s_serverssl - Bulutta Çevrimiçi

Program:

ADI

s_server - SSL/TLS sunucu programı

SİNOPSİS

openssl sunucu [-kabul Liman] [-bağlam id] [-Doğrulayın derinlik] [-Doğrulamak derinlik] [-crl_check]
[-crl_check_all] [-sertifika Dosya] [-sertifika DER|PEM] [-tuşu Anahtar dosya] [-anahtar formu DER|PEM]
[-geçmek arg] [-dcert Dosya] [-dsertifika formu DER|PEM] [-dkey Anahtar dosya] [-dkeyform DER|PEM]
[-dpass arg] [-dhparam Dosya] [-nbio] [-nbio_testi] [-crlf] [-hata ayıklama] [-mesaj] [-durum]
[-CApath rehber] [-CA dosyası Dosya] [-no_alt_chains] [-nocert] [-şifre şifre listesi]
[-sunucu pref] [-sessiz] [-no_tmp_rsa] [-ssl2] [-ssl3] [-tls1] [-no_ssl2] [-no_ssl3]
[-no_tls1] [-no_dhe] [-böcekler] [-hile] [-www] [-WWW] [-HTTP] [-motor id] [-tlsextdebug]
[-bilet yok] [-id_prefix arg] [-rand Dosyalar)] [-sunucu bilgisi dosya] [-no_resumption_on_reneg]
[-durum] [-status_verbose] [-status_timeout nsaniye] [-status_url url] [-sonrakiprotoneg
protokolleri]

AÇIKLAMA

The sunucu komutu, üzerindeki bağlantıları dinleyen genel bir SSL/TLS sunucusu uygular.
SSL/TLS kullanan belirli bir bağlantı noktası.

SEÇENEKLER

-kabul Liman
Bağlantıları dinlemek için TCP bağlantı noktası. Belirtilmemişse 4433 kullanılır.

-bağlam id
SSL bağlam kimliğini ayarlar. Herhangi bir dize değeri verilebilir. Bu seçenek değilse
mevcut bir varsayılan değer kullanılacaktır.

-sertifika sertifika adı
Kullanılacak sertifika, çoğu sunucu şifre paketi bir sertifikanın kullanılmasını gerektirir
ve bazıları belirli bir ortak anahtar türüne sahip bir sertifika gerektirir: örneğin DSS
şifre paketleri, bir DSS (DSA) anahtarı içeren bir sertifika gerektirir. Belirtilmemişse o zaman
"server.pem" dosya adı kullanılacaktır.

-sertifika biçim
Kullanılacak sertifika biçimi: DER veya PEM. PEM varsayılandır.

-tuşu Anahtar dosya
Kullanılacak özel anahtar. Belirtilmezse, sertifika dosyası kullanılacaktır.

-anahtar formu biçim
Kullanılacak özel biçim: DER veya PEM. PEM varsayılandır.

-geçmek arg
özel anahtar parola kaynağı. biçimi hakkında daha fazla bilgi için arg bakın
PASS İFADE ARGÜMANLAR bölümündeki bölüm openssl(1).

-dcert Dosya, -dkey anahtar adı
ek bir sertifika ve özel anahtar belirtin, bunlar aynı şekilde davranır
the -sertifika ve -tuşu belirtilmedikleri takdirde varsayılan olmaması dışında seçenekler (hayır
ek sertifika ve anahtar kullanılır). Yukarıda belirtildiği gibi, bazı şifre takımları bir
belirli bir türde bir anahtar içeren sertifika. Bazı şifre paketleri bir sertifikaya ihtiyaç duyar
bir RSA anahtarı ve bir miktar DSS (DSA) anahtarı taşıyor. RSA ve DSS sertifikalarını kullanarak ve
bir sunucu, yalnızca RSA veya DSS şifre takımlarını destekleyen istemcileri aşağıdakileri kullanarak destekleyebilir:
uygun bir sertifika.

-dsertifika formu biçim, -dkeyform biçim, -dpass arg
sırasıyla ek sertifika ve özel anahtar biçimi ve parola.

-nocert
bu seçenek ayarlanırsa sertifika kullanılmaz. Bu, şifre paketlerini kısıtlar
anonim olanlar tarafından kullanılabilir (şu anda sadece anonim DH).

-dhparam Dosya
kullanılacak DH parametre dosyası. Geçici DH şifre takımları, bir dizi kullanarak anahtarlar üretir.
DH parametreleri. Belirtilmezse, parametreleri şuradan yüklemek için bir girişimde bulunulur:
sunucu sertifika dosyası. Bu başarısız olursa, sabit kodlanmış statik bir parametre seti
s_server programında kullanılacaktır.

-no_dhe
bu seçenek ayarlanırsa, etkin bir şekilde devre dışı bırakılarak hiçbir DH parametresi yüklenmeyecektir.
geçici DH şifre paketleri.

-no_tmp_rsa
belirli dışa aktarma şifre paketleri bazen geçici bir RSA anahtarı kullanır, bu seçenek devre dışı bırakır
geçici RSA anahtar üretimi.

