Opțiuni de configurare

Many commands use an external configuration file for some or all of their arguments and have a -config option to specify that file. The default name of the file is openssl.cnf in the default certificate storage area, which can be determined from the openssl-version(1) command using the -d or -a option. The environment variable OPENSSL_CONF can be used to specify a different file location or to disable loading a configuration (using the empty string).

Printre altele, fișierul de configurare poate fi utilizat pentru a încărca module și pentru a specifica parametrii pentru generarea certificatelor și a numerelor aleatorii. Consultați config(5) pentru detalii.

Comenzi standard

asn1parse

Analizează o secvență ASN.1.

ca

Gestionarea autorității de certificare (CA, în engleză).

ciphers

Determinarea descrierii suitelor de cifrare.

cms

Comanda CMS („Cryptographic Message Syntax”: sintaxa mesajului criptografic).

crl

Gestionarea listei de revocare a certificatelor (CRL).

crl2pkcs7

Conversia CRL în PKCS#7.

dgst

Calcularea sumei de control a mesajelor. Calculele MAC sunt înlocuite de openssl-mac(1).

dhparam

Generarea și gestionarea parametrilor Diffie-Hellman. Înlocuită de openssl-genpkey(1) și openssl-pkeyparam(1).

dsa

Gestionarea datelor DSA.

dsaparam

Generarea și gestionarea parametrilor DSA. Înlocuită de openssl-genpkey(1) și openssl-pkeyparam(1).

ec

Procesarea cheilor EC („Elliptic curve”: curbă eliptică).

ecparam

Manipularea și generarea parametrilor EC.

enc

Criptare, decriptare și codificare.

engine

Informații despre motor (modul încărcabil) și manipularea acestuia.

errstr

Conversia numărului de eroare în șir de eroare.

fipsinstall

Instalarea configurației FIPS.

gendsa

Generarea cheii private DSA din parametri. Înlocuită de openssl-genpkey(1) și openssl-pkey(1).

genpkey

Generarea cheii private sau a parametrilor.

genrsa

Generarea cheii private RSA. Înlocuită de openssl-genpkey(1).

help

Afișează informații despre opțiunile unei comenzi.

info

Afișează diverse informații încorporate în bibliotecile OpenSSL.

kdf

Funcții de derivare cheie.

list

Listează algoritmii și caracteristicile.

mac

Calcularea codului de autentificare a mesajului.

nseq

Creează sau examinează o secvență de certificat Netscape.

ocsp

Comanda pentru protocolul de stare a certificatului în rețea.

passwd

Generarea de parole criptate(transformate în sume de control, „hashed”).

pkcs12

Gestionarea datelor PKCS#12.

pkcs7

Gestionarea datelor PKCS#7.

pkcs8

Comanda de conversie a cheii private în format PKCS#8.

pkey

Gestionarea cheilor publice și private.

pkeyparam

Gestionarea parametrilor algoritmului de cheie publică.

pkeyutl

Comanda operației criptografice de algoritm al cheii publice.

prime

Calculează numere prime.

rand

Generează octeți pseudo-aleatorii.

rehash

Creează legături simbolice către fișierele de certificate și CRL denumite prin valorile hash.

req

Gestionarea cererilor de semnare a certificatelor PKCS#10 X.509 (CSR).

rsa

Gestionarea cheilor RSA.

rsautl

Comanda RSA pentru semnare, verificare, criptare și decriptare. Înlocuită de openssl-pkeyutl(1).

s_client

This implements a generic SSL/TLS client which can establish a transparent connection to a remote server speaking SSL/TLS. It's intended for testing purposes only and provides only rudimentary interface functionality but internally uses mostly all functionality of the OpenSSL ssl library.

s_server

This implements a generic SSL/TLS server which accepts connections from remote clients speaking SSL/TLS. It's intended for testing purposes only and provides only rudimentary interface functionality but internally uses mostly all functionality of the OpenSSL ssl library. It provides both an own command line oriented protocol for testing SSL functions and a simple HTTP response facility to emulate an SSL/TLS-aware webserver.

