Đây là lệnh x509ssl có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
x509 - Tiện ích hiển thị và ký chứng chỉ
SYNOPSIS
openssl x509 [-báo DER | PEM | NET] [-outform DER | PEM | NET] [-hình dạng DER | PEM] [-Hình thức
DER | PEM] [-CAkeyform DER | PEM] [-trong tên tập tin] [-ngoài tên tập tin] [-sử dụng] [-băm]
[-chủ đề_hash] [-nhà phát hành_hash] [-cspid] [-chủ thể] [-nhà phát hành] [-nameopt tùy chọn] [-e-mail]
[-ocsp_uri] [-bắt đầu] [-ngày cuối] [-mục đích] [-ngày] [-kiểm tra cuối num] [-mô hình]
[-pubkey] [-vân tay] [-bí danh] [-noout] [-kết quả] [-clrtrust] [-clrtừ chối] [-addtrust
arg] [-adreject arg] [-setalias arg] [-ngày arg] [-set_serial n] [-chìa khóa ký hiệu tên tập tin]
[-passin arg] [-x509toreq] [-yêu cầu] [-CA tên tập tin] [-Chìa khóa tên tập tin] [-CAcreateserial]
[-Sử dụng tên tập tin] [-force_pubkey chính] [-bản văn] [-chứng chỉ tùy chọn] [-C]
[-md2 | -md5 | -sha1 | -mdc2] [-clrext] [-tệp văn bản tên tập tin] [-sự mở rộng phần] [-động cơ id]
MÔ TẢ
x509 lệnh là một tiện ích chứng chỉ đa mục đích. Nó có thể được sử dụng để hiển thị
thông tin chứng chỉ, chuyển đổi chứng chỉ sang các dạng khác nhau, ký yêu cầu chứng chỉ
như "CA nhỏ" hoặc chỉnh sửa cài đặt tin cậy chứng chỉ.
Vì có một số lượng lớn các tùy chọn nên chúng sẽ chia thành nhiều phần khác nhau.
LỰA CHỌN
ĐẦU VÀO, OUTPUT VÀ CÁC VẤN ĐỀ CHUNG MỤC ĐÍCH LỰA CHỌN
-báo DER | PEM | NET
Điều này chỉ định định dạng đầu vào thông thường lệnh sẽ mong đợi một chứng chỉ X509
nhưng điều này có thể thay đổi nếu các tùy chọn khác như -yêu cầu đang có mặt. Định dạng DER là
Mã hóa DER của chứng chỉ và PEM là mã hóa base64 của mã hóa DER
với các dòng đầu trang và chân trang được thêm vào. Tùy chọn NET là một máy chủ Netscape ít người biết đến
định dạng hiện đã lỗi thời.
-outform DER | PEM | NET
Điều này chỉ định định dạng đầu ra, các tùy chọn có cùng ý nghĩa với -báo
tùy chọn.
-trong tên tập tin
Điều này chỉ định tên tệp đầu vào để đọc chứng chỉ từ hoặc đầu vào tiêu chuẩn nếu điều này
tùy chọn không được chỉ định.
-ngoài tên tập tin
Điều này chỉ định tên tệp đầu ra để ghi vào hoặc đầu ra tiêu chuẩn theo mặc định.
-md2 | -md5 | -sha1 | -mdc2
thông báo để sử dụng. Điều này ảnh hưởng đến bất kỳ tùy chọn ký hoặc hiển thị nào sử dụng tin nhắn
tiêu hóa, chẳng hạn như -vân tay, -chìa khóa ký hiệu và -CA tùy chọn. Nếu không được chỉ định thì SHA1
Được sử dụng. Nếu khóa được sử dụng để đăng nhập là khóa DSA thì tùy chọn này không có
hiệu ứng: SHA1 luôn được sử dụng với các khóa DSA.
-động cơ id
chỉ định một động cơ (bởi tính duy nhất của nó id chuỗi) sẽ gây ra x509 để cố gắng đạt được một
tham chiếu chức năng đến công cụ được chỉ định, do đó khởi tạo nó nếu cần. Các
công cụ sau đó sẽ được đặt làm mặc định cho tất cả các thuật toán có sẵn.
DISPLAY LỰA CHỌN
Lưu ý: -bí danh và -mục đích tùy chọn cũng là tùy chọn hiển thị nhưng được mô tả trong
SỰ TIN CẬY SETTINGS phần.
