Это команда ocsptool, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
ocsptool - Инструмент GnuTLS OCSP
СИНТАКСИС
ocsptool [-флаги] [-флаг [ценностное ]] [- имя-опции[[= | ]ценностное ]]
Все аргументы должны быть вариантами.
ОПИСАНИЕ
Ocsptool - это программа, которая может анализировать и распечатывать информацию о запросах / ответах OCSP,
генерировать запросы и проверять ответы.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-d номер, --отлаживать=номер
Включите отладку. Эта опция принимает целое число в качестве аргумента. Значение
of номер ограничен быть:
в диапазоне от 0 до 9999
Задает уровень отладки.
-V, --подробный
Более подробный вывод. Эта опция может появляться неограниченное количество раз.
--infile=файл
Входной файл.
--outfile=string
Выходной файл.
--просить [=сервер имя | URL]
Спросите OCSP / HTTP-сервер о действительности сертификата. Эта опция должна появиться в
комбинация со следующими параметрами: load-cert, load-эмитент.
Подключается к указанному серверу HTTP OCSP и запрашивает достоверность
загруженный сертификат.
-e, --verify-ответ
Проверить ответ.
-i, --запрос-информация
Распечатать информацию о запросе OCSP.
-j, --ответ-информация
Распечатать информацию об ответе OCSP.
-q, --генерировать-запрос
Сгенерируйте запрос OCSP.
--ногда, - Fl -нет-нонс
Использовать (или нет) одноразовый номер в запросе OCSP. В безлимитный форма отключит эту опцию.
--load-эмитент=файл
Прочитать сертификат эмитента из файла.
--load-сертификат=файл
Прочтите сертификат для проверки из файла.
--load-доверие=файл
Чтение якорей доверия OCSP из файла. Эта опция не должна появляться в сочетании с
любой из следующих вариантов: load-signer.
--load-подписчик=файл
Чтение подписавшего ответа OCSP из файла. Эта опция не должна появляться в комбинации
с любым из следующих вариантов: load-trust.
--индера, - Fl -нет
Используйте формат DER для входных сертификатов и закрытых ключей. В запретный форма будет
отключите опцию.
-Q файл, --load-запрос=файл
Прочитать из файла запрос OCSP, закодированный в формате DER.
-S файл, --load-ответ=файл
Прочитать из файла ответ OCSP, закодированный в формате DER.
-h, --Помогите
Показать информацию об использовании и выйти.
-!, --больше-помощь
Передайте расширенную информацию об использовании через пейджер.
-v [{v | c | n --версия [{v | c | n}]}]
Вывести версию программы и выйти. Режим по умолчанию - `v ', простая версия.
В режиме `c 'будет напечатана информация об авторских правах, а` n' - все авторские права.
заметит.
ПРИМЕРЫ
Печать информация о an ОССП запросить
Чтобы проанализировать запрос OCSP и распечатать информацию о содержимом, -i or --запрос-информация
Параметр можно использовать следующим образом. В -Q параметр укажите имя файла
содержащий запрос OCSP, и он должен содержать запрос OCSP в двоичном формате DER.
$ ocsptool -i -Q ocsp-request.der
Входной файл также может быть отправлен на стандартный ввод следующим образом:
$ cat ocsp-request.der | ocsptool --запрос-информация
Печать информация о an ОССП ответ
Подобно синтаксическому анализу запросов OCSP, ответы OCSP можно анализировать с помощью -j or
--ответ-информация а именно:
$ ocsptool -j -Q ocsp-response.der
$ cat ocsp-response.der | ocsptool --ответ-информация
Создать an ОССП запросить
The -q or --генерировать-запрос параметры используются для генерации запроса OCSP. По умолчанию
запрос OCSP записывается на стандартный вывод в двоичном формате DER, но может быть сохранен в
файл с использованием --outfile. Чтобы сгенерировать OCSP, запросите у эмитента сертификата
чек необходимо указать с помощью --load-эмитент и сертификат для проверки
--load-сертификат. По умолчанию для этих файлов используется формат PEM, хотя --индера может быть использован
чтобы указать, что входные файлы находятся в формате DER.
