عميل OCSP

openssl ocsp [-help] [-out ملف] [-issuer ملف] [-cert ملف] [-no_certs] [-serial n] [-signer ملف] [-signkey ملف] [-sign_other ملف] [-nonce] [-no_nonce] [-req_text] [-resp_text] [-text] [-reqout اسم_الملف] [-respout اسم_الملف] [-reqin اسم_الملف] [-respin اسم_الملف] [-url رابط] [-host المضيف:المنفذ] [-path مسار] [-proxy [http[s]://][معلومات_المستخدم@]المضيف[:المنفذ][/المسار][?استعلام][#جزء]] [-no_proxy عناوين] [-header] [-timeout ثواني] [-VAfile ملف] [-validity_period n] [-status_age n] [-noverify] [-verify_other ملف] [-trust_other] [-no_intern] [-no_signature_verify] [-no_cert_verify] [-no_chain] [-no_cert_checks] [-no_explicit] [-port رقم] [-ignore_err]

خادم OCSP

openssl ocsp [-index ملف] [-CA ملف] [-rsigner ملف] [-rkey ملف] [-passin معامل] [-rother ملف] [-rsigopt nm:v] [-rmd خلاصة] [-badsig] [-resp_no_certs] [-nmin n] [-ndays n] [-resp_key_id] [-nrequest n] [-multi عدد_العمليات] [-rcid خلاصة] [-خلاصة] [-CAfile ملف] [-no-CAfile] [-CApath دليل] [-no-CApath] [-CAstore uri] [-no-CAstore] [-allow_proxy_certs] [-attime طابع_زمني] [-no_check_time] [-check_ss_sig] [-crl_check] [-crl_check_all] [-explicit_policy] [-extended_crl] [-ignore_critical] [-inhibit_any] [-inhibit_map] [-partial_chain] [-policy معامل] [-policy_check] [-policy_print] [-purpose غرض] [-suiteB_128] [-suiteB_128_only] [-suiteB_192] [-trusted_first] [-no_alt_chains] [-use_deltas] [-auth_level رقم] [-verify_depth رقم] [-verify_email بريد] [-verify_hostname اسم_المضيف] [-verify_ip ip] [-verify_name اسم] [-x509_strict] [-issuer_checks] [-provider اسم] [-provider-path مسار] [-provparam [الاسم:]مفتاح=قيمة] [-propquery propq]

خيارات عميل OCSP

-help

اطبع رسالة الاستخدام.

-out اسم_الملف

حدد اسم ملف المخرجات، المبدئي هو المخرج القياسي.

-issuer اسم_الملف

يحدد هذا شهادة المصدر الحالية. يمكن أن يكون المدخل بتنسيق PEM أو DER أو PKCS#12.

يمكن استخدام هذا الخيار عدة مرات. يجب أن يأتي هذا الخيار قبل أي خيارات -cert.

-cert اسم_الملف

أضف شهادة اسم_الملف إلى الطلب. يمكن أن يكون المدخل بتنسيق PEM أو DER أو PKCS#12.

يمكن استخدام هذا الخيار عدة مرات. تُؤخذ شهادة المصدر من خيار -issuer السابق، أو يحدث خطأ إذا لم تُحدد شهادة مصدر.

-no_certs

لا تدرج أي شهادات في الطلب الموقع.

-serial رقم

نفس خيار -cert باستثناء أن الشهادة ذات الرقم التسلسلي رقم تُضاف إلى الطلب. يُفسر الرقم التسلسلي كعدد صحيح عشري ما لم يسبقه "0x". يمكن أيضًا تحديد الأعداد الصحيحة السالبة بسبق القيمة بعلامة "-".

-signer اسم_الملف، -signkey اسم_الملف

وقع طلب OCSP باستخدام الشهادة المحددة في خيار -signer والمفتاح الخاص المحدد بخيار -signkey. يمكن أن يكون المدخل بتنسيق PEM أو DER أو PKCS#12.

إذا لم يتوفر خيار -signkey، فسيُقرأ المفتاح الخاص من نفس ملف الشهادة. إذا لم يُحدد أي من الخيارين، فلن يُوقع طلب OCSP.

-sign_other اسم_الملف

شهادات إضافية لتضمينها في الطلب الموقع. يمكن أن يكون المدخل بتنسيق PEM أو DER أو PKCS#12.

-nonce، -no_nonce

أضف ملحق OCSP nonce إلى الطلب أو عطل إضافة OCSP nonce. عادةً إذا أُدخل طلب OCSP باستخدام خيار -reqin فلا يُضاف أي nonce: استخدام خيار -nonce سيفرض إضافة nonce. إذا أُنشئ طلب OCSP (باستخدام خياري -cert و -serial) فسيُضاف nonce آليًا، وتحديد -no_nonce يتجاوز ذلك.

