Це команда x509ssl, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
x509 - утиліта відображення та підписання сертифікатів
СИНТАКСИС
OpenSSL x509 [-інформувати DER|PEM|NET] [-форма DER|PEM|NET] [- ключова форма DER|PEM] [-CAform
DER|PEM] [-CAkeyform DER|PEM] [-в ім'я файлу] [-від ім'я файлу] [-серійний] [-хеш]
[-тема_хеш] [-імітатор_хеш] [-окспід] [-предмет] [-емітент] [-намеопт варіант] [-пошта]
[-ocsp_uri] [-дата початку] [-Дата закінчення] [-ціль] [- дати] [- чека Num] [- модуль]
[-пабключ] [- відбиток пальця] [- псевдонім] [-ноут] [- довірливий] [-клрдовіра] [-clrreject] [- додати довіру
аргумент] [-адреса аргумент] [-сеталіас аргумент] [-день аргумент] [-set_serial n] [- знаковий ключ ім'я файлу]
[-пассін аргумент] [-x509toreq] [-запит] [-AC ім'я файлу] [-Кей ім'я файлу] [-CAcreateserial]
[-CAсеріал ім'я файлу] [-force_pubkey ключ] [- текст] [-сертопт варіант] [-C]
[-md2|-md5|-sha1|-mdc2] [-clrext] [-extfile ім'я файлу] [- розширення розділ] [- двигун id]
ОПИС
Команда x509 command — це багатоцільова програма для отримання сертифікатів. Його можна використовувати для відображення
інформацію про сертифікат, конвертувати сертифікати в різні форми, підписувати запити на сертифікати
наприклад, «міні ЦС» або редагувати параметри довіри сертифіката.
Оскільки існує велика кількість варіантів, вони будуть розбиті на різні розділи.
ВАРІАНТИ
ВХІД, ВИХІД І Загальні відомості МЕТА ВАРІАНТИ
-інформувати DER|PEM|NET
Це визначає формат введення, як правило, команда очікує сертифікат X509
але це може змінитися, якщо інші параметри, наприклад -запит присутні. Формат DER – це
Кодування DER сертифіката та PEM є кодуванням base64 кодування DER
з доданими рядками верхнього та нижнього колонтитулів. Опція NET є незрозумілим сервером Netscape
формат, який зараз застарів.
-форма DER|PEM|NET
Це визначає вихідний формат, параметри мають те саме значення, що й -інформувати
варіант.
-в ім'я файлу
Це вказує ім’я вхідного файлу для читання сертифіката або стандартне введення, якщо це
опція не вказана.
-від ім'я файлу
Це визначає назву вихідного файлу для запису або стандартний вихід за замовчуванням.
-md2|-md5|-sha1|-mdc2
дайджест для використання. Це впливає на будь-який параметр підписання або відображення, який використовує повідомлення
переварити, наприклад - відбиток пальця, - знаковий ключ та -AC варіанти. Якщо не вказано, то SHA1
використовується. Якщо для підпису використовується ключ DSA, цей параметр не має
ефект: SHA1 завжди використовується з ключами DSA.
- двигун id
вказуючи двигун (за його унікальністю id рядок) спричинить x509 намагатися отримати a
функціональне посилання на вказаний механізм, таким чином ініціалізуючи його, якщо необхідно. The
двигун буде встановлено за замовчуванням для всіх доступних алгоритмів.
DISPLAY ВАРІАНТИ
Примітка: - псевдонім та -ціль Параметри також є параметрами відображення, але описані в
ДОВІРЯТИ НАЛАШТУВАННЯ .
- текст
роздруковує сертифікат у текстовому вигляді. Повна інформація виводиться, включаючи громадськість
ключ, алгоритми підпису, назви емітента та суб'єкта, серійний номер будь-які розширення
наявні та будь-які налаштування довіри.
-сертопт варіант
налаштувати вихідний формат, який використовується з - текст, варіант аргумент може бути одиничним
варіант або кілька варіантів, розділених комами. The -сертопт перемикач також може бути
використовувався більше одного разу для встановлення кількох параметрів. Див TEXT ВАРІАНТИ розділ для більше
інформація.