-bản văn
in chứng chỉ dưới dạng văn bản. Chi tiết đầy đủ được xuất ra bao gồm cả công khai
khóa, thuật toán chữ ký, tổ chức phát hành và tên chủ đề, số sê-ri bất kỳ phần mở rộng nào
hiện tại và bất kỳ cài đặt tin cậy nào.
-chứng chỉ tùy chọn
tùy chỉnh định dạng đầu ra được sử dụng với -bản văn. Các tùy chọn đối số có thể là một
tùy chọn hoặc nhiều tùy chọn được phân tách bằng dấu phẩy. Các -chứng chỉ chuyển đổi cũng có thể được
đã sử dụng nhiều lần để đặt nhiều tùy chọn. Xem TEXT LỰA CHỌN phần để biết thêm
thông tin.
-noout
tùy chọn này ngăn đầu ra của phiên bản được mã hóa của yêu cầu.
-pubkey
xuất ra khối SubjectPublicKeyInfo của chứng chỉ ở định dạng PEM.
-mô hình
tùy chọn này in ra giá trị của môđun của khóa công khai có trong
chứng chỉ.
-sử dụng
xuất ra số sê-ri chứng chỉ.
-chủ đề_hash
xuất ra "băm" của tên chủ đề chứng chỉ. Điều này được sử dụng trong OpenSSL để tạo thành một
chỉ mục để cho phép các chứng chỉ trong thư mục được tra cứu theo tên chủ đề.
-nhà phát hành_hash
xuất ra "băm" của tên tổ chức phát hành chứng chỉ.
-cspid
xuất ra các giá trị băm OCSP cho tên chủ đề và khóa công khai.
-băm
từ đồng nghĩa với "-subject_hash" vì lý do tương thích ngược.
-chủ đề_hash_old
xuất ra "băm" của tên chủ đề chứng chỉ bằng cách sử dụng thuật toán cũ hơn như được sử dụng
bởi các phiên bản OpenSSL trước 1.0.0.
-nhà phát hành_hash_old
xuất ra "băm" của tên tổ chức phát hành chứng chỉ bằng cách sử dụng thuật toán cũ hơn được sử dụng bởi
Các phiên bản OpenSSL trước 1.0.0.
-chủ thể
xuất ra tên chủ đề.
-nhà phát hành
xuất ra tên nhà phát hành.
-nameopt tùy chọn
tùy chọn xác định cách hiển thị tên chủ đề hoặc tổ chức phát hành. Các tùy chọn
đối số có thể là một tùy chọn hoặc nhiều tùy chọn được phân tách bằng dấu phẩy.
Ngoài ra, -nameopt có thể được sử dụng nhiều lần để đặt nhiều tùy chọn.
Xem TÊN LỰA CHỌN phần để biết thêm thông tin.
xuất (các) địa chỉ email nếu có.
-ocsp_uri
xuất ra (các) địa chỉ người trả lời OCSP nếu có.
-bắt đầu
in ra ngày bắt đầu của chứng chỉ, đó là ngày notBefore.
-ngày cuối
in ra ngày hết hạn của chứng chỉ, đó không phải là Ngày sau đó.
-ngày
in ra ngày bắt đầu và ngày hết hạn của chứng chỉ.
-kiểm tra cuối arg
kiểm tra xem chứng chỉ có hết hạn trong lần tiếp theo không arg giây và thoát ra khác XNUMX nếu
có nó sẽ hết hạn hoặc bằng không nếu không.
-vân tay
in ra thông báo về phiên bản được mã hóa DER của toàn bộ chứng chỉ (xem thông báo
tùy chọn).
-C điều này xuất ra chứng chỉ dưới dạng tệp nguồn C.
SỰ TIN CẬY SETTINGS
Xin lưu ý rằng các tùy chọn này hiện đang thử nghiệm và có thể thay đổi.
A đáng tin cậy Giấy chứng nhận là một chứng chỉ thông thường có một số phần bổ sung của
thông tin đính kèm với nó, chẳng hạn như việc sử dụng chứng chỉ được phép và bị cấm
và một "bí danh".
Thông thường, khi một chứng chỉ đang được xác minh, ít nhất một chứng chỉ phải được "tin cậy".
Theo mặc định, chứng chỉ đáng tin cậy phải được lưu trữ cục bộ và phải là CA gốc: bất kỳ
chuỗi chứng chỉ kết thúc bằng CA này sau đó có thể sử dụng được cho bất kỳ mục đích nào.
