Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen gnutls-cli komutudur.
Program:
ADI
Gnutls-cli - GnuTLS istemcisi
SİNOPSİS
Gnutls-cli [bayraklar] [-bayrak [değer]] [--seçenek-adı[[=| ]değer]] [ana bilgisayar adı]
İşlenenler ve seçenekler karıştırılabilir. Yeniden sıralanacaklar.
TANIM
Başka bir bilgisayara TLS bağlantısı kurmak için basit istemci programı. Bir TLS kurar
bağlantı kurar ve verileri standart girişten güvenli sokete iletir ve bunun tersi de geçerlidir.
SEÇENEKLER
-d numara, - hata ayıklama=numara
Hata ayıklamayı etkinleştir. Bu seçenek, argümanı olarak bir tamsayı alır. Değer
of numara olmakla sınırlıdır:
0 ile 9999 aralığında
Hata ayıklama düzeyini belirtir.
-V, --ayrıntılı
Daha ayrıntılı çıktı. Bu seçenek sınırsız sayıda görünebilir.
--soya peyniri, - Fl -tofusuz
İlk kullanım kimlik doğrulamasında güveni etkinleştirin. NS tofusuz formu devre dışı bırakacak
seçeneği.
Bu seçenek, sertifika kimlik doğrulamasına ek olarak, kimlik doğrulama işlemini gerçekleştirir.
SSH kimlik doğrulamasına benzer bir model olan daha önce görülen ortak anahtarlara dayalıdır. Not
tofu belirtildiğinde (PKI) ve DANE kimlik doğrulaması tavsiye niteliğinde olacaktır.
ortak anahtar kabul sürecine yardımcı olur.
-- katı tofu, - Fl -hayır-sıkı-tofu
Bilinen bir sertifika değiştiyse bağlantı kurulamadı. NS katı olmayan tofu form olacak
seçeneği devre dışı bırakın.
Bu seçenek, --tofu; ancak, süre
--tofu, değiştirilmiş bir ortak anahtara güvenip güvenmeyeceğini sorar, bu seçenek şu durumlarda başarısız olur:
ortak anahtar değişiklikleri.
--dane, - Fl -hayır-dane
DANE sertifika doğrulamasını (DNSSEC) etkinleştirin. NS dane formu devre dışı bırakacak
seçeneği.
Bu seçenek, güvenilen CA'ları kullanarak sertifika kimlik doğrulamasına ek olarak,
DNSSEC aracılığıyla sağlanan DANE bilgilerini kullanarak sunucu sertifikalarını doğrulayın.
--yerel-dns, - Fl -yerel olmayan-dns
DNSSEC çözümlemesi için yerel DNS sunucusunu kullanın. NS yerel olmayan dns form devre dışı bırakılacak
seçenek.
Bu seçenek, DNSSEC için yerel DNS sunucusunu kullanır. Bu varsayılan olarak devre dışıdır
birçok sunucunun DNSSEC'ye izin vermemesi nedeniyle.
--ca-doğrulama, - Fl -ca-doğrulama yok
CA sertifikası doğrulamasını etkinleştirin. NS ca-doğrulama yok formu devre dışı bırakacak
seçenek. Bu seçenek varsayılan olarak etkindir.
Bu seçenek, CA sertifikası doğrulamasını etkinleştirmek veya devre dışı bırakmak için kullanılabilir. o
--dane veya --tofu seçenekleriyle kullanılabilir.
--ocsp, - Fl -ocsp yok
OCSP sertifika doğrulamasını etkinleştirin. NS ocsp yok formu seçeneği devre dışı bırakacaktır.
Bu seçenek, ocsp kullanılarak eşin sertifikasının doğrulanmasını sağlar
-r, --devam et
Bir oturum oluşturun ve devam edin.
Bağlanın, bir oturum oluşturun, yeniden bağlanın ve devam edin.
-e, --tekrar el sıkışma
Bir oturum oluşturun ve tekrar el sıkışın.
Bağlanın, bir oturum oluşturun ve hemen tekrar el sıkışın.
-s, --starttls
Bağlanın, düz bir oturum oluşturun ve TLS'yi başlatın.
EOF veya SIGALRM alındığında TLS oturumu başlatılacaktır.
--app-proto
Bu bir takma addır --starttls-proto seçeneği.