s_time

Temporizator conexiune SSL.

sess_id

Gestionarea datelor sesiunii SSL.

smime

Procesarea corespondenței S/MIME.

speed

Măsurarea vitezei algoritmului.

spkac

Comanda de imprimare(afișare) și generare SPKAC.

srp

Menține fișierul de parole SRP. Această comandă este depreciată.

storeutl

Comandă pentru listarea și afișarea certificatelor, cheilor, CRL-urilor etc.

ts

Comanda autorității de certificare a marcajului de timp.

verify

Verificarea certificatelor X.509. Consultați și pagina de manual openssl-verification-options(1).

version

Informații despre versiunea OpenSSL.

x509

Gestionarea datelor certificatelor X.509.

Comenzile de analiză a mesajelor (verificarea sumelor de control ale mesajelor)

blake2b512

Calcularea/verificarea sumei de control BLAKE2b-512

blake2s256

Calcularea/verificarea sumei de control BLAKE2s-256

md2

Calcularea/verificarea sumei de control MD2

md4

Calcularea/verificarea sumei de control MD4

md5

Calcularea/verificarea sumei de control MD5

mdc2

Calcularea/verificarea sumei de control MDC2

rmd160

Calcularea/verificarea sumei de control RMD-160

sha1

Calcularea/verificarea sumei de control SHA-1

sha224

Calcularea/verificarea sumei de control SHA-2 224

sha256

Calcularea/verificarea sumei de control SHA-2 256

sha384

Calcularea/verificarea sumei de control SHA-2 384

sha512

Calcularea/verificarea sumei de control SHA-2 512

sha3-224

Calcularea/verificarea sumei de control SHA-3 224

sha3-256

Calcularea/verificarea sumei de control SHA-3 256

sha3-384

Calcularea/verificarea sumei de control SHA-3 384

sha3-512

Calcularea/verificarea sumei de control SHA-3 512

keccak-224

Calcularea/verificarea sumei de control KECCAK 224

keccak-256

Calcularea/verificarea sumei de control KECCAK 256

keccak-384

Calcularea/verificarea sumei de control KECCAK 384

keccak-512

KECCAK 512

shake128

Calcularea/verificarea sumei de control SHA-3 SHAKE128

shake256

Calcularea/verificarea sumei de control SHA-3 SHAKE256

sm3

Calcularea/verificarea sumei de control SM3

Comenzi de criptare, decriptare și codificare

Următoarele nume-alias oferă acces convenabil la cele mai utilizate codificări și cifruri.

În funcție de modul în care a fost configurat și construit OpenSSL, este posibil ca nu toate cifrurile enumerate aici să fie prezente. Consultați openssl-enc(1) pentru mai multe informații.

aes128, aes-128-cbc, aes-128-cfb, aes-128-ctr, aes-128-ecb, aes-128-ofb

Cifrul AES-128

aes192, aes-192-cbc, aes-192-cfb, aes-192-ctr, aes-192-ecb, aes-192-ofb

Cifrul AES-192

aes256, aes-256-cbc, aes-256-cfb, aes-256-ctr, aes-256-ecb, aes-256-ofb

Cifrul AES-256

aria128, aria-128-cbc, aria-128-cfb, aria-128-ctr, aria-128-ecb, aria-128-ofb

Cifrul Aria-128

aria192, aria-192-cbc, aria-192-cfb, aria-192-ctr, aria-192-ecb, aria-192-ofb

Cifrul Aria-192

aria256, aria-256-cbc, aria-256-cfb, aria-256-ctr, aria-256-ecb, aria-256-ofb

Cifrul Aria-256

base64

Codificarea Base64

bf, bf-cbc, bf-cfb, bf-ecb, bf-ofb

Cifrul Blowfish

camellia128, camellia-128-cbc, camellia-128-cfb, camellia-128-ctr, camellia-128-ecb, camellia-128-ofb