-req_text، -resp_text، -text

اطبع صيغة النص لطلب OCSP، أو الاستجابة، أو كليهما على التوالي.

-reqout ملف، -respout اسم_الملف

اكتب طلب أو استجابة OCSP المرمزة بـ DER في اسم_الملف. يمكن أن يكون اسم ملف المخرجات هو نفسه اسم ملف المدخلات، مما يؤدي إلى استبدال محتويات الملف. لاحظ أن عمليات إدخال/إخراج الملف ليست ذرية. يُبتر ملف المخرجات ثم يُكتب.

-reqin ملف، -respin اسم_الملف

اقرأ ملف طلب أو استجابة OCSP من ملف. تُتجاهل هذه الخيارات إذا كان إنشاء طلب أو استجابة OCSP ضمنيًا بواسطة خيارات أخرى (على سبيل المثال مع خيارات -serial و -cert و -host).

-url رابط_المستجيب

حدد مضيف المستجيب واختياريًا المنفذ والمسار عبر رابط URL. يمكن تحديد كل من روابط HTTP و HTTPS (SSL/TLS). تُتجاهل مكونات معلومات المستخدم والجزئية الاختيارية. يُعامل أي مكون استعلام معطى كجزء من مكون المسار. للتفاصيل، انظر خياري -host و -path الموصوفين تالياً.

-host المضيف:المنفذ، -path اسم_المسار

إذا وجد خيار -host، فسيُرسل طلب OCSP إلى المضيف المضيف على المنفذ المنفذ. قد يكون المضيف اسم نطاق أو عنوان IP (v4 أو v6)، مثل 127.0.0.1 أو "[::1]" للمضيف المحلي. إذا كان عنوان IPv6، فيجب وضعه بين "[" و "]".

يحدد خيار -path اسم مسار HTTP لاستخدامه أو "/" مبدئيًا. هذا يعادل تحديد -url مع المخطط http:// و المضيف و المنفذ و اسم_المسار الاختياري المعطى.

-proxy [http[s]://][معلومات_المستخدم@]المضيف[:المنفذ][/المسار][?استعلام][#جزء]

خادم الوكيل HTTP(S) المستخدم للوصول إلى خادم OCSP ما لم ينطبق -no_proxy، انظر أدناه. إذا كانت سلسلة المضيف عنوان IPv6، فيجب وضعها بين "[" و "]". المنفذ المبدئي للوكيل هو 80 أو 443 إذا كان المخطط هو "https"؛ وبصرف النظر عن ذلك، تُتجاهل البادئة الاختيارية "http://" أو "https://"، بالإضافة إلى أي معلومات مستخدم، أو مسار، أو استعلام، أو مكونات مجزأة. القيمة المبدئية هي متغير البيئة "http_proxy" إذا ضُبط، وإلا "HTTP_PROXY" في حال عدم استخدام TLS، وإلا "https_proxy" إذا ضُبط، وإلا "HTTPS_PROXY".

-no_proxy عناوين

قائمة بعناوين IP و/أو أسماء DNS للخوادم التي لا يجب استخدام الوكيل (proxy) HTTP(S) لها، مفصولة بفواصل و/أو مسافات بيضاء (حيث في الحالة الأخيرة يجب إحاطة المعامل بالكامل بـ "..."). المبدئي هو من متغير البيئة "no_proxy" إذا كان معيناً، وإلا "NO_PROXY".

-header الاسم=القيمة

يضيف رأس الاسم بـ القيمة المحددة إلى طلب OCSP الذي أُرسل إلى المستجيب. قد يكرر هذا.

-timeout ثواني

مهلة الاتصال بمستجيب OCSP بالثواني. في أنظمة POSIX، عند التشغيل كمستجيب OCSP، يحد هذا الخيار أيضًا من الوقت الذي يكون فيه المستجيب مستعدًا لانتظار طلب العميل. يُقاس هذا الوقت من وقت قبول المستجيب للاتصال حتى استلام الطلب الكامل.

-verify_other ملف

ملف أو URI يحتوي على شهادات إضافية للبحث فيها عند محاولة تحديد موقع شهادة توقيع استجابة OCSP. يحذف بعض المستجيبين شهادة الموقع الفعلي من الاستجابة: يمكن استخدام هذا الخيار لتوفير الشهادة اللازمة في مثل هذه الحالات. يمكن أن يكون المدخل بتنسيق PEM أو DER أو PKCS#12.