-ноут
ця опція запобігає виведенню закодованої версії запиту.
-пабключ
виводить блок SubjectPublicKeyInfo сертифіката у форматі PEM.
- модуль
ця опція виводить значення модуля відкритого ключа, що міститься в
довідка.
-серійний
виводить серійний номер сертифіката.
-тема_хеш
виводить "хеш" імені суб'єкта сертифіката. Це використовується в OpenSSL для формування файлу
index, щоб дозволити шукати сертифікати в каталозі за назвою теми.
-імітатор_хеш
виводить "хеш" імені емітента сертифіката.
-окспід
виводить хеш-значення OCSP для імені суб'єкта та відкритого ключа.
-хеш
синонім "-subject_hash" з міркувань зворотної сумісності.
-subject_hash_old
виводить "хеш" імені суб'єкта сертифіката за допомогою старішого алгоритму
за версіями OpenSSL до 1.0.0.
-імітатор_хеш_старий
виводить "хеш" імені емітента сертифіката за допомогою старішого алгоритму, який використовується
Версії OpenSSL до 1.0.0.
-предмет
виводить назву предмета.
-емітент
виводить назву емітента.
-намеопт варіант
параметр, який визначає, як відображаються імена суб’єкта або емітента. The варіант
Аргументом може бути один параметр або кілька варіантів, розділених комами.
В якості альтернативи -намеопт Перемикач можна використовувати більше одного разу для встановлення кількох параметрів.
Див ІМ'Я ВАРІАНТИ розділ для отримання додаткової інформації.
-пошта
виводить адресу електронної пошти, якщо є.
-ocsp_uri
виводить адресу(и) відповідачів OCSP, якщо такі є.
-дата початку
друкує дату початку сертифіката, тобто дату notBefore.
-Дата закінчення
друкує дату закінчення терміну дії сертифіката, тобто дату notAfter.
- дати
друкує дати початку та закінчення терміну дії сертифіката.
- чека аргумент
перевіряє, чи закінчується термін дії сертифіката протягом наступного аргумент секунд і виходить з ненульового значення if
так, термін дії закінчиться або нуль, якщо ні.
- відбиток пальця
друкує дайджест версії всього сертифіката, закодованої DER (див
варіанти).
-C це виводить сертифікат у вигляді вихідного файлу C.
ДОВІРЯТИ НАЛАШТУВАННЯ
Зверніть увагу, що наразі ці параметри є експериментальними і цілком можуть змінитися.
A Довірений сертифікат це звичайний сертифікат, який має кілька додаткових елементів
додана до нього інформація, наприклад, дозволене та заборонене використання сертифіката
і «псевдонім».
Зазвичай, коли сертифікат перевіряється, принаймні один сертифікат має бути «довіреним».
За замовчуванням довірений сертифікат має зберігатися локально і бути кореневим ЦС: будь-яким
ланцюжок сертифікатів, що закінчується на цьому ЦС, можна використовувати для будь-яких цілей.
Наразі налаштування довіри використовуються лише з кореневим ЦС. Вони дозволяють точніше контролювати
Для цілей можна використовувати кореневий ЦС. Наприклад, CA може бути надійним для клієнта SSL, але
не використовувати сервер SSL.
Дивіться опис перевірити утиліта для отримання додаткової інформації про значення довіри
налаштування
Майбутні версії OpenSSL будуть розпізнавати параметри довіри для будь-якого сертифіката: не тільки root
ЦС.
- довірливий
це викликає x509 вивести а Довірений сертифікат. Звичайний або надійний сертифікат
можна ввести, але за замовчуванням виводиться звичайний сертифікат і будь-які налаштування довіри
відкидаються. З - довірливий опція виводиться довірений сертифікат. Довірений
сертифікат автоматично виводиться, якщо будь-які налаштування довіри змінено.
-сеталіас аргумент
встановлює псевдонім сертифіката. Це дозволить посилатися на сертифікат
використовуючи псевдонім, наприклад "Сертифікат Стіва".
- псевдонім
виводить псевдонім сертифіката, якщо такий є.
