Это команда s_serverssl, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
s_server - программа сервера SSL / TLS
СИНТАКСИС
OpenSSL s_сервер [-принимать порт] [-контекст id] [-проверять глубина] [-Проверять глубина] [-crl_check]
[-crl_check_all] [-серт имя файла] [-сертификат DER | PEM] [-ключ ключевой файл] [ключевая форма DER | PEM]
[-проходить аргумент] [-dcert имя файла] [-dcertform DER | PEM] [-dkey ключевой файл] [-dkeyform DER | PEM]
[-dpass аргумент] [-дхпарам имя файла] [-нбио] [-nbio_test] [-crlf] [-отлаживать] [-MSG] [-штат]
[-КАпуть каталог] [-CA-файл имя файла] [-no_alt_chains] [-ноцерт] [-шифрование шифровальный список]
[-serverpref] [-тихо] [-no_tmp_rsa] [-ssl2] [-ssl3] [-tls1] [-no_ssl2] [-no_ssl3]
[-no_tls1] [-no_dhe] [-бухи] [-хак] [-www] [-ВВВ] [-http] [-движок id] [-tlsextdebug]
[-no_ticket] [-id_prefix аргумент] [-и файл (ы)] [-информация о сервере файл] [-no_resuming_on_reneg]
[-положение дел] [-status_verbose] [-status_timeout нсек] [-status_url URL] [-nextprotoneg
протоколы]
ОПИСАНИЕ
The s_сервер команда реализует общий сервер SSL / TLS, который прослушивает соединения на
заданный порт с использованием SSL / TLS.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-принимать порт
порт TCP для прослушивания соединений. Если не указано иное, используется 4433.
-контекст id
устанавливает идентификатор контекста SSL. Ему может быть присвоено любое строковое значение. Если этого варианта нет
будет использоваться значение по умолчанию.
-серт имя сертификата
Сертификат для использования, большинство наборов шифров серверов требуют использования сертификата.
а некоторым требуется сертификат с определенным типом открытого ключа: например, DSS
комплекты шифров требуют сертификата, содержащего ключ DSS (DSA). Если не указано, то
будет использоваться имя файла "server.pem".
-сертификат формат
Формат сертификата: DER или PEM. PEM используется по умолчанию.
-ключ ключевой файл
Используемый закрытый ключ. Если не указан, будет использоваться файл сертификата.
ключевая форма формат
Используемый частный формат: DER или PEM. PEM используется по умолчанию.
-проходить аргумент
источник пароля закрытого ключа. Для получения дополнительной информации о формате аргумент см.
ПАСС ФРАЗА АРГУМЕНТЫ в разделе OpenSSL(1).
-dcert имя файла, -dkey имя ключа
укажите дополнительный сертификат и закрытый ключ, они ведут себя так же, как
-серт и -ключ параметры, за исключением того, что нет значения по умолчанию, если они не указаны (нет
используется дополнительный сертификат и ключ). Как отмечалось выше, для некоторых наборов шифров требуется
сертификат, содержащий ключ определенного типа. Некоторым шифровальным пакетам требуется сертификат
с ключом RSA и некоторым ключом DSS (DSA). Используя сертификаты RSA и DSS и
ключи, которые сервер может поддерживать клиентов, которые поддерживают только наборы шифров RSA или DSS, используя
соответствующий сертификат.
-dcertform формат, -dkeyform формат, -dpass аргумент
дополнительный сертификат и формат закрытого ключа и кодовая фраза соответственно.
-ноцерт
если этот параметр установлен, сертификат не используется. Это ограничивает наборы шифров.
доступны для анонимных (в настоящее время просто анонимный DH).
-дхпарам имя файла
используемый файл параметров DH. Наборы эфемерных шифров DH генерируют ключи с помощью набора
параметров ЦО. Если не указано, то делается попытка загрузить параметры из
файл сертификата сервера. Если это не удается, то статический набор параметров жестко запрограммирован.
в программу s_server.
-no_dhe
если эта опция установлена, то никакие параметры DH не будут загружены, что приведет к отключению
эфемерные наборы шифров DH.