Cài đặt tin cậy hiện chỉ được sử dụng với CA gốc. Chúng cho phép kiểm soát tốt hơn
mục đích mà CA gốc có thể được sử dụng cho. Ví dụ: một CA có thể được tin cậy cho máy khách SSL nhưng
không sử dụng máy chủ SSL.
Xem mô tả của xác minh tiện ích để biết thêm thông tin về ý nghĩa của sự tin tưởng
cài đặt.
Các phiên bản OpenSSL trong tương lai sẽ nhận ra cài đặt tin cậy trên bất kỳ chứng chỉ nào: không chỉ root
CA.
-kết quả
nguyên nhân này x509 để xuất ra một đáng tin cậy giấy chứng nhận. Một chứng chỉ thông thường hoặc đáng tin cậy
có thể được nhập vào nhưng theo mặc định, một chứng chỉ thông thường là đầu ra và bất kỳ cài đặt tin cậy nào
bị loại bỏ. Với -kết quả tùy chọn một chứng chỉ đáng tin cậy là đầu ra. Một người đáng tin cậy
chứng chỉ được xuất tự động nếu bất kỳ cài đặt tin cậy nào được sửa đổi.
-setalias arg
đặt bí danh của chứng chỉ. Điều này sẽ cho phép chứng chỉ được tham chiếu
sử dụng biệt hiệu, ví dụ: "Chứng chỉ của Steve".
-bí danh
xuất ra bí danh chứng chỉ, nếu có.
-clrtrust
xóa tất cả các mục đích sử dụng được phép hoặc đáng tin cậy của chứng chỉ.
-clrtừ chối
xóa tất cả việc sử dụng chứng chỉ bị cấm hoặc bị từ chối.
-addtrust arg
thêm việc sử dụng chứng chỉ đáng tin cậy. Bất kỳ tên đối tượng nào cũng có thể được sử dụng ở đây nhưng hiện tại chỉ
khách hàngAuth (Sử dụng máy khách SSL), máy chủAuth (Sử dụng máy chủ SSL) và emailbảo vệ (S / MIME
email) được sử dụng. Các ứng dụng OpenSSL khác có thể xác định các mục đích sử dụng bổ sung.
-adreject arg
thêm một việc sử dụng bị cấm. Nó chấp nhận các giá trị giống như -addtrust tùy chọn.
-mục đích
tùy chọn này thực hiện kiểm tra trên các phần mở rộng chứng chỉ và xuất ra kết quả. Vì
mô tả đầy đủ hơn xem GIẤY CHỨNG NHẬN MỞ RỘNG phần.
KÝ KẾT LỰA CHỌN
x509 tiện ích có thể được sử dụng để ký các chứng chỉ và yêu cầu: do đó nó có thể hoạt động giống như một
"CA mini".
-chìa khóa ký hiệu tên tập tin
tùy chọn này làm cho tệp đầu vào được tự ký bằng khóa cá nhân được cung cấp.
Nếu tệp đầu vào là một chứng chỉ, nó sẽ đặt tên tổ chức phát hành thành tên chủ đề (tức là
làm cho nó tự ký) thay đổi khóa công khai thành giá trị được cung cấp và thay đổi
ngày bắt đầu và ngày kết thúc. Ngày bắt đầu được đặt thành thời gian hiện tại và ngày kết thúc được đặt
đến một giá trị được xác định bởi -ngày Lựa chọn. Mọi phần mở rộng chứng chỉ đều được giữ lại
trừ khi -clrext tùy chọn được cung cấp.
Nếu đầu vào là một yêu cầu chứng chỉ thì chứng chỉ tự ký được tạo bằng cách sử dụng
khóa cá nhân được cung cấp bằng cách sử dụng tên chủ đề trong yêu cầu.
-passin arg
nguồn mật khẩu chính. Để biết thêm thông tin về định dạng của arg xem PASS
PHRASE TRANH LUẬN phần trong openssl(1).
-clrext
xóa bất kỳ phần mở rộng nào khỏi chứng chỉ. Tùy chọn này được sử dụng khi chứng chỉ
được tạo từ một chứng chỉ khác (ví dụ: với -chìa khóa ký hiệu hoặc là -CA
tùy chọn). Thông thường tất cả các phần mở rộng đều được giữ lại.
-hình dạng PEM | DER
chỉ định định dạng (DER hoặc PEM) của tệp khóa cá nhân được sử dụng trong -chìa khóa ký hiệu tùy chọn.
-ngày arg
chỉ định số ngày để chứng chỉ có giá trị. Giá trị mặc định là 30 ngày.
