Linux Certif

Toute la documentation sur la certification Linux LPI

openssl

NAZWA

openssl - narzêdzia wiersza poleceñ do biblioteki OpenSSL

SK£ADNIA

openssl polecenie [ opcje_polecenia ] [ argumenty_polecenia ]

openssl [ list-standard-commands | list-message-digest-commands | list-cipher-commands ]

openssl no-XXX [ dowolne opcje ]

OPIS

OpenSSL to zestaw narzêdzi kryptograficznych implementuj±cy protoko³y sieciowe Secure Sockets Layer (SSL v2/v3) i Transport Layer Security (TLS v1) oraz wymagane przez nie standardy kryptograficzne.

Program openssl to narzêdzie wiersza poleceñ przeznaczone do u¿ywania ró¿nych funkcji kryptograficznych biblioteki crypto OpenSSL z poziomu pow³oki. Mo¿na go u¿ywaæ do:

 o Tworzenia kluczy RSA, DH i DSA

 o Wystawiania certyfikatów X.509, CSR oraz CRL

 o Obliczania skrótów wiadomo¶ci

 o Szyfrowania i deszyfrowania

 o Testowania klientów i serwerów SSL/TLS

 o Obs³ugi poczty z podpisem S/MIME lub zaszyfrowanej

PODSUMOWANIE POLECEÑ

Program openssl dostarcza wielu ró¿nych poleceñ (polecenie w sekcji SK£ADNIA powy¿ej), z których ka¿de ma mnóstwo opcji i argumentów (opcje_polecenia i argumenty_polecenia w sekcji SK£ADNIA).

Pseudo-polecenia list-standard-commands, list-message-digest-commands oraz list-cipher-commands wypisuj± listê nazw (po jednym elemencie w wierszu) odpowiednio: wszystkich standardowych poleceñ, poleceñ skrótu wiadomo¶ci lub poleceñ szyfrowania dostêpnych w bie¿±cej aplikacji openssl.

Pseudo-polecenie no-XXX sprawdza obecno¶æ polecenia o podanej nazwie. Je¶li XXX nie jest dostêpne, zwraca 0 (kod powodzenia) i wypisuje no-XXX; w przeciwnym razie zwraca 1 i wypisuje XXX. W obydwu przypadkach efekty s± kierowane na stdout i nic nie pojawia siê na stderr. Dodatkowe argumenty wiersza poleceñ s± zawsze ignorowane. Poniewa¿ ka¿dy szyfr jest wywo³ywany przez polecenie o takiej samej nazwie jak on sam, ³atwo sprawdziæ dostêpno¶æ szyfrów w openssl z poziomu pow³oki. (no-XXX nie potrafi wykrywaæ pseudo-poleceñ takich jak quit, list-...-commands, czy samego no-XXX.)

STANDARDOWE POLECENIA

asn1parse

Analiza sk³adni sekwencji ASN.1.

ca

Zarz±dzanie o¶rodkami certyfikacji (CA).

ciphers

Opis zestawu dostêpnych szyfrów.

crl

Zarz±dzanie list± uniewa¿nionych certyfikatów (CRL).

crl2pkcs7

Konwersja z CRL do PKCS#7.

dgst

Obliczanie skrótu wiadomo¶ci.

dh

Zarz±dzanie parametrami Diffie-Hellmana. Przedawnione przez dhparam.

dsa

Zarz±dzanie danymi DSA.

dsaparam

Tworzenie parametru DSA.

enc

Szyfrowanie.

errstr

Konwersja numeru b³êdu na komunikat b³êdu.

dhparam

Tworzenie i zarz±dzanie parametrami Diffie-Hellmana.

gendh

Tworzenie parametrów Diffie-Hellmana. Przedawnione przez dhparam.

gendsa

Tworzenie parametrów DSA.

genrsa

Tworzenie parametrów RSA.

passwd

Generowanie skrótu has³a.

pkcs12

Zarz±dzanie danymi PKCS#12.

pkcs7

Zarz±dzanie danymi w formacie PKCS#7.

rand

Tworzenie pseudo-losowych bajtów.

req

Zarz±dzanie ¿±daniami podpisu certyfikatu X.509 (CSR).

rsa

Zarz±dzanie danymi RSA.

rsautl

Narzêdzie do podpisywania, weryfikowania, szyfrowania i deszyfrowania RSA.

s_client

Implementacja podstawowego klienta SSL/TLS potrafi±cego nawi±zywaæ prze¼roczyste po³±czenia z odleg³ym serwerem na SSL/TLS. S³u¿y jedynie do testowania i dostarcza tylko podstawowej funkcjonalno¶ci interfejsu, ale wewnêtrznie korzysta z niemal pe³nych mo¿liwo¶ci biblioteki OpenSSL ssl.

s_server

Implementacja podstawowego serwera SSL/TLS przyjmuj±cego po³±czenia od odleg³ych klientów obs³uguj±cych SSL/TLS. S³u¿y jedynie do testowania i dostarcza tylko podstawowej funkcjonalno¶ci interfejsu, ale wewnêtrznie korzysta z niemal pe³nych mo¿liwo¶ci biblioteki OpenSSL ssl. Posiada zarówno w³asny protokó³ wiersza poleceñ do testowania funkcji SSL, jak i emuluje prosty serwer sieciowy SSL/TLS oparty o HTTP.

s_time

Licznik czasu po³±czenia SSL.

sess_id

Zarz±dzanie danymi sesji SSL.

smime

Przetwarzanie poczty S/MIME.

speed

Mierzenie szybko¶ci algorytmu.

verify

Weryfikacja certyfikatu X.509.

version

Informacja o wersji OpenSSL.

x509

Zarz±dzanie certyfikatami X.509.