-Doğrulayın derinlik, -Doğrulamak derinlik
Kullanılacak doğrulama derinliği. Bu, istemci sertifikasının maksimum uzunluğunu belirtir
zincirler ve sunucunun istemciden bir sertifika istemesini sağlar. İle -Doğrulayın
seçenek bir sertifika talep edilir, ancak istemcinin bir sertifika göndermesi gerekmez.
-Doğrulamak seçenek, istemcinin bir sertifika sağlaması gerekir, aksi takdirde bir hata oluşur.

Şifre takımı bir istemci sertifikası talep edemezse (örneğin anonim
ciphersuite veya PSK) bu seçeneğin hiçbir etkisi yoktur.

-crl_check, -crl_check_all
Eş sertifikanın CA'sı tarafından iptal edilmediğini kontrol edin. CRL(ler) şuraya eklenir:
sertifika dosyası. İle -crl_check_all zincirdeki tüm CA'ların tüm CRL'lerini seç
kontrol edilir.

-CApath rehber
İstemci sertifikası doğrulaması için kullanılacak dizin. Bu dizin içinde olmalıdır
"karma biçimi", bkz. doğrulamak daha fazla bilgi için. Bunlar ayrıca bina inşa edilirken de kullanılır.
sunucu sertifika zinciri.

-CA dosyası dosya
İstemci kimlik doğrulaması sırasında kullanılacak ve kullanılacak güvenilir sertifikaları içeren bir dosya
sunucu sertifika zincirini oluşturmaya çalışırken. Liste aynı zamanda
bir sertifika istendiğinde istemciye iletilen kabul edilebilir istemci CA'larının listesi.

-no_alt_chains
Bak doğrulamak Ayrıntılar için kılavuz sayfası.

-durum
SSL oturum durumlarını yazdırır.

-hata ayıklama
tüm trafiğin onaltılık dökümü de dahil olmak üzere kapsamlı hata ayıklama bilgilerini yazdırın.

-mesaj
tüm protokol mesajlarını hex dökümü ile göster.

-nbio_testi
engellemeyen G/Ç'yi test eder

-nbio
engellemeyen G/Ç'yi açar

-crlf
bu seçenek, terminalden gelen bir satır beslemesini CR+LF'ye çevirdi.

-sessiz
oturum ve sertifika bilgilerinin yazdırılmasını engeller.

-psk_hint ipucu
PSK kimlik ipucunu kullanın ipucu PSK şifre paketi kullanırken.

-psk anahtar
PSK anahtarını kullanın anahtar PSK şifre paketi kullanırken. Anahtar onaltılık olarak verilir
0x'in başında olmayan sayı, örneğin -psk 1a2b3c4d.

-ssl2, -ssl3, -tls1, -tls1_1, -tls1_2, -no_ssl2, -no_ssl3, -no_tls1, -no_tls1_1,
-no_tls1_2
Bu seçenekler, belirtilen SSL veya TLS protokollerinin kullanımını gerektirir veya devre dışı bırakır. Tarafından
varsayılan ilk el sıkışma bir kullanır sürüm-esnek müzakere edecek yöntem
karşılıklı olarak desteklenen en yüksek protokol sürümü.

-böcekler
SSL ve TLS uygulamalarında bilinen birkaç hata var. Bu seçeneğin eklenmesi şunları sağlar:
çeşitli geçici çözümler.

-hile
bu seçenek, bazı erken dönem Netscape SSL kodları (?) için başka bir geçici çözüm sağlar.

-şifre şifre listesi
bu, sunucu tarafından kullanılan şifre listesinin değiştirilmesine izin verir. Müşteri gönderdiğinde
desteklenen şifrelerin listesi, ilk istemci şifresi de sunucu listesine dahil edilmiştir
kullanıldı. İstemci tercih sırasını belirttiğinden, sunucunun sırası
şifre listesi alakasız. Bkz. şifrelere Daha fazla bilgi için komut.

-sunucu pref
istemcinin tercihleri ​​yerine sunucunun şifre tercihlerini kullanın.

-tlsextdebug
sunucudan alınan tüm TLS uzantılarının onaltılık dökümünü yazdırın.

-bilet yok
RFC4507bis oturum bileti desteğini devre dışı bırakın.

-www
bağlandığında istemciye bir durum mesajı gönderir. Bu birçok içerir
kullanılan şifreler ve çeşitli oturum parametreleri hakkında bilgi. çıktı
HTML biçiminde olduğundan, bu seçenek normalde bir web tarayıcısıyla kullanılacaktır.

-WWW
basit bir web sunucusunu taklit eder. Sayfalar mevcut duruma göre çözülecek
dizin, örneğin dosyanın https://myhost/page.html URL'si isteniyorsa
./page.html yüklenecektir.

