls-proto opção.
--starttls-proto=corda
O protocolo do aplicativo a ser usado para obter o certificado do servidor (https, ftp,
smtp, imap, ldap, xmpp). Esta opção não deve aparecer em combinação com qualquer um dos
as seguintes opções: starttls.
Especifique o protocolo da camada de aplicativo para STARTTLS. Se o protocolo for compatível,
gnutls-cli prosseguirá com a negociação TLS.
-u, --udp
Use DTLS (datagrama TLS) sobre UDP.
--mtu=número
Defina o MTU para o datagrama TLS. Esta opção leva um número inteiro como argumento.
O valor de número é restrito a ser:
no intervalo de 0 a 17000
--crlf Envie CR LF em vez de LF.
--x509fmtder
Use o formato DER para a leitura de certificados.
-f, --impressão digital
Envie a impressão digital openpgp, em vez da chave.
--print-cert
Imprima o certificado de pares em formato PEM.
--save-cert=corda
Salve a cadeia de certificados do par no arquivo especificado no formato PEM.
--save-ocsp=corda
Salve a resposta de status OCSP do par no arquivo fornecido.
--dh-bits=número
O número mínimo de bits permitidos para DH. Esta opção leva um número inteiro como
seu argumento.
Esta opção define o número mínimo de bits permitidos para uma chave Diffie-Hellman
intercâmbio. Você pode querer diminuir o valor padrão se o par enviar um primo fraco
e você obtém um erro de conexão com prime inaceitável.
--prioridade=corda
String de prioridades.
Algoritmos e protocolos TLS para ativar. Você pode usar conjuntos predefinidos de ciphersuites
como PERFORMANCE, NORMAL, PFS, SECURE128, SECURE256. O padrão é NORMAL.
Verifique o manual do GnuTLS na seção "Strings prioritários" para obter mais informações sobre
as palavras-chave permitidas
--x509cafile=corda
Arquivo de certificado ou URL PKCS # 11 a ser usado.
--x509crlfile=lima
Arquivo CRL a ser usado.
--pgpkeyfile=lima
Arquivo de chave PGP a ser usado.
--pgpkeyring=lima
Arquivo de anel de chave PGP a ser usado.
--pgpcertfile=lima
Arquivo de chave pública PGP (certificado) a ser usado. Esta opção deve aparecer em combinação
com as seguintes opções: pgpkeyfile.
--x509keyfile=corda
Arquivo de chave X.509 ou URL PKCS # 11 a ser usado.
--x509certfile=corda
Arquivo de certificado X.509 ou URL PKCS # 11 a ser usado. Esta opção deve aparecer em
combinação com as seguintes opções: x509keyfile.
--pgpsubkey=corda
Subchave PGP a ser usada (hex ou automático).
--srpusername=corda
Nome de usuário SRP a ser usado.
--srppasswd=corda
Senha SRP a ser usada.
--psknomedeusuario=corda
Nome de usuário PSK a ser usado.
--pskkey=corda
Chave PSK (em hexadecimal) a ser usada.
-p corda, --porta=corda
A porta ou serviço ao qual se conectar.
--inseguro
Não aborte o programa se o certificado do servidor não puder ser validado.
--gamas
Use preenchimento de cobertura de comprimento para evitar análise de tráfego.
Quando possível (por exemplo, ao usar ciphersuites CBC), use o preenchimento de cobertura de comprimento para
impedir a análise de tráfego.
--benchmark-cifras
Compare cifras individuais.
Por padrão, as cifras comparadas irão utilizar quaisquer recursos da CPU local
para melhorar o desempenho. Para testar a implementação do software bruto, defina o
variável de ambiente GNUTLS_CPUID_OVERRIDE para 0x1.
--benchmark-tls-kx
Métodos de troca de chaves TLS de referência.
--benchmark-tls-cifras
Cifras TLS de referência.
Por padrão, as cifras comparadas irão utilizar quaisquer recursos da CPU local
para melhorar o desempenho. Para testar a implementação do software bruto, defina o
variável de ambiente GNUTLS_CPUID_OVERRIDE para 0x1.
-l, --Lista
Imprima uma lista dos algoritmos e modos suportados. Esta opção não deve aparecer em
combinação com qualquer uma das seguintes opções: porta.
Imprima uma lista dos algoritmos e modos suportados. Se uma string de prioridade for fornecida
então, apenas os ciphersuites habilitados são mostrados.
--Lista de prioridades
Imprima uma lista das strings de prioridade com suporte.
Imprima uma lista das strings de prioridade com suporte. Os ciphersuites correspondentes a
cada string de prioridade pode ser examinada usando -l -p.
--aviso
Não permita tíquetes de sessão.
--srtp-perfis=corda
Ofereça perfis SRTP.
--alpn=corda
Protocolo da camada de aplicação. Esta opção pode aparecer um número ilimitado de vezes.
Esta opção irá definir e habilitar o Application Layer Protocol Negotiation (ALPN)
no protocolo TLS.
-b, --batimento cardiaco
Ative o suporte de pulsação.
--tamanho do registro=número
O tamanho máximo do registro a ser anunciado. Esta opção leva um número inteiro como seu
argumento. O valor de número é restrito a ser:
no intervalo de 0 a 4096
--disable-sni
Não envie uma Indicação de nome de servidor (SNI).
--desabilitar-extensões
Desative todas as extensões TLS.
Esta opção desativa todas as extensões TLS. Opção obsoleta. Use a prioridade
string.
--inline-comandos
Comandos embutidos da forma ^ ^.