--starttls-proto=dizi
Sunucunun sertifikasını almak için kullanılacak uygulama protokolü (https, ftp,
smtp, imap, ldap, xmpp). Bu seçenek, aşağıdakilerden herhangi biriyle birlikte görünmemelidir.
aşağıdaki seçenekler: starttls.
STARTTLS için uygulama katmanı protokolünü belirtin. Protokol destekleniyorsa,
gnutls-cli, TLS anlaşmasına devam edecek.
-u, --udp
UDP üzerinden DTLS (veri birimi TLS) kullanın.
--mtu=numara
Veri birimi TLS için MTU'yu ayarlayın. Bu seçenek, argümanı olarak bir tamsayı alır.
Değeri numara olmakla sınırlıdır:
0 ile 17000 aralığında
--crlf LF yerine CR LF gönder.
--x509fmder
Okunacak sertifikalar için DER biçimini kullanın.
-f, --parmak izi
Anahtar yerine openpgp parmak izini gönderin.
--baskı-sertifika
Eşin sertifikasını PEM formatında yazdırın.
--kaydet-sertifika=dizi
Eşin sertifika zincirini belirtilen dosyaya PEM formatında kaydedin.
--save-ocsp=dizi
Eşin OCSP durum yanıtını sağlanan dosyaya kaydedin.
--dh-bitler=numara
DH için izin verilen minimum bit sayısı. Bu seçenek olarak bir tamsayı alır
onun argümanı.
Bu seçenek, bir Diffie-Hellman anahtarı için izin verilen minimum bit sayısını ayarlar.
değiş tokuş. Eş zayıf bir asal gönderirse varsayılan değeri düşürmek isteyebilirsiniz.
ve kabul edilemez prime ile bir bağlantı hatası alırsınız.
--öncelik=dizi
Öncelikler dizisi.
Etkinleştirilecek TLS algoritmaları ve protokolleri. Önceden tanımlanmış şifre takımları setlerini kullanabilirsiniz.
PERFORMANS, NORMAL, PFS, SECURE128, SECURE256 gibi. Varsayılan NORMAL'dir.
Daha fazla bilgi için GnuTLS kılavuzunun "Öncelik dizileri" bölümüne bakın.
izin verilen anahtar kelimeler
--x509cafile=dizi
Kullanılacak sertifika dosyası veya PKCS #11 URL'si.
--x509crl dosyası=dosya
Kullanılacak CRL dosyası.
--pgpkey dosyası=dosya
Kullanılacak PGP Anahtar dosyası.
--pgpanahtarlık=dosya
Kullanılacak PGP Anahtarlık dosyası.
--pgpcert dosyası=dosya
Kullanılacak PGP Genel Anahtar (sertifika) dosyası. Bu seçenek kombinasyon halinde görünmelidir
aşağıdaki seçeneklerle: pgpkeyfile.
--x509anahtar dosyası=dizi
X.509 anahtar dosyası veya kullanılacak PKCS #11 URL'si.
--x509sertifika dosyası=dizi
X.509 Sertifika dosyası veya kullanılacak PKCS #11 URL'si. Bu seçenek şurada görünmelidir:
aşağıdaki seçeneklerle kombinasyon: x509keyfile.
--pgpsalt anahtar=dizi
Kullanılacak PGP alt anahtarı (onaltılı veya otomatik).
--srpkullanıcıadı=dizi
Kullanılacak SRP kullanıcı adı.
--srppasswd=dizi
Kullanılacak SRP şifresi.
--pskkullanıcı adı=dizi
Kullanılacak PSK kullanıcı adı.
--pskkey=dizi
Kullanılacak PSK anahtarı (onaltılık olarak).
-p dizi, --Liman=dizi
Bağlanılacak bağlantı noktası veya hizmet.
--güvensiz
Sunucu sertifikası doğrulanamıyorsa programı iptal etmeyin.
--aralık
Trafik analizini önlemek için uzunluk gizleme dolgusu kullanın.
Mümkün olduğunda (örneğin, CBC şifre takımlarını kullanırken), uzunluk gizleme dolgusu kullanın.
trafik analizini engelle.
--benchmark-şifreler
Bireysel şifreleri karşılaştırın.
Varsayılan olarak, kıyaslanan şifreler yerel CPU'nun herhangi bir özelliğini kullanacaktır.
performansı artırmak için. Ham yazılım uygulamasına karşı test etmek için
GNUTLS_CPUID_OVERRIDE ortam değişkeni 0x1'e.