Cifrul Camellia-128

camellia192, camellia-192-cbc, camellia-192-cfb, camellia-192-ctr, camellia-192-ecb, camellia-192-ofb

Cifrul Camellia-192

camellia256, camellia-256-cbc, camellia-256-cfb, camellia-256-ctr, camellia-256-ecb, camellia-256-ofb

Cifrul Camellia-256

cast, cast-cbc

Cifrul CAST

cast5-cbc, cast5-cfb, cast5-ecb, cast5-ofb

Cifrul CAST5

chacha20

Cifrul Chacha20

des, des-cbc, des-cfb, des-ecb, des-ede, des-ede-cbc, des-ede-cfb, des-ede-ofb, des-ofb

Cifrul DES

des3, desx, des-ede3, des-ede3-cbc, des-ede3-cfb, des-ede3-ofb

Cifrul Triple-DES

idea, idea-cbc, idea-cfb, idea-ecb, idea-ofb

Cifrul IDEA

rc2, rc2-cbc, rc2-cfb, rc2-ecb, rc2-ofb

Cifrul RC2

rc4

Cifrul RC4

rc5, rc5-cbc, rc5-cfb, rc5-ecb, rc5-ofb

Cifrul RC5

seed, seed-cbc, seed-cfb, seed-ecb, seed-ofb

Cifrul SEED

sm4, sm4-cbc, sm4-cfb, sm4-ctr, sm4-ecb, sm4-ofb

Cifrul SM4

Opțiunile programului

Aceste opțiuni pot fi specificate fără o comandă specificată pentru a obține ajutor sau informații despre versiune.

-help

Oferă un rezumat laconic al tuturor opțiunilor. Pentru informații mai detaliate, fiecare comandă acceptă o opțiune -help. Acceptă și --help.

-version

Oferă un rezumat laconic al versiunii programului openssl. Pentru informații mai detaliate, consultați openssl-version(1). Acceptă și --version.

Opțiuni comune

-help

Dacă o opțiune are un argument, se indică și „tipul” de argument.

--

Aceasta încheie lista de opțiuni. Este util mai ales în cazul în care orice parametru al numelui fișierului începe cu un semn minus:

openssl verify [opțiuni...] -- -cert1.pem...

Opțiuni de format

Consultați openssl-format-options(1) pentru pagina de manual.

Opțiuni frază de acces

Consultați pagina de manual openssl-passphrase-options(1).

Opțiuni de stare aleatorie

Înainte de OpenSSL 1.1.1, era obișnuit ca aplicațiile să stocheze informații despre starea generatorului de numere aleatorii într-un fișier care era încărcat la pornire și rescris la ieșire. Pe sistemele de operare moderne, acest lucru nu mai este în general necesar, deoarece OpenSSL se va „însămânța” de la o sursă de entropie de încredere furnizată de sistemul de operare. Aceste opțiuni sunt încă acceptate pentru platforme speciale sau circumstanțe care le-ar putea necesita.

În general, este o eroare utilizarea aceluiași fișier de semințe de mai multe ori și fiecare utilizare a -rand ar trebui să fie asociată cu -writerand.

-rand fișiere

A file or files containing random data used to seed the random number generator. Multiple files can be specified separated by an OS-dependent character. The separator is ";" for MS-Windows, "," for OpenVMS, and ":" for all others. Another way to specify multiple files is to repeat this flag with different filenames.

-writerand fișier

Scrie datele de semințe în fișierul specificat la ieșire. Acest fișier poate fi utilizat într-o invocare ulterioară a comenzii.

Opțiuni verificare certificate

Consultați pagina de manual openssl-verification-options(1).

Opțiuni de format de nume

Consultați pagina de manual openssl-namedisplay-options(1).