$ ocsptool -q --load-Issuer Issuer.pem --load-cert client.pem --outfile ocsp-request.der
При генерации запросов OCSP инструмент добавит расширение OCSP, содержащее одноразовый номер.
Это поведение можно отключить, указав - без разницы.
проверить подпись in ОССП ответ
Чтобы проверить подпись в ответе OCSP, -e or --verify-ответ параметр.
Инструмент прочитает ответ OCSP в формате DER со стандартного ввода или из файла.
указано --load-ответ. Ответ OCSP проверяется по набору доверия.
якоря, которые указываются с помощью --load-доверие. Якоря доверия объединены
сертификаты в формате PEM. Сертификат, подписывающий ответ OCSP, должен быть в
набор якорей доверия или издатель сертификата подписывающей стороны должен быть в наборе
якорей доверия и бит расширенного использования ключа OCSP должен быть утвержден в подписывающей стороне
сертификат.
$ ocsptool -e --load-trust Issuer.pem --load-response ocsp-response.der
Инструмент распечатает статус проверки.
проверить подпись in ОССП ответ против которого выступает большинство исследователей в области общественного здравоохранения. данный сертификат
Можно отменить обычную логику доверия, если вы знаете, что определенный сертификат
должен подписать ответ OCSP, и вы хотите использовать его для проверки
подпись. Это достигается с помощью --load-подписчик вместо --load-доверие. Это загрузит
один сертификат, и он будет использоваться для проверки подписи в ответе OCSP. Так и будет
не проверяйте бит расширенного использования ключа.
$ ocsptool -e --load-signer ocsp-signer.pem --load-response ocsp-response.der
Этот подход обычно применим только в двух ситуациях. Первый - когда OCSP
ответ не содержит копии сертификата подписавшего, поэтому --load-доверие код будет
неудача. Во-вторых, если вы хотите избежать косвенного режима, в котором подписывающий ответ OCSP
сертификат подписан якорем доверия.
Реальный мир пример
Вот пример того, как сгенерировать запрос OCSP для сертификата и проверить
отклик. Для иллюстрации мы будем использовать blog.josefsson.org хост, который (на момент написания)
использует сертификат от CACert. Сначала мы будем использовать Gnutls-Cli получить копию сервера
цепочка сертификатов. Сервер не обязан отправлять эту информацию, но это
конкретный настроен на это.
$ echo | gnutls-cli -p 443 blog.josefsson.org --print-cert> chain.pem
Используйте текстовый редактор на цепь.pem создать по три файла для каждого отдельного сертификата,
которые называются сертификат.pem для первого сертификата для самого домена, во-вторых Issuing.pem для
промежуточный сертификат и root.pem для окончательного корневого сертификата.
Сертификат домена обычно содержит указатель на то, где находится ответчик OCSP,
в расширении информации о доступе к информации о полномочиях. Например, из Certtool -i
< сертификат.pem есть такая информация:
Информация о доступе к информации о полномочиях (не критично):
Метод доступа: 1.3.6.1.5.5.7.48.1 (id-ad-ocsp)
Доступ к URI местоположения: http://ocsp.CAcert.org/
Это означает, что центр сертификации поддерживает запросы OCSP через HTTP. Теперь мы готовы создать OCSP
запрос сертификата.
$ ocsptool --ask ocsp.CAcert.org --load-Issuer Issuer.pem --load-cert cert.pem --outfile ocsp-response.der
Запрос отправляется по протоколу HTTP на указанный адрес сервера OCSP. Если адрес
ommited ocsptool будет использовать адрес, хранящийся в сертификате.
ВЫХОД статус
Будет возвращено одно из следующих значений выхода:
0 (ВЫХОД_УСПЕХ)
Успешное выполнение программы.
1 (ВЫХОД_ОШИБКА)
Не удалось выполнить операцию или неверный синтаксис команды.
70 (EX_ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ)
В libopts произошла внутренняя операционная ошибка. Пожалуйста, сообщите об этом autogen-
[электронная почта защищена]. Спасибо.
Используйте ocsptool онлайн с помощью сервисов onworks.net