--benchmark-tls-kx
TLS anahtar değişim yöntemlerini karşılaştırın.
--benchmark-tls-şifreleri
Benchmark TLS şifreleri.
Varsayılan olarak, kıyaslanan şifreler yerel CPU'nun herhangi bir özelliğini kullanacaktır.
performansı artırmak için. Ham yazılım uygulamasına karşı test etmek için
GNUTLS_CPUID_OVERRIDE ortam değişkeni 0x1'e.
-l, --liste
Desteklenen algoritmaların ve modların bir listesini yazdırın. Bu seçenek şurada görünmemelidir:
aşağıdaki seçeneklerden herhangi biriyle kombinasyon: bağlantı noktası.
Desteklenen algoritmaların ve modların bir listesini yazdırın. Öncelik dizisi verilirse
o zaman sadece etkinleştirilmiş şifre takımları gösterilir.
--öncelik listesi
Desteklenen öncelik dizilerinin bir listesini yazdırın.
Desteklenen öncelik dizilerinin bir listesini yazdırın. karşılık gelen şifre takımları
her bir öncelik dizisi -l -p kullanılarak incelenebilir.
--bilet yok
Oturum biletlerine izin verme.
--srtp-profilleri=dizi
SRTP profilleri sunun.
--alpn=dizi
Uygulama katmanı protokolü. Bu seçenek sınırsız sayıda görünebilir.
Bu seçenek, Uygulama Katmanı Protokol Müzakeresini (ALPN) ayarlayacak ve etkinleştirecektir.
TLS protokolünde.
-b, --kalp atışı
Kalp atışı desteğini etkinleştirin.
--kayıt boyutu=numara
Reklam yapılacak maksimum kayıt boyutu. Bu seçenek, tamsayı olarak bir sayı alır.
argüman. Değeri numara olmakla sınırlıdır:
0 ile 4096 aralığında
--sni'yi devre dışı bırak
Sunucu Adı Göstergesi (SNI) göndermeyin.
--disable-uzantıları
Tüm TLS uzantılarını devre dışı bırakın.
Bu seçenek, tüm TLS uzantılarını devre dışı bırakır. Kullanımdan kaldırılmış seçenek. Önceliği kullan
dize.
--inline-komutlar
Formun satır içi komutları ^ ^.
Formun satır içi komutlarını etkinleştir ^ ^. Satır içi komutların olması bekleniyor
tek sıra halinde. Kullanılabilir komutlar şunlardır: devam et ve yeniden müzakere et.
--inline-komutlar-ön eki=dizi
Satır içi komutlar için varsayılan sınırlayıcıyı değiştirin..
Satır içi komutlar için kullanılan varsayılan sınırlayıcıyı (^) değiştirin. sınırlayıcı
tek bir US-ASCII karakteri olması bekleniyor (0 - 127). Bu seçenek yalnızca
satır içi komutlar, satır içi komutlar seçeneği aracılığıyla etkinleştirildiyse geçerlidir
--Sağlayıcı=dosya
PKCS #11 sağlayıcı kitaplığını belirtin.
Bu, /etc/gnutls/pkcs11.conf içindeki varsayılan seçenekleri geçersiz kılar
--fips140-modu
gnutls kitaplığında FIPS140-2 modunun durumunu bildirir.
-h, --yardım et
Kullanım bilgilerini görüntüleyin ve çıkın.
-!, --Daha fazla yardım
Genişletilmiş kullanım bilgilerini bir çağrı cihazından geçirin.
-v [{v|c|n --versiyon [{v|c|n}]}]
Programın çıkış versiyonu ve çıkış. Varsayılan mod, basit bir versiyon olan 'v'dir.
'c' modu telif hakkı bilgilerini yazdıracak ve 'n' tüm telif hakkını yazdıracaktır.
Not.
ÖRNEKLER
bağlantı kullanma PSK kimlik doğrulama
PSK kimlik doğrulamasını kullanarak bir sunucuya bağlanmak için PSK seçimini şu şekilde etkinleştirmeniz gerekir:
aşağıdaki örnekte olduğu gibi bir şifre önceliği parametresi kullanarak.
$ ./gnutls-cli -p 5556 localhost --pskusername psk_identity --pskkey 88f3824b3e5659f52d00e959bacab954b6540344 --priority NORMAL:-KX-ALL:+ECDHE-PSK:+DHE-PSK:+PSK
'Localhost' çözümleniyor...