-x509toreq
chuyển đổi một chứng chỉ thành một yêu cầu chứng chỉ. Các -chìa khóa ký hiệu tùy chọn được sử dụng để vượt qua
khóa cá nhân bắt buộc.
-yêu cầu
theo mặc định, một chứng chỉ được mong đợi trên đầu vào. Với tùy chọn này, một yêu cầu chứng chỉ
được mong đợi thay thế.
-set_serial n
chỉ định số sê-ri sẽ sử dụng. Tùy chọn này có thể được sử dụng với -chìa khóa ký hiệu
or -CA tùy chọn. Nếu được sử dụng kết hợp với -CA tùy chọn tệp số sê-ri (như
được chỉ định bởi -Sử dụng or -CAcreateserial tùy chọn) không được sử dụng.
Số sê-ri có thể là thập phân hoặc thập lục phân (nếu đứng trước 0x). Số sê-ri âm
cũng có thể được chỉ định nhưng việc sử dụng chúng không được khuyến khích.
-CA tên tập tin
chỉ định chứng chỉ CA được sử dụng để ký. Khi tùy chọn này có mặt x509
hành xử như một "CA mini". Tệp đầu vào được CA này ký bằng cách sử dụng tùy chọn này: that
là tên tổ chức phát hành của nó được đặt thành tên chủ thể của CA và nó được ký điện tử
bằng cách sử dụng khóa riêng của CAs.
Tùy chọn này thường được kết hợp với -yêu cầu Lựa chọn. Không có -yêu cầu tùy chọn
đầu vào là một chứng chỉ phải được tự ký.
-Chìa khóa tên tập tin
đặt khóa cá nhân CA để ký chứng chỉ. Nếu tùy chọn này không được chỉ định
thì giả định rằng khóa cá nhân CA có trong tệp chứng chỉ CA.
-Sử dụng tên tập tin
đặt tệp số sê-ri CA để sử dụng.
Khi -CA tùy chọn được sử dụng để ký một chứng chỉ nó sử dụng một số sê-ri được chỉ định trong
một tập tin. Tệp này bao gồm một dòng chứa một số chẵn các chữ số hex với
số sê-ri sử dụng. Sau mỗi lần sử dụng, số sê-ri được tăng dần và viết ra
vào tệp một lần nữa.
Tên tệp mặc định bao gồm tên cơ sở tệp chứng chỉ CA với ".srl"
thêm vào. Ví dụ: nếu tệp chứng chỉ CA được gọi là "mycacert.pem", nó mong đợi
để tìm tệp số sê-ri có tên "mycacert.srl".
-CAcreateserial
với tùy chọn này, tệp số sê-ri CA được tạo nếu nó không tồn tại: nó sẽ
chứa số sê-ri "02" và chứng chỉ đang được ký sẽ có số 1 là
số seri. Bình thường nếu -CA tùy chọn được chỉ định và tệp số sê-ri không
không tồn tại nó là một lỗi.
-tệp văn bản tên tập tin
tệp chứa phần mở rộng chứng chỉ để sử dụng. Nếu không được chỉ định thì không có phần mở rộng nào
được thêm vào chứng chỉ.
-sự mở rộng phần
phần để thêm phần mở rộng chứng chỉ từ. Nếu tùy chọn này không được chỉ định thì
phần mở rộng phải được chứa trong phần không được đặt tên (mặc định) hoặc
phần mặc định phải chứa một biến được gọi là "phần mở rộng" có chứa
phần sử dụng. Xem x509v3_config(5) trang hướng dẫn sử dụng để biết chi tiết về phần mở rộng
định dạng phần.
-force_pubkey chính
khi một chứng chỉ được tạo, hãy đặt khóa công khai của nó thành chính thay vì chìa khóa trong
chứng chỉ hoặc yêu cầu chứng chỉ. Tùy chọn này hữu ích để tạo chứng chỉ
trong đó thuật toán thường không thể ký các yêu cầu, ví dụ như DH.
Định dạng hoặc chính có thể được chỉ định bằng cách sử dụng -hình dạng tùy chọn.
TÊN LỰA CHỌN
bảng tên chuyển đổi dòng lệnh xác định cách hiển thị tên chủ đề và tổ chức phát hành.
Nếu không bảng tên công tắc hiện tại, định dạng "một dòng" mặc định được sử dụng tương thích
với các phiên bản trước của OpenSSL. Mỗi tùy chọn được mô tả chi tiết bên dưới, tất cả các tùy chọn
có thể được đặt trước bởi một - để tắt tùy chọn. Chỉ bốn cái đầu tiên thường được sử dụng.
compat
sử dụng định dạng cũ. Điều này tương đương với việc chỉ định không có tùy chọn tên nào cả.