-клрдовіра
очищає всі дозволені або надійні види використання сертифіката.
-clrreject
очищає всі заборонені або відхилені використання сертифіката.
- додати довіру аргумент
додає надійне використання сертифіката. Тут можна використовувати будь-яке ім’я об’єкта, але лише зараз
clientAuth (використання клієнта SSL), serverAuth (використання сервера SSL) і захист електронної пошти (S/MIME
електронна пошта). Інші програми OpenSSL можуть визначати додаткові можливості використання.
-адреса аргумент
додає заборонене використання. Він приймає ті ж значення, що й - додати довіру варіант.
-ціль
цей параметр виконує тести розширень сертифікатів і виводить результати. Для
більш повний опис див СЕРТИФІКАТ Розширення .
ПІДПИСУВАННЯ ВАРІАНТИ
Команда x509 Утиліту можна використовувати для підпису сертифікатів і запитів: таким чином вона може вести себе як a
«міні ЦС».
- знаковий ключ ім'я файлу
ця опція призводить до того, що вхідний файл буде самопідписаний за допомогою наданого приватного ключа.
Якщо вхідний файл є сертифікатом, він встановлює ім’я емітента на ім’я суб’єкта (тобто
робить його самопідписаним) змінює відкритий ключ на надане значення та змінює
дати початку та закінчення. За датою початку встановлюється поточний час, а дата завершення встановлюється
до значення, визначеного -день варіант. Будь-які розширення сертифікатів зберігаються
якщо тільки -clrext надається опція.
Якщо вхідним є запит на сертифікат, то самопідписаний сертифікат створюється за допомогою
наданий закритий ключ із використанням імені теми у запиті.
-пассін аргумент
джерело ключового пароля. Для отримання додаткової інформації про формат аргумент див PASS
PHRASE АРГУМЕНТИ розділ в OpenSSL(1).
-clrext
видалити будь-які розширення із сертифіката. Цей параметр використовується, коли сертифікат є
створюється з іншого сертифіката (наприклад, за допомогою - знаковий ключ або -AC
варіанти). Зазвичай всі розширення зберігаються.
- ключова форма PEM|DER
визначає формат (DER або PEM) файлу приватного ключа, який використовується в - знаковий ключ варіант.
-день аргумент
визначає кількість днів, протягом яких сертифікат буде дійсним. За замовчуванням – 30 днів.
-x509toreq
перетворює сертифікат на запит на сертифікат. The - знаковий ключ параметр використовується для проходження
необхідний секретний ключ.
-запит
за замовчуванням на вводі очікується сертифікат. За допомогою цієї опції запит на сертифікат
натомість очікується.
-set_serial n
вказує серійний номер для використання. Цю опцію можна використовувати або з - знаковий ключ
or -AC варіанти. Якщо використовується разом з -AC опція файлу серійного номера (як
визначені -CAсеріал or -CAcreateserial параметри) не використовується.
Порядковий номер може бути десятковим або шістнадцятковим (якщо передує 0x). Негативні серійні номери
також можна вказати, але їх використання не рекомендується.
-AC ім'я файлу
вказує сертифікат ЦС, який буде використовуватися для підпису. Коли ця опція є x509
поводиться як «міні ЦС». Вхідний файл підписується цим ЦС за допомогою цієї опції: that
його ім’я емітента встановлюється на ім’я суб’єкта ЦС і має цифровий підпис
за допомогою приватного ключа ЦС.
Цей параметр зазвичай поєднується з -запит варіант. Без -запит варіант
input – це сертифікат, який має бути самопідписаним.
-Кей ім'я файлу
встановлює закритий ключ ЦС для підписання сертифіката. Якщо цей параметр не вказано
тоді передбачається, що закритий ключ CA присутній у файлі сертифіката CA.
-CAсеріал ім'я файлу
встановлює для використання файл із серійним номером ЦС.
Коли -AC Опція використовується для підписання сертифіката, який використовує серійний номер, зазначений у
файл. Цей файл складається з одного рядка, що містить парну кількість шістнадцяткових цифр із символом
серійний номер для використання. Після кожного використання серійний номер збільшується і виписується
до файлу знову.