Opțiuni versiune TLS

Mai multe comenzi utilizează SSL, TLS sau DTLS. În mod implicit, comenzile utilizează TLS, iar clienții vor oferi cea mai mică și cea mai mare versiune de protocol pe care o acceptă, iar serverele vor alege cea mai mare versiune pe care o oferă clientul și care este acceptată și de server.

Opțiunile de mai jos pot fi utilizate pentru a limita ce versiuni de protocol sunt utilizate și dacă este utilizat TCP (SSL și TLS) sau UDP (DTLS). Rețineți că nu toate protocoalele și opțiunile pot fi disponibile, în funcție de modul în care a fost construit OpenSSL.

-ssl3, -tls1, -tls1_1, -tls1_2, -tls1_3, -no_ssl3, -no_tls1, -no_tls1_1, -no_tls1_2, -no_tls1_3

These options require or disable the use of the specified SSL or TLS protocols. When a specific TLS version is required, only that version will be offered or accepted. Only one specific protocol can be given and it cannot be combined with any of the no_ options. The no_* options do not work with s_time and ciphers commands but work with s_client and s_server commands.

-dtls, -dtls1, -dtls1_2

Aceste opțiuni specifică utilizarea DTLS în loc de TLS. Cu -dtls, clienții vor negocia orice versiune de protocol DTLS acceptată. Utilizați opțiunile -dtls1 sau -dtls1_2 pentru a accepta numai DTLS1.0, respectiv DTLS1.2.

OPțiuni motor

-engine id

Load the engine identified by id and use all the methods it implements (algorithms, key storage, etc.), unless specified otherwise in the command-specific documentation or it is configured to do so, as described in "Engine Configuration" in config(5).

Motorul va fi utilizat pentru id-urile de cheie specificate cu -key și opțiuni similare atunci când este furnizată o opțiune precum -keyform engine.

A special case is the "loader_attic" engine, which is meant just for internal OpenSSL testing purposes and supports loading keys, parameters, certificates, and CRLs from files. When this engine is used, files with such credentials are read via this engine. Using the "file:" schema is optional; a plain file (path) name will do.

Options specifying keys, like -key and similar, can use the generic OpenSSL engine key loading URI scheme "org.openssl.engine:" to retrieve private keys and public keys. The URI syntax is as follows, in simplified form:

org.openssl.engine:{id-motor}:{id-cheie}

Where "{engineid}" is the identity/name of the engine, and "{keyid}" is a key identifier that's acceptable by that engine. For example, when using an engine that interfaces against a PKCS#11 implementation, the generic key URI would be something like this (this happens to be an example for the PKCS#11 engine that's part of OpenSC):

-key org.openssl.engine:pkcs11:eticheta_unei_chei_private

Ca o a treia posibilitate, pentru motoarele și furnizorii care și-au implementat propriul OSSL_STORE_LOADER(3), "org.openssl.engine:" nu ar trebui să fie necesar. Pentru o implementare PKCS#11 care a implementat un astfel de încărcător, URI PKCS#11 definit în RFC 7512 ar trebui să poată fi utilizat direct:

-key pkcs11:object=o_chei_privată:valoare-pin=1234

Opțiuni furnizor

-provider nume

Load and initialize the provider identified by name. The name can be also a path to the provider module. In that case the provider name will be the specified path and not just the provider module name. Interpretation of relative paths is platform specific. The configured "MODULESDIR" path, OPENSSL_MODULES environment variable, or the path specified by -provider-path is prepended to relative paths. See provider(7) for a more detailed description.

-provider-path rută

Specifică ruta de căutare care urmează să fie utilizată pentru căutarea furnizorilor. În mod echivalent, poate fi definită variabila de mediu OPENSSL_MODULES.

-propquery propq

Specifică clauza de interogare a proprietății care urmează să fie utilizată la obținerea algoritmilor de la furnizorii încărcați. Consultați property(7) pentru o descriere mai detaliată.