-no_tmp_rsa
некоторые комплекты экспортных шифров иногда используют временный ключ RSA, этот параметр отключает
временная генерация ключей RSA.
-проверять глубина, -Проверять глубина
Глубина проверки для использования. Это определяет максимальную длину клиентского сертификата.
цепочка и заставляет сервер запрашивать сертификат у клиента. С -проверять
вариант сертификат запрашивается, но клиент не должен его отправлять, с
-Проверять вариант, клиент должен предоставить сертификат, иначе произойдет ошибка.
Если шифровальный набор не может запросить сертификат клиента (например, анонимный
ciphersuite или PSK) эта опция не действует.
-crl_check, -crl_check_all
Убедитесь, что сертификат однорангового узла не отозван его центром сертификации. CRL (-ы) добавляются к
файл сертификата. С -crl_check_all выбор всех CRL всех центров сертификации в цепочке
проверяются.
-КАпуть каталог
Каталог, используемый для проверки сертификата клиента. Этот каталог должен находиться в
"формат хеша", см. проверить для дополнительной информации. Они также используются при создании
цепочка сертификатов сервера.
-CA-файл файл
Файл, содержащий доверенные сертификаты для использования во время аутентификации клиента и для использования
при попытке построить цепочку сертификатов сервера. Список также используется в
список приемлемых клиентских центров сертификации, передаваемый клиенту при запросе сертификата.
-no_alt_chains
Смотрите пост в проверить страницу руководства для подробностей.
-штат
распечатывает состояния сеанса SSL.
-отлаживать
распечатать обширную отладочную информацию, включая шестнадцатеричный дамп всего трафика.
-MSG
показать все сообщения протокола с шестнадцатеричным дампом.
-nbio_test
тестирует неблокирующий ввод / вывод
-нбио
включает неблокирующий ввод / вывод
-crlf
эта опция переводит перевод строки с терминала в CR + LF.
-тихо
запретить печать информации о сеансе и сертификате.
-psk_hint намекать
Используйте подсказку идентичности PSK намекать при использовании набора шифров PSK.
-пск ключ
Используйте клавишу PSK ключ при использовании набора шифров PSK. Ключ задается в шестнадцатеричном формате.
число без 0x в начале, например -psk 1a2b3c4d.
-ssl2, -ssl3, -tls1, -tls1_1, -tls1_2, -no_ssl2, -no_ssl3, -no_tls1, -no_tls1_1,
-no_tls1_2
Эти параметры требуют или отключают использование указанных протоколов SSL или TLS. К
по умолчанию начальное рукопожатие использует гибкая версия метод, который будет согласовывать
наивысшая взаимно поддерживаемая версия протокола.
-бухи
есть несколько известных ошибок в реализациях SSL и TLS. Добавление этой опции включает
различные обходные пути.
-хак
эта опция включает дальнейший обходной путь для некоторого раннего кода SSL Netscape (?).
-шифрование шифровальный список
это позволяет изменять список шифров, используемый сервером. Когда клиент отправляет
список поддерживаемых шифров первый клиентский шифр также включен в список серверов
используется. Поскольку клиент указывает порядок предпочтений, порядок сервера
шифрованный список не имеет значения. Увидеть шифры для получения дополнительной информации.
-serverpref
используйте предпочтения шифрования сервера, а не предпочтения клиента.
-tlsextdebug
распечатать шестнадцатеричный дамп любых расширений TLS, полученных от сервера.
-no_ticket
отключить поддержку билета сеанса RFC4507bis.
-www
отправляет статусное сообщение клиенту при подключении. Это включает в себя множество
информация об используемых шифрах и различных параметрах сеанса. Вывод находится в
Формат HTML, поэтому этот параметр обычно используется с веб-браузером.
-ВВВ
имитирует простой веб-сервер. Страницы будут разрешены относительно текущего
каталог, например, если URL-адрес https: //myhost/page.html запрашивается, файл
./page.html будет загружен.
