这是可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行的命令 verifyssl,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
verify - 用于验证证书的实用程序。
概要
openssl的 确认 [-CA路径 目录[-CA文件 文件[-目的 目的[-政策 ARG]
[-忽略关键[-时间 时间戳[-check_ss_sig[-crl文件 文件[-crl_下载]
[-crl_检查[-crl_check_all[-策略检查[-显式策略[-inhibit_any]
[-inhibit_map[-x509_严格[-扩展_crl[-use_deltas[-policy_print]
[-no_alt_chains[- 不可信 文件[-救命[-发行人支票[-值得信赖 文件[-冗长[-]
[证书]
商品描述
这个 确认 命令验证证书链。
指挥 配置
-CA路径 目录
受信任证书的目录。 证书应具有以下形式的名称:
hash.0 或具有这种形式的符号链接(“hash”是散列证书
主题名称:见 -哈希 的选项 x509 公用事业)。 在 Unix 下 c_rehash
脚本将自动创建指向证书目录的符号链接。
-CA文件 文件 受信任的证书文件。 该文件应包含多个证书
以 PEM 格式连接在一起。
-时间 时间戳
使用指定的时间执行验证检查 时间戳 而不是当前的系统
时间。 时间戳 是自 01.01.1970(UNIX 时间)以来的秒数。
-check_ss_sig
验证自签名根 CA 上的签名。 这是默认禁用的,因为
它不会增加任何安全性。
-crl文件 文件
包含要加载的一个或多个 CRL(PEM 格式)的文件。
-crl_下载
尝试下载此证书的 CRL 信息。
-crl_检查
通过尝试查找有效的 CRL 来检查终端实体证书的有效性。 如果一个
无法找到有效的 CRL 发生错误。
- 不可信 文件
不受信任的证书文件。 该文件应包含 PEM 中的多个证书
格式连接在一起。
-目的 目的
证书的预期用途。 如果未指定此选项, 确认 不会
在链验证期间考虑证书目的。 目前接受的用途是
客户端, 服务端, nsssl服务器, 笑脸, 密密麻麻。 请参阅 校验 项目运营
部分了解更多信息。
-救命
打印使用信息。
-冗长
打印有关正在执行的操作的额外信息。
-发行人支票
打印与搜索当前发行人证书相关的诊断信息
证书。 这说明了为什么每个候选颁发者证书都被拒绝。 这
拒绝消息的存在本身并不意味着有任何问题; 期间
在正常的验证过程中,可能会发生多次拒绝。
-政策 ARG
启用策略处理并添加 ARG 到用户初始策略集(参见 RFC5280)。 这
政策 ARG 可以是数字形式的对象名称和 OID。 这个说法可以出现
不止一次。
-策略检查
启用证书策略处理。
-显式策略
设置策略变量 require-explicit-policy(参见 RFC5280)。
-inhibit_any
设置策略变量抑制任何策略(参见 RFC5280)。
-inhibit_map
设置策略变量抑制策略映射(参见 RFC5280)。
-no_alt_chains
在构建证书链时,如果找到的第一个证书链不是
受信任,然后 OpenSSL 将继续检查以查看是否可以使用替代链
发现是可信的。 有了这个选项,行为就会被抑制,这样只有
找到的第一个链曾经被使用过。 使用此选项将强制行为匹配
以前的 OpenSSL 版本。
-值得信赖 文件
附加受信任证书的文件。 该文件应包含多个
PEM 格式的证书连接在一起。
-policy_print
打印出与策略处理相关的诊断信息。
-crl_检查
通过尝试查找有效的 CRL 来检查终端实体证书的有效性。 如果一个
无法找到有效的 CRL 发生错误。
-crl_check_all
检查有效性 所有 通过尝试查找有效链中的证书
CRL。
-忽略关键
通常,如果存在未处理的关键扩展,而该扩展不受支持
OpenSSL 证书被拒绝(根据 RFC5280 的要求)。 如果设置了这个选项
关键扩展被忽略。
-x509_严格
对于严格的 X.509 合规性,禁用不合规的解决方法
证书。
-扩展_crl
启用扩展 CRL 功能,例如间接 CRL 和备用 CRL 签名密钥。
-use_deltas
启用对增量 CRL 的支持。
-check_ss_sig
验证自签名根 CA 上的签名。 这是默认禁用的,因为
它不会增加任何安全性。
- 表示最后一个选项。 此后的所有参数均假定为证书
文件。 如果第一个证书文件名以 -.