RFC2253
hiển thị tên tương thích với RFC2253 tương đương với esc_2253, esc_ctrl, esc_msb,
utf8, dump_nostr, dump_unknown, dump_der, sep_comma_plus, dn_rev và tên của.
một đường thẳng
định dạng một dòng dễ đọc hơn RFC2253. Nó tương đương với việc chỉ định
các esc_2253, esc_ctrl, esc_msb, utf8, dump_nostr, dump_der, sử dụng_quote,
sep_comma_plus_space, dấu cách_eq và tên của tùy chọn.
multiline
một định dạng nhiều dòng. Nó tương đương esc_ctrl, esc_msb, sep_multiline, dấu cách_eq, tên
và sắp xếp.
esc_2253
thoát khỏi các ký tự "đặc biệt" được yêu cầu bởi RFC2253 trong trường Đó là , + "<>;.
Ngoài ra # được thoát ra ở đầu một chuỗi và một ký tự khoảng trắng ở
đầu hoặc cuối của một chuỗi.
esc_ctrl
nhân vật điều khiển thoát. Đó là những người có giá trị ASCII nhỏ hơn 0x20 (khoảng trắng) và
ký tự xóa (0x7f). Chúng được thoát bằng ký hiệu RFC2253 \ XX (trong đó XX
là hai chữ số hex đại diện cho giá trị ký tự).
esc_msb
các ký tự thoát với bộ MSB, nghĩa là với các giá trị ASCII lớn hơn 127.
sử dụng_quote
thoát một số ký tự bằng cách bao quanh toàn bộ chuỗi bằng " ký tự, không có
tất cả các tùy chọn thoát được thực hiện với \ nhân vật.
utf8
chuyển đổi tất cả các chuỗi sang định dạng UTF8 trước. Đây là yêu cầu của RFC2253. Nếu bạn là
đủ may mắn để có một thiết bị đầu cuối tương thích UTF8 thì việc sử dụng tùy chọn này (và không
thiết lập esc_msb) có thể dẫn đến việc hiển thị chính xác multibyte (quốc tế)
nhân vật. Nếu tùy chọn này không có thì ký tự nhiều byte lớn hơn 0xff
sẽ được biểu diễn bằng định dạng \ UXXXX cho 16 bit và \ WXXXXXXXX cho 32 bit.
Ngoài ra, nếu tùy chọn này bị tắt, bất kỳ Chuỗi UTF8 nào sẽ được chuyển đổi thành dạng ký tự của chúng
đầu tiên.
bỏ qua_type
tùy chọn này không cố gắng diễn giải các ký tự nhiều byte theo bất kỳ cách nào. Đó là
các octet nội dung của chúng chỉ được kết xuất như thể một octet đại diện cho mỗi ký tự.
Điều này rất hữu ích cho các mục đích chẩn đoán nhưng sẽ dẫn đến kết quả trông khá kỳ quặc.
show_type
hiển thị kiểu của chuỗi ký tự ASN1. Kiểu đứng trước nội dung trường. Vì
ví dụ "BMPSTRING: Hello World".
dump_der
khi tùy chọn này được đặt, bất kỳ trường nào cần được phá vỡ hệ thống sẽ được kết xuất bằng cách sử dụng
Mã hóa DER của trường. Nếu không, chỉ các octet nội dung sẽ được hiển thị. Cả hai
tùy chọn sử dụng RFC2253 #XXXX ... định dạng.
dump_nostr
kết xuất các loại chuỗi không phải ký tự (ví dụ: OCTET STRING) nếu tùy chọn này không được đặt
thì các kiểu chuỗi không phải ký tự sẽ được hiển thị như thể mỗi octet nội dung
đại diện cho một ký tự duy nhất.