Ім'я файлу за замовчуванням складається з базового імені файлу сертифіката ЦС з ".srl"
додається. Наприклад, якщо файл сертифіката ЦС називається "mycacert.pem", він очікує
щоб знайти файл із серійним номером під назвою "mycacert.srl".
-CAcreateserial
за допомогою цієї опції файл із серійним номером ЦС створюється, якщо він не існує: він буде
містити серійний номер "02", а сертифікат, який підписується, матиме 1
серійний номер. Зазвичай, якщо -AC вказано параметр і файл серійного номера
не існує, це помилка.
-extfile ім'я файлу
файл, що містить розширення сертифікатів для використання. Якщо не вказано, розширення не буде
додано до сертифіката.
- розширення розділ
розділ, з якого можна додати розширення сертифікатів. Якщо цей параметр не вказано
розширення повинні міститися в розділі без імені (за замовчуванням) або в
Розділ за замовчуванням повинен містити змінну під назвою "extensions", яка містить
розділ для використання. Див x509v3_config(5) сторінка посібника для детальної інформації про розширення
формат розділу.
-force_pubkey ключ
під час створення сертифіката встановіть для його відкритого ключа значення ключ замість ключа в
сертифікат або запит на сертифікат. Цей параметр корисний для створення сертифікатів
де алгоритм зазвичай не може підписувати запити, наприклад DH.
Формат або ключ можна вказати за допомогою - ключова форма варіант.
ІМ'Я ВАРІАНТИ
Команда nameopt Перемикач командного рядка визначає, як відображаються імена суб'єктів та видавців.
Якщо ні nameopt присутній перемикач, використовується сумісний формат "oneline" за замовчуванням
з попередніми версіями OpenSSL. Кожен варіант детально описаний нижче, всі варіанти
може передувати a - щоб вимкнути цю опцію. Зазвичай використовуються лише перші чотири.
Compat
використовувати старий формат. Це еквівалентно вказуванню параметрів імені взагалі.
RFC2253
відображає імена, сумісні з RFC2253 еквівалентом esc_2253, esc_ctrl, esc_msb,
utf8, dump_nostr, dump_unknown, dump_der, sep_comma_plus, dn_rev та ім'я.
один рядок
формат oneline, більш читабельний, ніж RFC2253. Це еквівалентно вказівці
esc_2253, esc_ctrl, esc_msb, utf8, dump_nostr, dump_der, використовувати_цитату,
sep_comma_plus_space, пробіл_екв та ім'я Варіанти.
багаторядковий
багаторядковий формат. Це еквівалентно esc_ctrl, esc_msb, sep_multiline, пробіл_екв, ім'я
та вирівнювати.
esc_2253
екранувати "спеціальні" символи, необхідні RFC2253, у полі Тобто ,+"<>;.
Додатково # екранується на початку рядка і пробіл на початку рядка
початок або кінець рядка.
esc_ctrl
escape контрольні символи. Це ті, у яких значення ASCII менше 0x20 (пробіл) і
символ видалення (0x7f). Вони екрануються за допомогою нотації RFC2253 \XX (де XX
дві шістнадцяткові цифри, що представляють значення символу).
esc_msb
escape-символи з набором MSB, тобто зі значеннями ASCII, більшими за 127.
використовувати_цитату
екранує деякі символи, оточуючи весь рядок " символів, без
опція всі втечі виконується за допомогою \ характер.
utf8
спочатку конвертуйте всі рядки у формат UTF8. Це вимагає RFC2253. Якщо ви
пощастило мати термінал, сумісний з UTF8, тоді використання цієї опції (і НЕ
установка esc_msb) може призвести до правильного відображення багатобайтового (міжнародного)
символів. Якщо цього параметра немає, то багатобайтові символи більше 0xff
буде представлено у форматі \UXXXX для 16 біт і \WXXXXXXXX для 32 біт.
Крім того, якщо цей параметр вимкнено, будь-які рядки UTF8 будуть перетворені в їх символьну форму
перший.