证书
要验证的一个或多个证书。 如果没有提供证书, 确认 会尝试
从标准输入读取证书。 证书必须是 PEM 格式。
校验 项目运营
这个 确认 程序使用与内部 SSL 和 S/MIME 验证相同的功能,
因此,此描述也适用于这些验证操作。
由执行的验证操作之间存在一个关键区别 确认
程序:在发生错误后尽可能尝试继续,而通常情况下
验证操作将在第一个错误时停止。 这允许所有问题
证书链待定。
验证操作由多个单独的步骤组成。
首先建立一个证书链,从提供的证书开始到结束
在根 CA 中。 如果不能建立整个链条是错误的。 链已建成
通过查找当前证书的颁发者证书来向上。 如果证书是
发现哪个是它自己的发行者,它被假定为根 CA。
“查找颁发者证书”的过程本身涉及许多步骤。 在
0.9.5a 之前的 OpenSSL 版本 主题名称匹配的第一个证书
当前证书的颁发者被假定为颁发者证书。 在 OpenSSL 中
0.9.6 及更高版本主题名称与当前发行者名称匹配的所有证书
证书有待进一步测试。 相关的权限密钥标识符组件
当前证书的(如果存在)必须匹配主题密钥标识符(如果存在)
以及候选发行人的发行人和序列号,以及 keyUsage 扩展
候选颁发者(如果存在)的证书必须允许签名。
查找首先在不受信任的证书列表中查找,如果没有找到匹配项
剩余的查找来自受信任的证书。 总是在根 CA 中查找
可信证书列表:如果要验证的证书是根证书,则
必须在可信列表中找到完全匹配。
第二个操作是检查每个不受信任的证书扩展的一致性
与提供的目的。 如果 -目的 不包括选项,则不进行检查。
提供的或“叶”证书必须具有与提供的兼容的扩展
目的和所有其他证书也必须是有效的 CA 证书。 精确的
所需的扩展在 证书 EXTENSIONS 部分
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 x509 效用。
第三个操作是检查根 CA 上的信任设置。 根 CA 应该是
为提供的目的而受信任。 为了与以前版本的 SSLeay 和
OpenSSL 没有信任设置的证书被认为对所有目的都有效。
最后的操作是检查证书链的有效性。 有效期
根据当前系统时间和 notBefore 和 notAfter 日期检查
证书。 此时还会检查证书签名。
如果所有操作成功完成,则证书被视为有效。 如果有的话
操作失败则证书无效。
诊断
当验证操作失败时,输出消息可能有点神秘。 一般
错误信息的形式是:
server.pem: /C=AU/ST=Queensland/O=CryptSoft Pty Ltd/CN=Test CA(1024 位)
24 次深度查找时出现错误 1:无效的 CA 证书
第一行包含要验证的证书的名称,后跟主题
证书名称。 第二行包含错误编号和深度。 这
depth 是在检测到问题时正在验证的证书编号
零代表自己验证的证书,然后 1 代表签署证书的 CA
证书等。 最后给出错误编号的文本版本。
下面显示了错误代码和消息的详尽列表,其中还包括
头文件中定义的错误代码名称 x509_vfy.h 一些错误代码
已定义但从未返回:这些被描述为“未使用”。
0 X509_V_OK: ok
手术成功。
2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: 无法 至 得到 发行者 证书
找不到已查找证书的颁发者证书。 这通常
表示可信证书列表不完整。
3 X509_V_ERR_UNABLE_TO_GET_CRL: 无法 至 得到 证书 CRL
找不到证书的 CRL。
4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE: 无法 至 解码 证书的 签名
无法解密证书签名。 这意味着实际签名
值无法确定,而不是与预期值不匹配,这是
仅对 RSA 密钥有意义。
5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE: 无法 至 解码 CRL的 签名
无法解密 CRL 签名:这意味着实际签名值
无法确定,而不是与预期值不匹配。 没用过。
6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY: 无法 至 解码 发行者 国家 键
无法读取证书 SubjectPublicKeyInfo 中的公钥。
7 X509_V_ERR_CERT_SIGNATURE_FAILURE: 证书 签名 失败
证书的签名无效。
8 X509_V_ERR_CRL_SIGNATURE_FAILURE: CRL 签名 失败
证书的签名无效。
9 X509_V_ERR_CERT_NOT_YET_VALID: 证书 is 而不去 但 有效
证书尚未生效:notBefore 日期在当前时间之后。
10 X509_V_ERR_CERT_HAS_EXPIRED: 证书 具有 过期