đổ_tất cả
đổ tất cả các lĩnh vực. Tùy chọn này khi được sử dụng với dump_der cho phép mã hóa DER của
cấu trúc được xác định rõ ràng.
dump_unknown
kết xuất bất kỳ trường nào có OID không được OpenSSL nhận dạng.
sep_comma_plus, sep_comma_plus_space, sep_semi_plus_space, sep_multiline
các tùy chọn này xác định các dấu phân cách trường. Ký tự đầu tiên nằm giữa RDN và
thứ hai giữa nhiều AVA (nhiều AVA rất hiếm và việc sử dụng chúng là
nản lòng). Các tùy chọn kết thúc bằng "khoảng trắng" cũng đặt thêm một khoảng trắng sau
dấu phân cách để làm cho nó dễ đọc hơn. Các sep_multiline sử dụng một ký tự dòng cấp cho
dấu phân cách RDN và dấu cách + cho bộ phân tách AVA. Nó cũng thụt lề các trường bằng
bốn ký tự. Nếu không có dấu phân tách trường nào được chỉ định thì sep_comma_plus_space được sử dụng
theo mặc định.
dn_rev
đảo ngược các trường của DN. Đây là yêu cầu của RFC2253. Như một tác dụng phụ, điều này cũng
đảo ngược thứ tự của nhiều AVA nhưng điều này được cho phép.
không có tên, tên của, tên, Nghe
các tùy chọn này thay đổi cách hiển thị tên trường. không có tên không hiển thị
lĩnh vực nào cả. tên của sử dụng hình thức "tên ngắn" (ví dụ: CN cho commonName). tên
sử dụng hình thức dài. Nghe đại diện cho OID ở dạng số và hữu ích cho
mục đích chẩn đoán.
sắp xếp
căn chỉnh các giá trị trường để có đầu ra dễ đọc hơn. Chỉ sử dụng được với sep_multiline.
dấu cách_eq
đặt không gian xung quanh = ký tự theo sau tên trường.
TEXT LỰA CHỌN
Cũng như tùy chỉnh định dạng đầu ra tên, cũng có thể tùy chỉnh thực tế
các trường được in bằng cách sử dụng chứng nhận các tùy chọn khi văn bản tùy chọn hiện tại. Mặc định
hành vi là in tất cả các trường.
tương thích
sử dụng định dạng cũ. Điều này tương đương với việc chỉ định không có tùy chọn đầu ra nào cả.
Không tiêu đề
không in thông tin tiêu đề: đó là các dòng có nội dung "Chứng chỉ" và "Dữ liệu".
no_version
không in ra số phiên bản.
không_serial
không in ra số sê-ri.
no_signame
không in ra thuật toán chữ ký được sử dụng.
không có hiệu lực
không in hiệu lực, đó là không phải trước đây và không phải sau khi các lĩnh vực.
không có chủ đề
không in tên môn học.
không có nhà phát hành
không in tên công ty phát hành.
no_pubkey
không in ra khóa công khai.
no_sigdump
không cung cấp kết xuất thập lục phân của chữ ký chứng chỉ.
không_aux
không in ra thông tin tin cậy chứng chỉ.
không_tiện ích mở rộng
không in ra bất kỳ phần mở rộng X509V3 nào.
ext_default
giữ lại hành vi mặc định của tiện ích mở rộng: cố gắng in ra chứng chỉ không được hỗ trợ
phần mở rộng.
ext_error
in thông báo lỗi cho phần mở rộng chứng chỉ không được hỗ trợ.
ext_parse
Phân tích cú pháp ASN1 các tiện ích mở rộng không được hỗ trợ.
ext_dump
phần mở rộng không được hỗ trợ kết xuất hex.
ca_default
giá trị được sử dụng bởi ca tiện ích, tương đương với không có nhà phát hành, no_pubkey, Không tiêu đề,
no_version, no_sigdump và no_signame.
VÍ DỤ
Lưu ý: trong các ví dụ này, '\' có nghĩa là ví dụ phải nằm trên một dòng.
