Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen s_clientssl komutudur.
Program:
ADI
s_client - SSL/TLS istemci programı
SİNOPSİS
openssl s_client [-bağlamak ana bilgisayar bağlantı noktası] [-sunucu adı isim] [-Doğrulayın derinlik]
[-verify_return_error] [-sertifika Dosya] [-sertifika DER|PEM] [-tuşu Dosya] [-anahtar formu
DER|PEM] [-geçmek arg] [-CApath rehber] [-CA dosyası Dosya] [-no_alt_chains] [-yeniden bağlan]
[-Duraklat] [-gösteriler] [-hata ayıklama] [-mesaj] [-nbio_testi] [-durum] [-nbio] [-crlf] [-ign_eof]
[-no_ign_eof] [-sessiz] [-ssl2] [-ssl3] [-tls1] [-no_ssl2] [-no_ssl3] [-no_tls1]
[-no_tls1_1] [-no_tls1_2] [-geri dönüş_scsv] [-böcekler] [-şifre şifre listesi] [-sunucu pref]
[-başlangıçlar protokol] [-motor id] [-tlsextdebug] [-bilet yok] [-sess_out Dosya]
[-sess_in Dosya] [-rand Dosyalar)] [-sunucu bilgisi türleri] [-durum] [-sonrakiprotoneg
protokolleri]
AÇIKLAMA
The s_client komutu, uzak bir ana bilgisayara bağlanan genel bir SSL/TLS istemcisi uygular
SSL/TLS kullanarak. Bu bir çok SSL sunucuları için kullanışlı teşhis aracı.
SEÇENEKLER
-bağlamak ana bilgisayar bağlantı noktası
Bu, bağlanılacak ana bilgisayarı ve isteğe bağlı bağlantı noktasını belirtir. Belirtilmemişse, o zaman bir
4433 numaralı bağlantı noktasındaki yerel ana bilgisayara bağlanma girişiminde bulunuldu.
-sunucu adı isim
ClientHello mesajında TLS SNI (Sunucu Adı Gösterimi) uzantısını ayarlayın.
-sertifika sertifika adı
Sunucu tarafından istenirse kullanılacak sertifika. Varsayılan, bir
belgesi.
-sertifika biçim
Kullanılacak sertifika biçimi: DER veya PEM. PEM varsayılandır.
-tuşu Anahtar dosya
Kullanılacak özel anahtar. Belirtilmezse, sertifika dosyası kullanılacaktır.
-anahtar formu biçim
Kullanılacak özel biçim: DER veya PEM. PEM varsayılandır.
-geçmek arg
özel anahtar parola kaynağı. biçimi hakkında daha fazla bilgi için arg bakın
PASS İFADE ARGÜMANLAR bölümündeki bölüm openssl(1).
-Doğrulayın derinlik
Kullanılacak doğrulama derinliği. Bu, sunucu sertifikasının maksimum uzunluğunu belirtir
zincirleme ve sunucu sertifikası doğrulamasını açar. Şu anda doğrulama işlemi
hatalardan sonra devam eder, böylece sertifika zincirindeki tüm sorunlar görülebilir. Olarak
yan etki, bir sunucu sertifikası doğrulama hatası nedeniyle bağlantı asla başarısız olmaz.
-verify_return_error
Devam etmek yerine doğrulama hatalarını döndürün. Bu, genellikle
ölümcül bir hata ile el sıkışma.
-CApath rehber
Sunucu sertifikası doğrulaması için kullanılacak dizin. Bu dizin içinde olmalıdır
"karma biçimi", bkz. doğrulamak daha fazla bilgi için. Bunlar ayrıca bina inşa edilirken de kullanılır.
istemci sertifika zinciri.
-CA dosyası dosya
Sunucu kimlik doğrulaması sırasında kullanılacak ve kullanılacak güvenilir sertifikaları içeren bir dosya
istemci sertifika zincirini oluşturmaya çalışırken.
-amaç, -ignore_critical, -veren_çekler, -crl_check, -crl_check_all, -policy_check,
-genişletilmiş_crl, -x509_katı, -politika -check_ss_sig -no_alt_chains
Çeşitli sertifika zinciri doğrulama seçeneklerini ayarlayın. Bkz. doğrulamak için manuel sayfa
detaylar.
-yeniden bağlan
aynı oturum kimliğini kullanarak aynı sunucuya 5 kez yeniden bağlanır, bu
oturum önbelleğe almanın çalıştığını test edin.
-Duraklat
her okuma ve yazma çağrısı arasında 1 saniye duraklar.
-gösteriler
tüm sunucu sertifika zincirini görüntüle: normalde yalnızca sunucu sertifikası
kendisi görüntülenir.