-http
имитирует простой веб-сервер. Страницы будут разрешены относительно текущего
каталог, например, если URL-адрес https: //myhost/page.html запрашивается, файл
./page.html будет загружен. Предполагается, что загруженные файлы содержат полный и
правильный ответ HTTP (строки, которые являются частью строки ответа HTTP и заголовки, должны
заканчиваться CRLF).
-движок id
указание двигателя (по его уникальному id строка) вызовет s_сервер пытаться
получить функциональную ссылку на указанный двигатель, при необходимости инициализировав его.
После этого движок будет установлен по умолчанию для всех доступных алгоритмов.
-id_prefix аргумент
генерировать идентификаторы сеансов SSL / TLS с префиксом аргумент. Это в основном полезно для тестирования любых
Код SSL / TLS (например, прокси), который хочет иметь дело с несколькими серверами, когда каждый из них
может генерировать уникальный диапазон идентификаторов сеанса (например, с определенным префиксом).
-и файл (ы)
файл или файлы, содержащие случайные данные, используемые для заполнения генератора случайных чисел, или
Розетка EGD (см. RAND_egd(3)). Можно указать несколько файлов, разделенных ОС.
зависимый персонаж. Разделитель ; для MS-Windows, , для OpenVMS и : для всех
другие.
-информация о сервере файл
файл, содержащий один или несколько блоков данных PEM. Каждый блок PEM должен кодировать TLS
Расширение ServerHello (тип 2 байта, длина 2 байта, за которыми следуют байты длины
данные расширения). Если клиент отправляет пустое расширение TLS ClientHello, соответствующее
type, будет возвращено соответствующее расширение ServerHello.
-no_resuming_on_reneg
установить флаг SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION.
-положение дел
включает поддержку запроса статуса сертификата (также известную как сшивание OCSP).
-status_verbose
включает поддержку запроса статуса сертификата (также известную как сшивание OCSP) и дает подробную информацию
распечатка ответа OCSP.
-status_timeout нсек
устанавливает время ожидания ответа OCSP на нсек секунд.
-status_url URL
устанавливает резервный URL-адрес ответчика, который будет использоваться, если на сервере нет URL-адреса респондента.
сертификат. Без этой опции будет возвращена ошибка, если сертификат сервера
не содержать адрес ответчика.
-nextprotoneg протоколы
включить расширение TLS Next Protocol Negotiation и предоставить список разделенных запятыми
поддерживаемые имена протоколов. Список должен содержать в первую очередь наиболее востребованные протоколы.
Имена протоколов представляют собой печатаемые строки ASCII, например «http / 1.1» или «spdy / 3».
СВЯЗАННЫЙ КОМАНДЫ
Если запрос на соединение установлен с клиентом SSL и ни один из -www ни
-ВВВ была использована опция, то обычно отображаются любые данные, полученные от клиента, и
любые нажатия клавиш будут отправлены клиенту.
Также распознаются некоторые однобуквенные команды, выполняющие специальные операции:
перечислены ниже.
q завершить текущее соединение SSL, но по-прежнему принимать новые соединения.
Q завершить текущее соединение SSL и выйти.
r повторно согласовать сеанс SSL.
R повторно согласовать сеанс SSL и запросить сертификат клиента.
P отправить простой текст по базовому TCP-соединению: это должно вызвать у клиента
отключиться из-за нарушения протокола.
S распечатать некоторую информацию о состоянии кеша сеанса.
ПРИМЕЧАНИЯ
s_сервер может использоваться для отладки SSL-клиентов. Чтобы принимать соединения из веб-браузера,
команда:
openssl s_server-принять 443-www
можно использовать, например.
Большинство веб-браузеров (в частности, Netscape и MSIE) поддерживают только наборы шифров RSA, поэтому
они не могут подключиться к серверам, которые не используют сертификат, содержащий ключ RSA или
версия OpenSSL с отключенным RSA.
Хотя указание пустого списка центров сертификации при запросе сертификата клиента строго
говоря о нарушении протокола, некоторые клиенты SSL интерпретируют это как означающее, что любой центр сертификации
приемлемо. Это полезно для отладки.
Параметры сеанса можно распечатать с помощью ess_id программу.
Используйте s_serverssl в Интернете с помощью сервисов onworks.net