Hiển thị nội dung của chứng chỉ:
openssl x509 -in cert.pem -noout -text
Hiển thị số sê-ri chứng chỉ:
openssl x509 -in cert.pem -noout -serial
Hiển thị tên chủ đề chứng chỉ:
openssl x509 -in cert.pem -noout -subject
Hiển thị tên chủ đề chứng chỉ trong biểu mẫu RFC2253:
openssl x509 -in cert.pem -noout -subject -nameopt RFC2253
Hiển thị tên chủ đề chứng chỉ ở dạng một dòng trên thiết bị đầu cuối hỗ trợ UTF8:
openssl x509 -in cert.pem -noout -subject -nameopt oneline, -esc_msb
Hiển thị dấu vân tay MD5 chứng chỉ:
openssl x509 -in cert.pem -noout - dấu vân tay
Hiển thị dấu vân tay SHA1 chứng chỉ:
openssl x509 -sha1 -in cert.pem -noout - dấu vân tay
Chuyển đổi chứng chỉ từ định dạng PEM sang DER:
openssl x509 -in cert.pem -inform PEM -out cert.der -outform DER
Chuyển đổi chứng chỉ thành yêu cầu chứng chỉ:
openssl x509 -x509toreq -in cert.pem -out req.pem -signkey key.pem
Chuyển đổi yêu cầu chứng chỉ thành chứng chỉ tự ký bằng cách sử dụng các phần mở rộng cho CA:
openssl x509 -req -in careq.pem -extfile openssl.cnf -extensions v3_ca \
-signkey key.pem -out cacert.pem
Ký yêu cầu chứng chỉ bằng chứng chỉ CA ở trên và thêm chứng chỉ người dùng
tiện ích mở rộng:
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr \
-CA cacert.pem -CAkey key.pem -CAcreateserial
Đặt chứng chỉ đáng tin cậy để sử dụng máy khách SSL và thay đổi đặt bí danh của nó thành "Steve's
CA cấp 1 "
openssl x509 -in cert.pem -addtrust clientAuth \
-setalias "Steve's Class 1 CA" -out trust.pem
GHI CHÚ
Định dạng PEM sử dụng các dòng đầu trang và chân trang:
----- CHỨNG NHẬN BẮT ĐẦU -----
----- GIẤY CHỨNG NHẬN KẾT THÚC -----
nó cũng sẽ xử lý các tệp chứa:
----- CHỨNG NHẬN BEGIN X509 -----
----- HẾT X509 CHỨNG NHẬN -----
Chứng chỉ đáng tin cậy có các dòng
----- BẮT ĐẦU GIẤY CHỨNG NHẬN TIN CẬY -----
----- HẾT GIẤY CHỨNG NHẬN TIN CẬY -----
Việc chuyển đổi sang định dạng UTF8 được sử dụng với các tùy chọn tên giả định rằng các Chuỗi T61 sử dụng
Bộ ký tự ISO8859-1. Điều này là sai nhưng Netscape và MSIE làm điều này như nhiều người khác
chứng chỉ. Vì vậy, mặc dù điều này không chính xác, nó có nhiều khả năng hiển thị phần lớn
chứng chỉ một cách chính xác.
-vân tay tùy chọn nhận thông báo về chứng chỉ được mã hóa DER. Điều này thường
được gọi là "dấu vân tay". Bởi vì bản chất của tin nhắn tiêu hóa dấu vân tay của một
chứng chỉ là duy nhất cho chứng chỉ đó và hai chứng chỉ có cùng tệp tham chiếu
có thể coi là giống nhau.
Dấu vân tay Netscape sử dụng MD5 trong khi MSIE sử dụng SHA1.
-e-mail tùy chọn tìm kiếm tên chủ đề và phần mở rộng tên thay thế chủ đề.
Chỉ những địa chỉ email duy nhất sẽ được in ra: nó sẽ không in cùng một địa chỉ nữa
hơn một lần.
GIẤY CHỨNG NHẬN MỞ RỘNG
-mục đích tùy chọn kiểm tra các phần mở rộng chứng chỉ và xác định chứng chỉ nào
có thể được sử dụng cho. Việc kiểm tra thực tế được thực hiện khá phức tạp và bao gồm các thủ thuật khác nhau và
cách giải quyết để xử lý các chứng chỉ và phần mềm bị hỏng.
Cùng một mã được sử dụng khi xác minh các chứng chỉ không đáng tin cậy trong chuỗi, vì vậy phần này
hữu ích nếu một chuỗi bị từ chối bởi mã xác minh.
Cờ CA của phần mở rộng basicConstraints được sử dụng để xác định xem chứng chỉ có thể được
được sử dụng như một CA. Nếu cờ CA là true thì nó là CA, nếu cờ CA là false thì nó là
không phải là CA. Tất cả CA phải đặt cờ CA thành true.
Nếu phần mở rộng basicConstraints không có thì chứng chỉ được coi là
"có thể có CA" các phần mở rộng khác được kiểm tra theo mục đích sử dụng của
giấy chứng nhận. Một cảnh báo được đưa ra trong trường hợp này vì chứng chỉ thực sự không nên
được coi là CA: tuy nhiên nó được phép là CA để làm việc xung quanh một số phần mềm bị hỏng.
Nếu chứng chỉ là chứng chỉ V1 (và do đó không có phần mở rộng) và nó được tự ký
nó cũng được giả định là một CA nhưng một lần nữa cảnh báo lại được đưa ra: điều này là để giải quyết vấn đề
vấn đề về gốc Verisign là chứng chỉ V1 tự ký.