-trust_other

يجب الوثوق بالشهادات المحددة بواسطة خيار -verify_other صراحةً ولن تُجرى أي فحوصات إضافية عليها. هذا مفيد عندما لا تتوفر سلسلة شهادات المستجيب الكاملة أو عندما لا يكون الوثوق في سلطة التصديق (CA) الجذرية مناسبًا.

-VAfile ملف

ملف أو URI يحتوي على شهادات مستجيب موثوقة صراحةً. يعادل خياري -verify_other و -trust_other. يمكن أن يكون المدخل بتنسيق PEM أو DER أو PKCS#12.

-noverify

لا تحاول الاستيثاق من توقيع استجابة OCSP أو قيم nonce. سيُستخدم هذا الخيار عادةً فقط للتنقيح لأنه يعطل كل عمليات الاستيثاق من شهادة المستجيبين.

-no_intern

تجاهل الشهادات الواردة في استجابة OCSP عند البحث عن شهادة الموقعين. مع هذا الخيار، يجب تحديد شهادة الموقعين إما بخياري -verify_other أو -VAfile.

-no_signature_verify

لا تفحص التوقيع على استجابة OCSP. بما أن هذا الخيار يتسامح مع التوقيعات غير الصالحة على استجابات OCSP، فسيُستخدم عادةً لأغراض الاختبار فقط.

-no_cert_verify

لا تتحقق من شهادة موقعي استجابة OCSP على الإطلاق. وبما أن هذا الخيار يسمح بتوقيع استجابة OCSP بواسطة أي شهادة، فيجب استخدامه لأغراض الاختبار فقط.

-no_chain

لا تستخدم الشهادات الموجودة في الاستجابة كشهادات CA إضافية غير موثوقة.

-no_explicit

لا تثق صراحةً بجهة التصديق الجذرية (root CA) إذا كانت مضبوطة لتكون موثوقة لتوقيع OCSP.

-no_cert_checks

لا تُجرِ أي فحوصات إضافية على شهادة موقعي استجابة OCSP. أي لا تُجرِ أي فحوصات لمعرفة ما إذا كانت شهادة الموقع مفوضة لتقديم معلومات الحالة اللازمة: ونتيجة لذلك، يجب استخدام هذا الخيار لأغراض الاختبار فقط.

-validity_period nsec، -status_age age

تحدد هذه الخيارات نطاق الأوقات، بالثواني، التي سيُتسامح معها في استجابة OCSP. تتضمن كل استجابة لحالة الشهادة وقت notBefore ووقت notAfter اختياري. يجب أن يقع الوقت الحالي بين هاتين القيمتين، ولكن قد تكون الفترة الفاصلة بين الوقتين بضع ثوانٍ فقط. عمليًا، قد لا تكون ساعات مستجيب OCSP والعملاء متزامنة بدقة، وبالتالي قد يفشل هذا الفحص. لتجنب ذلك، يمكن استخدام خيار -validity_period لتحديد نطاق خطأ مقبول بالثواني، والقيمة المبدئية هي 5 دقائق.

إذا أُغفل وقت notAfter من الاستجابة، فهذا يعني أن معلومات الحالة الجديدة متاحة على الفور. في هذه الحالة، يُفحص عمر حقل notBefore للتأكد من أنه ليس أقدم من age ثانية. مبدئيًا لا يُجرى هذا الفحص الإضافي.

-rcid خلاصة

يضبط هذا الخيار خوارزمية الخلاصة لاستخدامها لتعريف الشهادة في استجابة OCSP. يمكن استخدام أي خلاصة يدعمها الأمر openssl-dgst(1). المبدئي هو نفس خوارزمية الخلاصة المستخدمة في الطلب.

-خلاصة

يضبط هذا الخيار خوارزمية الخلاصة لاستخدامها لتعريف الشهادة في طلب OCSP. يمكن استخدام أي خلاصة يدعمها أمر OpenSSL dgst. المبدئي هو SHA-1. يمكن استخدام هذا الخيار عدة مرات لتحديد الخلاصة المستخدمة من قبل معرفات الشهادات اللاحقة.

-CAfile ملف، -no-CAfile، -CApath دليل، -no-CApath، -CAstore معرف_المورد، -no-CAstore

انظر "Trusted Certificate Options" في openssl-verification-options(1) للتفاصيل.