-ön çıkış
program çıktığında oturum bilgilerini yazdır. Bu her zaman yazdırmayı dener
bağlantı başarısız olsa bile bilgi çıkışı. Normalde bilgi yalnızca
bağlantı başarılı olursa bir kez yazdırılır. Bu seçenek kullanışlıdır çünkü şifre
kullanımda yeniden müzakere edilebilir veya bir istemci sertifikası olduğundan bağlantı başarısız olabilir.
gerekli veya yalnızca belirli bir URL'ye erişme girişiminde bulunulduktan sonra isteniyor. Not:
Bu seçenek tarafından üretilen çıktı, bir bağlantı olabileceğinden her zaman doğru değildir.
hiçbir zaman kurulmamıştır.
-durum
SSL oturum durumlarını yazdırır.
-hata ayıklama
tüm trafiğin onaltılık dökümü de dahil olmak üzere kapsamlı hata ayıklama bilgilerini yazdırın.
-mesaj
tüm protokol mesajlarını hex dökümü ile göster.
-nbio_testi
engellemeyen G/Ç'yi test eder
-nbio
engellemeyen G/Ç'yi açar
-crlf
bu seçenek, bazılarının gerektirdiği şekilde terminalden gelen bir satır beslemesini CR+LF'ye çevirdi.
Sunucular.
-ign_eof
girişte dosyanın sonuna ulaşıldığında bağlantıyı kapatmayı engelle.
-sessiz
oturum ve sertifika bilgilerinin yazdırılmasını engeller. Bu dolaylı olarak açılır
-ign_eof gibi.
-no_ign_eof
girişte dosyanın sonuna ulaşıldığında bağlantıyı kapatın. için kullanılabilir
örtük olanı geçersiz kılmak -ign_eof sonra -sessiz.
-psk_kimliği kimlik
PSK kimliğini kullan kimlik PSK şifre paketi kullanırken.
-psk anahtar
PSK anahtarını kullanın anahtar PSK şifre paketi kullanırken. Anahtar onaltılık olarak verilir
0x'in başında olmayan sayı, örneğin -psk 1a2b3c4d.
-ssl2, -ssl3, -tls1, -tls1_1, -tls1_2, -no_ssl2, -no_ssl3, -no_tls1, -no_tls1_1,
-no_tls1_2
Bu seçenekler, belirtilen SSL veya TLS protokollerinin kullanımını gerektirir veya devre dışı bırakır. Tarafından
varsayılan ilk el sıkışma bir kullanır sürüm-esnek müzakere edecek yöntem
karşılıklı olarak desteklenen en yüksek protokol sürümü.
-geri dönüş_scsv
ClientHello'da TLS_FALLBACK_SCSV gönderin.
-böcekler
SSL ve TLS uygulamalarında bilinen birkaç hata var. Bu seçeneğin eklenmesi şunları sağlar:
çeşitli geçici çözümler.
-şifre şifre listesi
bu, istemci tarafından gönderilen şifre listesinin değiştirilmesine izin verir. sunucu olmasına rağmen
hangi şifre paketinin kullanıldığını belirler, ilk desteklenen şifreyi almalıdır.
müşteri tarafından gönderilen liste. Bkz. şifrelere Daha fazla bilgi için komut.
-sunucu pref
sunucunun şifre tercihlerini kullanın; sadece SSLV2 için kullanılır.
-başlangıçlar protokol
iletişim için TLS'ye geçmek için protokole özel mesaj(lar)ı gönderin. protokol is
amaçlanan protokol için bir anahtar kelime. Şu anda, desteklenen anahtar kelimeler yalnızca
"smtp", "pop3", "imap" ve "ftp".
-tlsextdebug
sunucudan alınan tüm TLS uzantılarının onaltılık dökümünü yazdırın.
-bilet yok
RFC4507bis oturum bileti desteğini devre dışı bırakın.
-sess_out Dosya
SSL oturumunu şuraya çıkar: Dosya
-sess_in ses.pem
SSL oturumunu şuradan yükle: Dosya. İstemci şuradan bir bağlantıyı sürdürmeyi deneyecek:
bu oturum.
-motor id
bir motor belirtme (benzersiz id dize) neden olur s_client denemek
belirtilen motora işlevsel bir referans alın, böylece gerekirse onu başlatın.
Ardından motor, mevcut tüm algoritmalar için varsayılan olarak ayarlanacaktır.
-rand Dosyalar)
rasgele sayı üretecini tohumlamak için kullanılan rasgele verileri içeren bir dosya veya dosyalar veya
EGD soketi (bkz. RAND_egd(3)). Bir işletim sistemi ile ayrılmış birden çok dosya belirtilebilir.
bağımlı karakter ayırıcı ; MS-Windows için, , OpenVMS için ve : tümü için
diğerleri.