тип_ігнорування
ця опція жодним чином не намагається інтерпретувати багатобайтові символи. Тобто
їхні октети вмісту просто скидаються так, ніби один октет представляє кожен символ.
Це корисно для діагностичних цілей, але призведе до досить дивного результату.
show_type
показати тип рядка символів ASN1. Тип передує вмісту поля. Для
приклад "BMPSTRING: Hello World".
dump_der
коли ця опція встановлена, будь-які поля, які потрібно вивести в шістнадцяткову форму, будуть виведені за допомогою
DER кодування поля. В іншому випадку відображатимуться лише октети вмісту. Обидва
параметри використовують RFC2253 #XXXX... Формат.
dump_nostr
виводити типи рядків без символів (наприклад, OCTET STRING), якщо цей параметр не встановлено
тоді не символьні рядки будуть відображатися так, ніби кожен октет вмісту
представляє один символ.
dump_all
скинути всі поля. Цей параметр при використанні з dump_der дозволяє DER кодування
структура повинна бути однозначно визначена.
dump_unknown
дамп будь-якого поля, OID якого не розпізнається OpenSSL.
sep_comma_plus, sep_comma_plus_space, sep_semi_plus_space, sep_multiline
ці параметри визначають роздільники полів. Перший символ знаходиться між RDN і
другий між кількома AVA (кілька AVA зустрічаються дуже рідко, і їх використання є
знеохочений). Параметри, що закінчуються на "пробіл", додатково розміщують пробіл після
роздільник, щоб зробити його більш читабельним. The sep_multiline використовує символ переведення рядка для
роздільник RDN і пробіл + для сепаратора AVA. Він також робить відступ для полів
чотири символи. Якщо роздільник полів не вказано, тоді sep_comma_plus_space використовується
за замовчуванням
dn_rev
змінити поля DN. Це вимагає RFC2253. Як побічний ефект це також
змінює порядок кількох AVA, але це допустимо.
nofname, ім'я, ім'я, оїд
ці параметри змінюють спосіб відображення назви поля. nofname не відображає
поле взагалі. ім'я використовує форму «коротка назва» (наприклад, CN для commonName). ім'я
використовує довгу форму. оїд представляє OID у числовій формі і корисний для
діагностична мета.
вирівнювати
вирівняйте значення полів для більш читабельного результату. Можна використовувати лише з sep_multiline.
пробіл_екв
місця навколо = символ, що стоїть після імені поля.
TEXT ВАРІАНТИ
Окрім налаштування формату виводу імені, можна також налаштувати фактичний
поля, надруковані за допомогою certopt варіанти, коли текст варіант присутній. За замовчуванням
поведінка полягає в тому, щоб надрукувати всі поля.
сумісний
використовувати старий формат. Це еквівалентно вказівці параметрів виводу взагалі.
no_header
не друкуйте інформацію заголовка: це рядки з написом «Сертифікат» і «Дані».
no_version
не друкуйте номер версії.
no_serial
не друкуйте серійний номер.
no_signname
не роздруковуйте використаний алгоритм підпису.
no_validity
не друкуйте дійсність, тобто не раніше та непісля полів.
без теми
не друкуйте назву теми.
no_issuer
не друкуйте назву емітента.
no_pubkey
не роздруковуйте відкритий ключ.
no_sigdump
не надавайте шістнадцятковий дамп підпису сертифіката.
no_aux
не роздруковувати інформацію про довіру сертифіката.
no_extensions
не роздруковуйте будь-які розширення X509V3.
ext_default
зберегти поведінку розширення за замовчуванням: спробуйте роздрукувати непідтримуваний сертифікат
розширення.
ext_error
надрукувати повідомлення про помилку для непідтримуваних розширень сертифікатів.
ext_parse
ASN1 аналізує непідтримувані розширення.
ext_dump
шістнадцятковий дамп непідтримуваних розширень.
ca_default
значення, яке використовується ca корисність, еквівалент no_issuer, no_pubkey, no_header,
no_version, no_sigdump та no_signname.
ПРИКЛАДИ
Примітка: у цих прикладах «\» означає, що весь приклад має бути в одному рядку.