POLECENIA SKRÓTU WIADOMO¦CI

md2

Skrót MD2

md5

Skrót MD5

mdc2

Skrót MDC2

rmd160

Skrót RMD-160

sha

Skrót SHA

sha1

Skrót SHA-1

POLECENIA KODOWANIA I SZYFROWANIA

base64

Kodowanie Base64

bf bf-cbc bf-cfb bf-ecb bf-ofb

Szyfr Blowfish

cast cast-cbc

Szyfr CAST

cast5-cbc cast5-cfb cast5-ecb cast5-ofb

Szyfr CAST5

des des-cbc des-cfb des-ecb des-ede des-ede-cbc des-ede-cfb des-ede-ofb des-ofb

Szyfr DES

des3 desx des-ede3 des-ede3-cbc des-ede3-cfb des-ede3-ofb

Szyfr Triple-DES

idea idea-cbc idea-cfb idea-ecb idea-ofb

Szyfr IDEA

rc2 rc2-cbc rc2-cfb rc2-ecb rc2-ofb

Szyfr RC2

rc4

Szyfr RC4

rc5 rc5-cbc rc5-cfb rc5-ecb rc5-ofb

Szyfr RC5

ARGUMENTY HAS£A

Niektóre polecenia przyjmuj± argumenty has³a, zazwyczaj przy pomocy odpowiednio -passin i -passout dla hase³ wchodz±cych i wychodz±cych. Pozwala to przyjmowaæ has³a z rozmaitych ¼róde³. Obie te opcje pobieraj± pojedynczy argument w formacie opisanym poni¿ej. Je¿eli wymagane has³o nie zosta³o podane, u¿ytkownik jest monitowany o wpisanie go. Zwykle zostanie ono wczytane z bie¿±cego terminalu z wy³±czonym wy¶wietlaniem.

pass:has³o

w³a¶ciwe has³o to has³o. Poniewa¿ jest ono widoczne dla aplikacji takich jak na przyk³ad ,,ps'' w uniksie, tej formy nale¿y u¿ywaæ tylko wtedy, kiedy nie zale¿y nam na bezpieczeñstwie.

env:zmienna

pobranie has³a ze zmiennej ¶rodowiskowej zmienna. Poniewa¿ ¶rodowisko innych procesów jest widzialne na niektórych platformach (na przyk³ad przez ,,ps'' w niektórych uniksach) nale¿y ostro¿nie korzystaæ z tej opcji.

file:¶cie¿ka

pierwszy wiersz ¶cie¿ki stanowi has³o. Je¿eli ta sama nazwa ¶cie¿ki jest do³±czona do argumentów -passin oraz -passout to pierwszy wiersz zostanie u¿yty w charakterze has³a wej¶ciowego a nastêpny w charakterze has³a wyj¶ciowego. ¶cie¿ka nie musi siê odnosiæ do zwyk³ego pliku: mo¿e siê na przyk³ad odnosiæ do urz±dzenia lub nazwanego potoku.

fd:numer

czytanie has³a z deskryptora pliku numer. Mo¿na tego u¿ywaæ na przyk³ad do wysy³ania danych przez potok.

stdin

czytanie has³a ze standardowego wej¶cia.

ZOBACZ TAK¯E

asn1parse(1), ca(1), config(5), crl(1), crl2pkcs7(1), dgst(1), dhparam(1), dsa(1), dsaparam(1), enc(1), gendsa(1), genrsa(1), nseq(1), openssl(1), passwd(1), pkcs12(1), pkcs7(1), pkcs8(1), rand(1), req(1), rsa(1), rsautl(1), s_client(1), s_server(1), smime(1), spkac(1), verify(1), version(1), x509(1), crypto(3), ssl(3)

HISTORIA

Strona podrêcznika systemowego openssl(1) pojawi³a siê w OpenSSL 0.9.2. Pseudo-polecenia list-XXX-commands dodano w OpenSSL 0.9.3; pseudo-polecenia no-XXX zosta³y dodane w OpenSSL 0.9.5a. O dostêpno¶ci pozosta³ych poleceñ mo¿na przeczytaæ na ich w³asnych stronach podrêcznika.

OD T£UMACZA

T³umaczenie Daniel Koæ <kocio@linuxnews.pl> na podstawie strony podrêcznika systemowego openssl 0.9.6c, 13.04.2002.