-sunucu bilgisi türleri
virgülle ayrılmış TLS Uzantı Türlerinin bir listesi (0 ile 65535 arasındaki sayılar). Her biri
type boş bir ClientHello TLS Uzantısı olarak gönderilecektir. Sunucunun yanıtı (eğer
herhangi biri) kodlanacak ve bir PEM dosyası olarak görüntülenecektir.
-durum
sunucuya bir sertifika durumu isteği gönderir (OCSP zımbalaması). sunucu yanıtı
(varsa) yazdırılır.
-sonrakiprotoneg protokolleri
Sonraki Protokol Müzakere TLS uzantısını etkinleştirin ve virgülle ayrılmış bir liste sağlayın
istemcinin desteğini duyurması gereken protokol adları. Liste şunları içermelidir
önce en çok aranan protokoller. Protokol adları yazdırılabilir ASCII dizeleridir, örneğin
"http/1.1" veya "spdy/3". Boş protokol listesi özel olarak ele alınır ve
müşteri, TLS uzantısı için desteğin reklamını yapacak, ancak hemen sonra bağlantıyı kesecek
Sunucu tarafından desteklenen protokollerin bir listesi ile ServerHello alma.
BAĞLI KOMUTLAR
Bir SSL sunucusuyla bağlantı kurulursa, sunucudan alınan tüm veriler
görüntülenir ve herhangi bir tuşa basıldığında sunucuya gönderilir. Etkileşimli olarak kullanıldığında
(bu da ne demek -sessiz ne de -ign_eof verildi), oturum
satır bir ile başlarsa yeniden müzakere Rve satır bir ile başlıyorsa Q ya da biterse
dosyaya ulaşıldığında, bağlantı kapatılacaktır.
NOTLAR
s_client SSL sunucularında hata ayıklamak için kullanılabilir. Bir SSL HTTP sunucusuna bağlanmak için şu komut:
openssl s_client -bağlan sunucuadı:443
tipik olarak kullanılır (https 443 numaralı bağlantı noktasını kullanır). Bağlantı başarılı olursa, bir HTTP
bir web sayfasını almak için "GET /" gibi komutlar verilebilir.
El sıkışma başarısız olursa, bariz bir şey değilse, birkaç olası neden vardır.
müşteri sertifikası yok gibi o zaman -böcekler, -ssl2, -ssl3, -tls1, -no_ssl2, -no_ssl3,
-no_tls1 Buggy sunucusu olması durumunda seçenekler denenebilir. özellikle oynamalısın
bu seçeneklerle önce OpenSSL posta listesine bir hata raporu gönderme.
İstemci sertifikalarını çalıştırmaya çalışırken sık karşılaşılan bir sorun, bir web istemcisinin
sertifikası olmadığından şikayet ediyor veya aralarından seçim yapabileceğiniz boş bir liste veriyor. Bu normalde
çünkü sunucu "kabul edilebilir CA'sında istemcilere sertifika yetkilisi göndermiyor"
list" bir sertifika istediğinde. Kullanarak s_client CA listesi görüntülenebilir ve
kontrol. Ancak bazı sunucular yalnızca belirli bir URL oluşturulduktan sonra istemci kimlik doğrulaması ister.
talep edilen. Bu durumda listeyi elde etmek için -ön çıkış seçenek ve
uygun bir sayfa için bir HTTP isteği gönderin.
Komut satırında bir sertifika belirtilmişse, -sertifika seçenek olmayacak
sunucu özellikle bir istemci sertifikası talep etmedikçe kullanılır. sırf bu yüzden
komut satırına bir istemci sertifikası eklemek, sertifikanın
çalışır.
Bir sunucu sertifikasını doğrulamada sorunlar varsa, o zaman -gösteriler seçenek olabilir
tüm zinciri göstermek için kullanılır.
SSLv23 istemcisi merhaba, sıkıştırma yöntemlerini veya uzantılarını içeremediğinden, bunlar
yalnızca kullanımı devre dışı bırakıldığında desteklenebilir, örneğin -no_sslv2 seçeneği.
The s_client yardımcı program bir test aracıdır ve herhangi bir işlemden sonra el sıkışmaya devam etmek için tasarlanmıştır.
sertifika doğrulama hataları. Sonuç olarak herhangi bir sertifika zincirini kabul edecektir (güvenilir
veya değil) eş tarafından gönderilir. Hiçbiri test uygulamaları gerekir değil bunu onları yaptığı gibi yap
MITM saldırısına karşı savunmasız. Bu davranış ile değiştirilebilir
-verify_return_error seçenek: herhangi bir doğrulama hatası daha sonra el sıkışmanın iptal edilmesiyle döndürülür.
onworks.net hizmetlerini kullanarak s_clientssl'yi çevrimiçi kullanın