-allow_proxy_certs، -attime، -no_check_time، -check_ss_sig، -crl_check، -crl_check_all، -explicit_policy، -extended_crl، -ignore_critical، -inhibit_any، -inhibit_map، -no_alt_chains، -partial_chain، -policy، -policy_check، -policy_print، -purpose، -suiteB_128، -suiteB_128_only، -suiteB_192، -trusted_first، -use_deltas، -auth_level، -verify_depth، -verify_email، -verify_hostname، -verify_ip، -verify_name، -x509_strict -issuer_checks

اضبط خيارات متنوعة للتحقق من سلسلة الشهادات. انظر "خيارات التحقق" في openssl-verification-options(1) للحصول على التفاصيل.

-provider الاسم

-provider-path المسار

-provparam [الاسم:]المفتاح=القيمة

-propquery propq

انظر "خيارات المزود" في openssl(1)، و provider(7)، و property(7).

خيارات خادم OCSP

-index ملف_الفهرس

المعطى indexfile هو اسم ملف فهرس نصي بتنسيق ca يحتوي على معلومات إبطال الشهادات.

إذا حُدد خيار -index، ينتقل هذا الأمر إلى وضع المستجيب، وإلا فإنه يكون في وضع العميل. الطلبات التي يعالجها المستجيب يمكن تحديدها إما على سطر الأوامر (باستخدام خياري -issuer و -serial)، أو توفيرها في ملف (باستخدام خيار -reqin) أو عبر عملاء OCSP خارجيين (إذا حُدد -port أو -url).

إذا وجد خيار -index، فيجب أيضًا وجود خياري -CA و -rsigner.

-CA ملف

شهادات CA المقابلة لمعلومات الإبطال في ملف الفهرس المقدم مع -index. يمكن أن يكون الإدخال بتنسيق PEM أو DER أو PKCS#12.

-rsigner ملف

الشهادة المستخدمة لتوقيع استجابات OCSP. يمكن أن يكون الإدخال بتنسيق PEM أو DER أو PKCS#12.

-rkey ملف

المفتاح الخاص لتوقيع استجابات OCSP: إذا لم يوجد، يُستخدم الملف المحدد في خيار -rsigner.

-passin المعطى

مصدر كلمة مرور المفتاح الخاص. لمزيد من المعلومات حول تنسيق arg انظر openssl-passphrase-options(1).

-rother ملف

شهادات إضافية لتضمينها في استجابة OCSP. يمكن أن يكون الإدخال بتنسيق PEM أو DER أو PKCS#12.

-rsigopt nm:v

مرر الخيارات إلى خوارزمية التوقيع عند توقيع استجابات OCSP. أسماء وقيم هذه الخيارات تعتمد على الخوارزمية.

-rmd خلاصة

الخلاصة المستخدمة عند توقيع الاستجابة.

-badsig

أفسِد توقيع الاستجابة قبل كتابته؛ يمكن أن يكون هذا مفيدًا للاختبار.

-resp_no_certs

لا تضمن أي شهادات في استجابة OCSP.

-resp_key_id

حدد شهادة الموقع باستخدام معرف المفتاح (key ID)، المبدئي هو استخدام اسم الموضوع.

-port رقم_المنفذ

المنفذ الذي سيُنصت فيه لطلبات OCSP. كلاهما IPv4 و IPv6 ممكنان. يمكن أيضًا تحديد المنفذ باستخدام خيار -url. يشير المعطى 0 إلى أنه سيُختار أي منفذ متاح آليًا.

-ignore_err

تجاهل الطلبات أو الاستجابات المشوهة: عند العمل كعميل OCSP، أعد المحاولة إذا استُلمت استجابة مشوهة. وعند العمل كمستجيب OCSP، استمر في التشغيل بدلاً من الإنهاء عند استلام طلب مشوه.

-nrequest العدد

سيخرج خادم OCSP بعد استلام عدد من الطلبات، المبدئي غير محدود.

-multi عدد_العمليات

شغل العدد المحدد من العمليات الفرعية لمستجيب OCSP، مع قيام العملية الأب بإعادة إنتاج العمليات الفرعية حسب الحاجة. ستكتشف العمليات الفرعية التغييرات في ملف فهرس CA وتُعيد تحميله آليًا. عند التشغيل كمستجيب، يوصى بخيار -timeout للحد من الوقت الذي ترغب كل عملية فرعية في انتظاره لاستجابة OCSP للعميل. هذا الخيار متاح على أنظمة POSIX (التي تدعم fork() واستدعاءات نظام يونكس المطلوبة الأخرى).

-nmin دقائق، -ndays أيام

عدد الدقائق أو الأيام التي تتوفر فيها معلومات إبطال جديدة: تُستخدم في حقل nextUpdate. إذا لم يوجد أي من الخيارين، فسيُغفل حقل nextUpdate مما يعني أن معلومات الإبطال الجديدة متاحة على الفور.