证书已过期:即 notAfter 日期早于当前时间。
11 X509_V_ERR_CRL_NOT_YET_VALID: CRL is 而不去 但 有效
CRL 尚未生效。
12 X509_V_ERR_CRL_HAS_EXPIRED: CRL 具有 过期
CRL 已过期。
13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD: 格式 错误 in 证书的 不在之前
部分
证书 notBefore 字段包含无效时间。
14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD: 格式 错误 in 证书的 之后 部分
证书 notAfter 字段包含无效时间。
15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD: 格式 错误 in CRL的 最后更新 部分
CRL lastUpdate 字段包含无效时间。
16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD: 格式 错误 in CRL的 下一个更新 部分
CRL nextUpdate 字段包含无效时间。
17 X509_V_ERR_OUT_OF_MEM: of 记忆
尝试分配内存时发生错误。 这不应该发生。
18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT: 自 签 证书
通过的证书是自签名的,并且在该证书中找不到相同的证书
可信证书列表。
19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: 自 签 证书 in 证书 链
证书链可以使用不受信任的证书来构建,但根
本地找不到。
20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: 无法 至 得到 本地 发行者 证书
无法找到颁发者证书:如果颁发者证书是
无法找到不受信任的证书。
21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE: 无法 至 确认 这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 第一 证书
无法验证签名,因为该链只包含一个证书,并且
不是自签名的。
22 X509_V_ERR_CERT_CHAIN_TOO_LONG: 证书 链 也有 长
证书链长度大于提供的最大深度。 没用过。
23 X509_V_ERR_CERT_REVOKED: 证书 撤销
证书已被吊销。
24 X509_V_ERR_INVALID_CA: 无效 CA 证书
CA 证书无效。 要么它不是 CA 要么它的扩展不是
与提供的用途一致。
25 X509_V_ERR_PATH_LENGTH_EXCEEDED: 径 长度 约束 突破
已超出 basicConstraints 路径长度参数。
26 X509_V_ERR_INVALID_PURPOSE: 不支持 证书 目的
提供的证书不能用于指定目的。
27 X509_V_ERR_CERT_UNTRUSTED: 证书 而不去 信任
根 CA 未标记为出于指定目的受信任。
28 X509_V_ERR_CERT_REJECTED: 证书 拒绝
根 CA 被标记为拒绝指定的目的。
29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH: 主题 发行者 不匹配
当前候选颁发者证书被拒绝,因为它的主题名称没有
匹配当前证书的颁发者名称。 仅当
-发行人支票 选项已设置。
30 X509_V_ERR_AKID_SKID_MISMATCH: 权威 和 主题 键 识别码 不匹配
当前候选颁发者证书被拒绝,因为其主题密钥
标识符存在并且与当前的授权密钥标识符不匹配
证书。 仅当 -发行人支票 选项已设置。
31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH: 权威 和 发行者 串行 数 不匹配
当前候选颁发者证书被拒绝,因为其颁发者名称和
序列号存在并且与授权密钥标识符不匹配
当前证书。 仅当 -发行人支票 选项已设置。
32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN:密钥 用法 不 而不去 包括 证书 签约
当前候选颁发者证书被拒绝,因为它的 keyUsage 扩展
不允许证书签名。
50 X509_V_ERR_APPLICATION_VERIFICATION: 应用 验证 失败
特定于应用程序的错误。 没用过。
使用 onworks.net 服务在线使用 verifyssl