'127.0.0.1:5556'ya bağlanılıyor...
- PSK kimlik doğrulaması.
- Sürüm: TLS1.1
- Anahtar Değişimi: PSK
- Şifre: AES-128-CBC
-MAC: SHA1
- Sıkıştırma: NULL
- El sıkışma tamamlandı
- Basit İstemci Modu:
--pskusername parametresini koruyarak ve --pskkey parametresini kaldırarak sorgulayacaktır.
sadece el sıkışma sırasında şifre için.
listeleme şifreli süitler in a öncelik dizi
Öncelikli bir dizgede şifre takımlarını listelemek için:
$ ./gnutls-cli --priority SECURE192 -l
SECURE192 için şifre paketleri
TLS_ECDHE_ECDSA_AES_256_CBC_SHA384 0xc0, 0x24 TLS1.2
TLS_ECDHE_ECDSA_AES_256_GCM_SHA384 0xc0, 0x2e TLS1.2
TLS_ECDHE_RSA_AES_256_GCM_SHA384 0xc0, 0x30 TLS1.2
TLS_DHE_RSA_AES_256_CBC_SHA256 0x00, 0x6b TLS1.2
TLS_DHE_DSS_AES_256_CBC_SHA256 0x00, 0x6a TLS1.2
TLS_RSA_AES_256_CBC_SHA256 0x00, 0x3d TLS1.2
Sertifika türleri: CTYPE-X.509
Protokoller: VERS-TLS1.2, VERS-TLS1.1, VERS-TLS1.0, VERS-SSL3.0, VERS-DTLS1.0
Sıkıştırma: COMP-NULL
Eliptik eğriler: CURVE-SECP384R1, CURVE-SECP521R1
PK-imzaları: SIGN-RSA-SHA384, SIGN-ECDSA-SHA384, SIGN-RSA-SHA512, SIGN-ECDSA-SHA512
bağlantı kullanma a PKCS #11 simge
Bir PKCS #11 belirtecinde bulunan bir sertifika ve özel anahtar kullanarak bir sunucuya bağlanmak için
x11certfile ve x509keyfile parametrelerindeki PKCS 509 URL'lerini değiştirmeniz gerekir.
Bunlar, "p11tool --list-tokens" kullanılarak ve ardından içindeki tüm nesneleri listeleyerek bulunabilir.
gerekli belirteci ve uygun olanı kullanma.
$ p11tool --liste belirteçleri
Simge 0:
URL: pkcs11:model=PKCS15;üretici=MyMan;seri=1234;token=Test
Etiket: Test
Üretici: EnterSafe
Modeli: PKCS15
Seri: 1234
$ p11tool --login --list-certs "pkcs11:model=PKCS15;üretici=MyMan;serial=1234;token=Test"
Nesne 0:
URL: pkcs11:model=PKCS15;üretici=MyMan;seri=1234;token=Test;nesne=istemci;tür=sertifika
Tür: X.509 Sertifikası
Etiket: müşteri
ID: 2a:97:0d:58:d1:51:3c:23:07:ae:4e:0d:72:26:03:7d:99:06:02:6a
$ MYCERT="pkcs11:model=PKCS15;üretici=MyMan;serial=1234;token=Test;object=client;type=cert"
$ MYKEY="pkcs11:model=PKCS15;üretici=MyMan;serial=1234;token=Test;object=client;type=private"
$ MYCERT MYKEY'i dışa aktar
$ gnutls-cli www.example.com --x509keyfile $MYKEY --x509certfile $MYCERT
Özel anahtarın yalnızca türdeki sertifikadan farklı olduğuna dikkat edin.
EXIT DURUMU
Aşağıdaki çıkış değerlerinden biri döndürülecektir:
0 (ÇIKIŞ_BAŞARISI)
Başarılı program yürütme.
1 (ÇIKIŞ_BAŞARISIZ)
İşlem başarısız oldu veya komut sözdizimi geçerli değildi.
70 (EX_YAZILIM)
libopts'ta dahili bir işlem hatası vardı. Lütfen autogen'e bildirin.
[e-posta korumalı]. Teşekkür ederim.
onworks.net hizmetlerini kullanarak gnutls-cli'yi çevrimiçi kullanın