Habilite comandos embutidos do formulário ^ ^. Espera-se que os comandos inline sejam
em uma linha por si próprios. Os comandos disponíveis são: retomar e renegociar.
--inline-command-prefix=corda
Altere o delimitador padrão para comandos embutidos.
Altere o delimitador padrão (^) usado para comandos embutidos. O delimitador é
Espera-se que seja um único caractere US-ASCII (octetos 0 - 127). Esta opção é apenas
relevante se os comandos embutidos estiverem habilitados por meio da opção de comandos embutidos
--fornecedor=lima
Especifique a biblioteca do provedor PKCS # 11.
Isso substituirá as opções padrão em /etc/gnutls/pkcs11.conf
--fips140-modo
Relata o status do modo FIPS140-2 na biblioteca gnutls.
-h, --Socorro
Exibir informações de uso e sair.
-!, --mais ajuda
Passe as informações de uso estendidas por meio de um pager.
-v [{v | c | n --versão [{v | c | n}]}]
Versão de saída do programa e saída. O modo padrão é `v ', uma versão simples.
O modo `c 'irá imprimir informações de copyright e` n' irá imprimir todos os direitos autorais
notar.
EXEMPLOS
Conexão de utilização PSK autenticação
Para se conectar a um servidor usando autenticação PSK, você precisa habilitar a escolha de PSK por
usando um parâmetro de prioridade de cifra, como no exemplo abaixo.
$ ./gnutls-cli -p 5556 localhost --pskusername psk_identity --pskkey 88f3824b3e5659f52d00e959bacab954b6540344 --prioridade NORMAL: -KX-ALL: + ECDHE-PSK: + DHE-PSK: + PSK
Resolvendo 'localhost' ...
Conectando-se a '127.0.0.1:5556' ...
- Autenticação PSK.
- Versão: TLS1.1
- Troca de chaves: PSK
- Cifra: AES-128-CBC
-MAC: SHA1
- Compressão: NULL
- O aperto de mão foi concluído
- Modo Cliente Simples:
Ao manter o parâmetro --pskusername e remover o parâmetro --pskkey, ele consultará
apenas para a senha durante o handshake.
listagem conjuntos de cifras in a prioridade corda
Para listar os pacotes de criptografia em uma string de prioridade:
$ ./gnutls-cli --priority SECURE192 -l
Pacotes de criptografia para SECURE192
TLS_ECDHE_ECDSA_AES_256_CBC_SHA384 0xc0, 0x24 TLS1.2
TLS_ECDHE_ECDSA_AES_256_GCM_SHA384 0xc0, 0x2e TLS1.2
TLS_ECDHE_RSA_AES_256_GCM_SHA384 0xc0, 0x30 TLS1.2
TLS_DHE_RSA_AES_256_CBC_SHA256 0x00, 0x6b TLS1.2
TLS_DHE_DSS_AES_256_CBC_SHA256 0x00, 0x6a TLS1.2
TLS_RSA_AES_256_CBC_SHA256 0x00, 0x3d TLS1.2
Tipos de certificado: CTYPE-X.509
Protocolos: VERS-TLS1.2, VERS-TLS1.1, VERS-TLS1.0, VERS-SSL3.0, VERS-DTLS1.0
Compressão: COMP-NULL
Curvas elípticas: CURVE-SECP384R1, CURVE-SECP521R1
Assinaturas PK: SIGN-RSA-SHA384, SIGN-ECDSA-SHA384, SIGN-RSA-SHA512, SIGN-ECDSA-SHA512
Conexão de utilização a PKCS #11 token
Para se conectar a um servidor usando um certificado e uma chave privada presente em um token PKCS # 11
você precisa substituir os URLs PKCS 11 nos parâmetros x509certfile e x509keyfile.
Eles podem ser encontrados usando "p11tool --list-tokens" e, em seguida, listando todos os objetos no
token necessário e usando o apropriado.
$ p11tool --list-tokens
Ficha 0:
URL: pkcs11: model = PKCS15; manufacturer = MyMan; serial = 1234; token = Test
Etiqueta: Teste
Fabricante: EnterSafe
Modelo: PKCS15
Série: 1234
$ p11tool --login --list-certs "pkcs11: model = PKCS15; manufacturer = MyMan; serial = 1234; token = Test"
Objeto 0:
URL: pkcs11: model = PKCS15; manufacturer = MyMan; serial = 1234; token = Test; object = client; type = cert
Tipo: Certificado X.509
Rótulo: cliente
ID: 2a:97:0d:58:d1:51:3c:23:07:ae:4e:0d:72:26:03:7d:99:06:02:6a
$ MYCERT = "pkcs11: model = PKCS15; manufacturer = MyMan; serial = 1234; token = Test; object = client; type = cert"
$ MYKEY = "pkcs11: model = PKCS15; manufacturer = MyMan; serial = 1234; token = Test; object = client; type = private"
$ exportar MYCERT MYKEY
$ gnutls-cli www.example.com --x509keyfile $ MYKEY --x509certfile $ MYCERT
Observe que a chave privada difere apenas do certificado no tipo.
SAIR STATUS
Um dos seguintes valores de saída será retornado:
0 (EXIT_SUCCESS)
Execução do programa com sucesso.
1 (EXIT_FAILURE)
A operação falhou ou a sintaxe do comando não era válida.
70 (EX_SOFTWARE)
libopts teve um erro operacional interno. Por favor, reporte para autogen-
[email protegido]. Obrigado.
Use gnutls-cli online usando serviços onworks.net