Відобразити вміст сертифіката:
openssl x509 -in cert.pem -noout -text
Відобразити серійний номер сертифіката:
openssl x509 -in cert.pem -noout -serial
Відобразити назву теми сертифіката:
openssl x509 -in cert.pem -noout -subject
Відобразіть назву теми сертифіката у формі RFC2253:
openssl x509 -in cert.pem -noout -subject -nameopt RFC2253
Відобразити назву теми сертифіката в однорядковому вигляді на терміналі, який підтримує UTF8:
openssl x509 -in cert.pem -noout -subject -nameopt oneline,-esc_msb
Відобразити відбиток пальця сертифіката MD5:
openssl x509 -in cert.pem -noout -відбиток пальця
Відобразити відбиток пальця сертифіката SHA1:
openssl x509 -sha1 -in cert.pem -noout -відбиток пальця
Перетворіть сертифікат із формату PEM у формат DER:
openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
Перетворіть сертифікат на запит на сертифікат:
openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem
Перетворіть запит на сертифікат у самопідписаний сертифікат за допомогою розширень для ЦС:
openssl x509 -req -in careq.pem -extfile openssl.cnf -розширення v3_ca \
-signkey key.pem -out cacert.pem
Підпишіть запит на сертифікат за допомогою наведеного вище сертифіката ЦС та додайте сертифікат користувача
розширення:
openssl x509 -req -in req.pem -extfile openssl.cnf -розширення v3_usr \
-CA cacert.pem -CAkey key.pem -CAcreateserial
Встановіть сертифікат, який буде надійним для використання клієнтом SSL, і змініть його псевдонім на «Steve's
Клас 1 CA"
openssl x509 -in cert.pem -addtrust clientAuth \
-setalias "Steve's Class 1 CA" -out trust.pem
ПРИМІТКИ
Формат PEM використовує рядки верхнього та нижнього колонтитулів:
----- BEGIN CERTIFICATE -----
----- ЗАКОННИЙ СЕРТИФІКАТ -----
він також оброблятиме файли, що містять:
-----ПОЧНІТЬ СЕРТИФІКАТ X509-----
-----СЕРТИФІКАТ END X509-----
Довірені сертифікати мають рядки
-----ПОЧНИ ДОВІРЕНИЙ СЕРТИФІКАТ-----
-----КІНЦЕВИЙ НАДІЙНИЙ СЕРТИФІКАТ-----
Перетворення у формат UTF8, що використовується з параметрами імені, передбачає, що T61Strings використовує
Набір символів ISO8859-1. Це неправильно, але Netscape і MSIE роблять це, як і багато хто
сертифікати. Тому, хоча це неправильно, швидше за все, відображатиметься більшість
сертифікати правильно.
Команда - відбиток пальця параметр приймає дайджест сертифіката, закодованого DER. Це зазвичай
називається «відбитком пальця». Через характер повідомлення переварює відбиток пальця a
сертифікат є унікальним для цього сертифіката та двох сертифікатів з однаковим відбитком пальця
можна вважати однаковим.
Відбиток Netscape використовує MD5, тоді як MSIE використовує SHA1.
Команда -пошта параметр шукає назву теми та розширення альтернативної назви теми.
Будуть роздруковані лише унікальні адреси електронної пошти: ця сама адреса більше не друкуватиметься
ніж один раз.
СЕРТИФІКАТ Розширення
Команда -ціль Опція перевіряє розширення сертифікатів і визначає, що це за сертифікат
можна використовувати для. Фактичні перевірки є досить складними і включають різні хаки та
обхідні шляхи для роботи зі зламаними сертифікатами та програмним забезпеченням.
Той самий код використовується під час перевірки ненадійних сертифікатів у ланцюжках, тому цей розділ
корисно, якщо ланцюжок відхилено кодом перевірки.
Прапор CA розширення basicConstraints використовується, щоб визначити, чи може бути сертифікат
використовується як CA. Якщо прапор CA істинний, то це CA, якщо прапор CA хибний, то це так
не CA. ВСІ ЦС повинен мати прапор ЦС, встановлений у значення true.