-HTTP
basit bir web sunucusunu taklit eder. Sayfalar mevcut duruma göre çözülecek
dizin, örneğin dosyanın https://myhost/page.html URL'si isteniyorsa
./page.html yüklenecektir. Yüklenen dosyaların eksiksiz ve
doğru HTTP yanıtı (HTTP yanıt satırının parçası olan satırlar ve başlıklar
CRLF ile biter).

-motor id
bir motor belirtme (benzersiz id dize) neden olur sunucu denemek
belirtilen motora işlevsel bir referans alın, böylece gerekirse onu başlatın.
Ardından motor, mevcut tüm algoritmalar için varsayılan olarak ayarlanacaktır.

-id_prefix arg
ön ekli SSL/TLS oturum kimlikleri oluşturun arg. Bu, çoğunlukla herhangi bir testi test etmek için kullanışlıdır.
Birden çok sunucuyla ilgilenmek isteyen SSL/TLS kodu (örn.
benzersiz bir dizi oturum kimliği üretiyor olabilir (örneğin, belirli bir önekle).

-rand Dosyalar)
rasgele sayı üretecini tohumlamak için kullanılan rasgele verileri içeren bir dosya veya dosyalar veya
EGD soketi (bkz. RAND_egd(3)). Bir işletim sistemi ile ayrılmış birden çok dosya belirtilebilir.
bağımlı karakter ayırıcı ; MS-Windows için, , OpenVMS için ve : tümü için
diğerleri.

-sunucu bilgisi dosya
bir veya daha fazla PEM verisi bloğu içeren bir dosya. Her PEM bloğu bir TLS kodlamalıdır
ServerHello uzantısı (2 bayt türü, 2 bayt uzunluk, ardından "uzunluk" baytları
uzantı verileri). İstemci, aşağıdakiyle eşleşen boş bir TLS ClientHello uzantısı gönderirse
yazın, karşılık gelen ServerHello uzantısı döndürülecektir.

-no_resumption_on_reneg
SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION bayrağını ayarlayın.

-durum
sertifika durumu isteği desteğini etkinleştirir (aka OCSP zımbalaması).

-status_verbose
sertifika durumu isteği desteğini etkinleştirir (aka OCSP zımbalama) ve ayrıntılı bilgi verir
OCSP yanıtının çıktısı.

-status_timeout nsaniye
OCSP yanıtı için zaman aşımını ayarlar nsaniye saniye.

-status_url url
sunucuda yanıtlayıcı URL'si yoksa kullanılacak bir yedek yanıtlayıcı URL'si ayarlar
sertifika. Bu seçenek olmadan, sunucu sertifikası hata verirse bir hata döndürülür.
yanıtlayıcı adresi içermez.

-sonrakiprotoneg protokolleri
Sonraki Protokol Müzakere TLS uzantısını etkinleştirin ve virgülle ayrılmış bir liste sağlayın
desteklenen protokol adları Liste önce en çok aranan protokolleri içermelidir.
Protokol adları yazdırılabilir ASCII dizeleridir, örneğin "http/1.1" veya "spdy/3".

BAĞLI KOMUTLAR

Bir SSL istemcisi ile bir bağlantı isteği kurulursa ve hiçbiri -www ne
-WWW seçeneği kullanılmışsa, normalde müşteriden alınan tüm veriler görüntülenir ve
herhangi bir tuşa basıldığında müşteriye gönderilecektir.

Özel işlemler gerçekleştiren belirli tek harfli komutlar da tanınır: bunlar
aşağıda listelenmiştir.

q mevcut SSL bağlantısını sonlandırın ancak yine de yeni bağlantıları kabul edin.

Q mevcut SSL bağlantısını sonlandırın ve çıkın.

r SSL oturumunu yeniden müzakere edin.

R SSL oturumunu yeniden müzakere edin ve bir istemci sertifikası isteyin.

P alttaki TCP bağlantısına bir miktar düz metin gönderin: bu, istemcinin
protokol ihlali nedeniyle bağlantıyı kesmek için.

S bazı oturum önbellek durumu bilgilerini yazdırın.

NOTLAR

sunucu SSL istemcilerinde hata ayıklamak için kullanılabilir. Bir web tarayıcısından gelen bağlantıları kabul etmek için
komut:

openssl s_server - 443'ü kabul et -www

örneğin kullanılabilir.

Çoğu web tarayıcısı (özellikle Netscape ve MSIE) yalnızca RSA şifre takımlarını destekler, bu nedenle
RSA anahtarı taşıyan bir sertifika kullanmayan sunuculara bağlanamazlar veya
RSA devre dışı bırakılmış OpenSSL sürümü.

İstemci sertifikası istenirken boş bir CA listesi belirtilmesine rağmen
bir protokol ihlali söz konusu olduğunda, bazı SSL istemcileri bunu herhangi bir CA'nın
kabul edilebilir. Bu, hata ayıklama amaçları için kullanışlıdır.

Oturum parametreleri, aşağıdakiler kullanılarak yazdırılabilir: oturum_kimliği programı.

onworks.net hizmetlerini kullanarak s_serverssl'yi çevrimiçi kullanın