Nếu có phần mở rộng KeyUsage thì các hạn chế bổ sung được thực hiện đối với việc sử dụng
chứng chỉ. Chứng chỉ CA phải đặt bit keyCertSign nếu keyUsage
phần mở rộng là hiện tại.
Tiện ích mở rộng sử dụng khóa mở rộng đặt thêm các hạn chế đối với việc sử dụng chứng chỉ.
Nếu tiện ích mở rộng này hiện diện (cho dù quan trọng hay không), khóa chỉ có thể được sử dụng cho
mục đích cụ thể.
Dưới đây là mô tả đầy đủ về mỗi bài kiểm tra. Các nhận xét về basicConstraints
và các chứng chỉ keyUsage và V1 ở trên áp dụng cho tất cả các Chứng chỉ CA.
SSL Khách hàng
Tiện ích mở rộng sử dụng khóa mở rộng phải vắng mặt hoặc bao gồm "ứng dụng khách web
xác thực "OID. keyUsage phải vắng mặt hoặc nó phải có bit Chữ ký số
bộ. Loại chứng chỉ Netscape phải không có hoặc nó phải có bộ bit máy khách SSL.
SSL Khách hàng CA
Tiện ích mở rộng sử dụng khóa mở rộng phải vắng mặt hoặc bao gồm "ứng dụng khách web
xác thực "OID. Loại chứng chỉ Netscape phải không có hoặc nó phải có SSL
Bộ bit CA: điều này được sử dụng như một công việc xung quanh nếu phần mở rộng BasicConstraints vắng mặt.
SSL của chúng tôi
Tiện ích mở rộng sử dụng khóa mở rộng phải không có hoặc bao gồm "máy chủ web
xác thực "và / hoặc một trong các SGC OID. keyUsage phải vắng mặt hoặc nó phải có
DigitalSignature, keyEncipherment set hoặc cả hai bit. Chứng chỉ Netscape
loại phải không có hoặc có đặt bit máy chủ SSL.
SSL của chúng tôi CA
Tiện ích mở rộng sử dụng khóa mở rộng phải không có hoặc bao gồm "máy chủ web
xác thực "và / hoặc một trong các OID SGC. Loại chứng chỉ Netscape phải không có
hoặc bit SSL CA phải được đặt: điều này được sử dụng như một công việc xung quanh nếu
phần mở rộng vắng mặt.
Netscape SSL của chúng tôi
Để máy khách SSL Netscape kết nối với máy chủ SSL, nó phải có khóa
bit set nếu có phần mở rộng keyUsage. Điều này không phải lúc nào cũng hợp lệ vì một số
bộ mật mã sử dụng khóa để ký số. Nếu không thì nó giống như bình thường
Máy chủ SSL.
Chung S / MIME Khách hàng Kiểm tra
Tiện ích mở rộng sử dụng khóa mở rộng phải không có hoặc bao gồm OID "bảo vệ email".
Loại chứng chỉ Netscape phải không có hoặc phải có bộ bit S / MIME. Nếu
Bit S / MIME không được đặt trong loại chứng chỉ netscape thì bit máy khách SSL là
được dung thứ như một giải pháp thay thế nhưng một cảnh báo được hiển thị: điều này là do một số Verisign
chứng chỉ không đặt bit S / MIME.
S / MIME Ký
Ngoài các bài kiểm tra máy khách S / MIME thông thường, bit Chữ ký số phải được đặt nếu
phần mở rộng keyUsage hiện có.
S / MIME Encryption
Ngoài các bài kiểm tra S / MIME thông thường, bit keyEncipherment phải được đặt nếu
tiện ích mở rộng keyUsage hiện có.
S / MIME CA
Tiện ích mở rộng sử dụng khóa mở rộng phải không có hoặc bao gồm OID "bảo vệ email".
Loại chứng chỉ Netscape phải không có hoặc phải có bộ bit S / MIME CA: đây là
được sử dụng như một công việc xung quanh nếu tiện ích mở rộng BasicConstraints vắng mặt.
C.R.L. Ký
Phần mở rộng keyUsage phải không có hoặc nó phải có bit ký CRL.
C.R.L. Ký CA
Các bài kiểm tra CA bình thường được áp dụng. Ngoại trừ trong trường hợp này, phần mở rộng BasicConstraints phải là
hiện tại.
Sử dụng x509ssl trực tuyến bằng các dịch vụ onworks.net