Якщо розширення basicConstraints відсутнє, сертифікат вважається a
"можливий CA" інші розширення перевіряються відповідно до цільового використання
сертифікат. У цьому випадку дається попередження, тому що сертифіката насправді не повинно бути
розглядається як ЦС: однак дозволено бути ЦС, щоб обійти деяке зламане програмне забезпечення.
Якщо сертифікат є сертифікатом V1 (і, отже, не має розширень) і він самопідписаний
він також вважається CA, але знову видається попередження: це потрібно обійти
проблема коренів Verisign, які є самопідписаними сертифікатами V1.
Якщо присутнє розширення keyUsage, додаткові обмеження на використання
сертифікат. Сертифікат ЦС повинен мати встановлений біт keyCertSign, якщо keyUsage
розширення присутній.
Розширене використання ключа накладає додаткові обмеження на використання сертифіката.
Якщо це розширення є (критичне чи ні), ключ можна використовувати лише для
визначені цілі.
Нижче наведено повний опис кожного тесту. Коментарі про basicConstraints
і сертифікати keyUsage та V1, наведені вище, застосовуються до всі Сертифікати ЦС.
SSL Клієнт
Розширене використання ключа повинно бути відсутнім або включати "веб-клієнт
автентифікація" OID. keyUsage має бути відсутнім або він повинен мати біт digitalSignature
набір. Тип сертифіката Netscape має бути відсутнім або має бути встановлений біт клієнта SSL.
SSL Клієнт CA
Розширене використання ключа повинно бути відсутнім або включати "веб-клієнт
автентифікація" OID. Тип сертифіката Netscape повинен бути відсутнім або він повинен мати SSL
Набір бітів CA: це використовується як обхід, якщо розширення basicConstraints відсутнє.
SSL сервер
Розширене використання ключа повинно бути відсутнім або включати "веб-сервер
автентифікація" та/або один з OID SGC. keyUsage має бути відсутнім або має
цифровий підпис, набір ключового шифрування або встановлені обидва біти. Сертифікат Netscape
тип повинен бути відсутнім або мати встановлений біт сервера SSL.
SSL сервер CA
Розширене використання ключа повинно бути відсутнім або включати "веб-сервер
аутентифікація" та/або один з OID SGC. Тип сертифіката Netscape має бути відсутнім
або повинен бути встановлений біт SSL CA: це використовується як обхід, якщо basicConstraints
розширення відсутнє.
Netscape SSL сервер
Щоб клієнти Netscape SSL могли підключатися до SSL-сервера, він повинен мати ключ Encipherment
біт встановлений, якщо присутнє розширення keyUsage. Це не завжди справедливо, тому що деякі
набори шифрів використовують ключ для цифрового підпису. В іншому випадку це те саме, що звичайне
SSL сервер.
загальний S / MIME Клієнт Випробування
Розширене використання ключа повинно бути відсутнім або включати OID "захист електронної пошти".
Тип сертифіката Netscape повинен бути відсутнім або має бути встановлений біт S/MIME. Якщо
У типі сертифіката netscape не встановлено біт S/MIME, тоді як біт клієнта SSL
допускається як альтернатива, але відображається попередження: це тому, що деякі Verisign
сертифікати не встановлюють біт S/MIME.
S / MIME Підписання
На додаток до звичайних тестів клієнта S/MIME біт digitalSignature має бути встановлений якщо
присутнє розширення keyUsage.
S / MIME Шифрування
На додаток до звичайних тестів S/MIME біт keyEncipherment має бути встановлений, якщо
Присутнє розширення keyUsage.
S / MIME CA
Розширене використання ключа повинно бути відсутнім або включати OID "захист електронної пошти".
Тип сертифіката Netscape повинен бути відсутнім або має бути встановлений біт S/MIME CA: це
використовується як обхід, якщо розширення basicConstraints відсутнє.
C.R.L. Підписання
Розширення keyUsage має бути відсутнім або має бути встановлений біт підпису CRL.
C.R.L. Підписання CA
Застосовуються звичайні тести CA. За винятком цього випадку має бути розширення basicConstraints
присутній
Використовуйте x509ssl онлайн за допомогою служб onworks.net
