.\" -*- coding: UTF-8 -*- .de Sp \" Vertical space (when we can't use .PP) .if t .sp .5v .if n .sp .. .\" -*- mode: troff; coding: utf-8 -*- .\" Automatically generated by Pod::Man v6.0.2 (Pod::Simple 3.45) .\" .\" Standard preamble: .\" ======================================================================== .de Vb \" Begin verbatim text .ft CW .nf .ne \\$1 .. .de Ve \" End verbatim text .ft R .fi .. .ie n \{\ . ds C` "" . ds C' "" 'br\} .el\{\ . ds C` . ds C' 'br\} .\" \*(C` and \*(C' are quotes in nroff, nothing in troff, for use with C<>. .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" .\" Escape single quotes in literal strings from groff's Unicode transform. .de IX .. .\" .\" If the F register is >0, we'll generate index entries on stderr for .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index .\" entries marked with X<> in POD. Of course, you'll have to process the .\" output yourself in some meaningful fashion. .\" .\" Avoid warning from groff about undefined register 'F'. .nr rF 0 .if \n(.g .if rF .nr rF 1 .if (\n(rF:(\n(.g==0)) \{\ . if \nF \{\ . de IX . tm Index:\\$1\t\\n%\t"\\$2" .. . if !\nF==2 \{\ . nr % 0 . nr F 2 . \} . \} .\} .rr rF .if n .ds AD l .\" .\" Required to disable full justification in groff 1.23.0. .\" ======================================================================== .\" .IX العنوان "OPENSSL\-S_CLIENT 1ssl" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH OPENSSL\-S_CLIENT 1ssl "7 أبريل 2026" 3.6.2 OpenSSL .if n .ad l .\" For nroff, turn off justification. Always turn off hyphenation; it makes .\" way too many mistakes in technical documents. .nh .SH الاسم openssl\-s_client \- برنامج عميل SSL/TLS .SH موجز .IX ترويسة موجز \&\fBopenssl\fP \fBs_client\fP [\fB\-help\fP] [\fB\-ssl_config\fP \fIقسم\fP] [\fB\-connect\fP \fIالمضيف\fP:\fIالمنفذ\fP] [\fB\-host\fP \fIاسم_المضيف\fP] [\fB\-port\fP \fIالمنفذ\fP] [\fB\-bind\fP \fIالمضيف\fP:\fIالمنفذ\fP] [\fB\-proxy\fP \fIالمضيف\fP:\fIالمنفذ\fP] [\fB\-proxy_user\fP \fIمعرف_المستخدم\fP] [\fB\-proxy_pass\fP \fIالمعطى\fP] [\fB\-unix\fP \fIالمسار\fP] [\fB\-4\fP] [\fB\-6\fP] [\fB\-quic\fP] [\fB\-servername\fP \fIالاسم\fP] [\fB\-noservername\fP] [\fB\-verify\fP \fIالعمق\fP] [\fB\-verify_return_error\fP] [\fB\-verify_quiet\fP] [\fB\-verifyCAfile\fP \fIاسم_الملف\fP] [\fB\-verifyCApath\fP \fIالدليل\fP] [\fB\-verifyCAstore\fP \fIالمعرف\fP] [\fB\-cert\fP \fIاسم_الملف\fP] [\fB\-certform\fP \fBDER\fP|\fBPEM\fP|\fBP12\fP] [\fB\-cert_chain\fP \fIاسم_الملف\fP] [\fB\-build_chain\fP] [\fB\-CRL\fP \fIاسم_الملف\fP] [\fB\-CRLform\fP \fBDER\fP|\fBPEM\fP] [\fB\-crl_download\fP] [\fB\-key\fP \fIاسم_الملف\fP|\fIالمعرف\fP] [\fB\-keyform\fP \fBDER\fP|\fBPEM\fP|\fBP12\fP|\fBENGINE\fP] [\fB\-pass\fP \fIالمعطى\fP] [\fB\-chainCAfile\fP \fIاسم_الملف\fP] [\fB\-chainCApath\fP \fIالدليل\fP] [\fB\-chainCAstore\fP \fIالمعرف\fP] [\fB\-requestCAfile\fP \fIاسم_الملف\fP] [\fB\-dane_tlsa_domain\fP \fIالنطاق\fP] [\fB\-dane_tlsa_rrdata\fP \fIبيانات_rr\fP] [\fB\-dane_ee_no_namechecks\fP] [\fB\-reconnect\fP] [\fB\-showcerts\fP] [\fB\-prexit\fP] [\fB\-no\-interactive\fP] [\fB\-debug\fP] [\fB\-trace\fP] [\fB\-nocommands\fP] [\fB\-adv\fP] [\fB\-security_debug\fP] [\fB\-security_debug_verbose\fP] [\fB\-msg\fP] [\fB\-timeout\fP] [\fB\-mtu\fP \fIالحجم\fP] [\fB\-no_ems\fP] [\fB\-keymatexport\fP \fIاللصيقة\fP] [\fB\-keymatexportlen\fP \fIالطول\fP] [\fB\-msgfile\fP \fIاسم_الملف\fP] [\fB\-nbio_test\fP] [\fB\-state\fP] [\fB\-nbio\fP] [\fB\-crlf\fP] [\fB\-ign_eof\fP] [\fB\-no_ign_eof\fP] [\fB\-psk_identity\fP \fIالهوية\fP] [\fB\-psk\fP \fIالمفتاح\fP] [\fB\-psk_session\fP \fIالملف\fP] [\fB\-quiet\fP] [\fB\-sctp\fP] [\fB\-sctp_label_bug\fP] [\fB\-fallback_scsv\fP] [\fB\-async\fP] [\fB\-maxfraglen\fP \fIالطول\fP] [\fB\-max_send_frag\fP] [\fB\-split_send_frag\fP] [\fB\-max_pipelines\fP] [\fB\-read_buf\fP] [\fB\-ignore_unexpected_eof\fP] [\fB\-no_tx_cert_comp\fP] [\fB\-no_rx_cert_comp\fP] [\fB\-brief\fP] [\fB\-starttls\fP \fIالبروتوكول\fP] [\fB\-xmpphost\fP \fIاسم_المضيف\fP] [\fB\-name\fP \fIاسم_المضيف\fP] [\fB\-tlsextdebug\fP] [\fB\-sess_out\fP \fIاسم_الملف\fP] [\fB\-sess_in\fP \fIاسم_الملف\fP] [\fB\-serverinfo\fP \fIالأنواع\fP] [\fB\-status\fP] [\fB\-ocsp_check_leaf\fP] [\fB\-ocsp_check_all\fP] [\fB\-alpn\fP \fIالبروتوكولات\fP] [\fB\-nextprotoneg\fP \fIالبروتوكولات\fP] [\fB\-ct\fP] [\fB\-noct\fP] [\fB\-ctlogfile\fP] [\fB\-keylogfile\fP \fIالملف\fP] [\fB\-early_data\fP \fIالملف\fP] [\fB\-enable_pha\fP] [\fB\-use_srtp\fP \fIالقيمة\fP] [\fB\-srpuser\fP \fIالقيمة\fP] [\fB\-srppass\fP \fIالقيمة\fP] [\fB\-srp_lateuser\fP] [\fB\-srp_moregroups\fP] [\fB\-srp_strength\fP \fIالرقم\fP] [\fB\-ktls\fP] [\fB\-tfo\fP] [\fB\-nameopt\fP \fIالخيار\fP] [\fB\-no_ssl3\fP] [\fB\-no_tls1\fP] [\fB\-no_tls1_1\fP] [\fB\-no_tls1_2\fP] [\fB\-no_tls1_3\fP] [\fB\-ssl3\fP] [\fB\-tls1\fP] [\fB\-tls1_1\fP] [\fB\-tls1_2\fP] [\fB\-tls1_3\fP] [\fB\-dtls\fP] [\fB\-dtls1\fP] [\fB\-dtls1_2\fP] [\fB\-xkey\fP \fIملف_المدخلات\fP] [\fB\-xcert\fP \fIالملف\fP] [\fB\-xchain\fP \fIالملف\fP] [\fB\-xchain_build\fP \fIالملف\fP] [\fB\-xcertform\fP \fBDER\fP|\fBPEM\fP]> [\fB\-xkeyform\fP \fBDER\fP|\fBPEM\fP]> [\fB\-CAfile\fP \fIالملف\fP] [\fB\-no\-CAfile\fP] [\fB\-CApath\fP \fIالدليل\fP] [\fB\-no\-CApath\fP] [\fB\-CAstore\fP \fIالمعرف\fP] [\fB\-no\-CAstore\fP] [\fB\-bugs\fP] [\fB\-no_comp\fP] [\fB\-comp\fP] [\fB\-no_ticket\fP] [\fB\-serverpref\fP] [\fB\-client_renegotiation\fP] [\fB\-legacy_renegotiation\fP] [\fB\-no_renegotiation\fP] [\fB\-no_resumption_on_reneg\fP] [\fB\-legacy_server_connect\fP] [\fB\-no_legacy_server_connect\fP] [\fB\-no_etm\fP] [\fB\-allow_no_dhe_kex\fP] [\fB\-prefer_no_dhe_kex\fP] [\fB\-prioritize_chacha\fP] [\fB\-strict\fP] [\fB\-sigalgs\fP \fIالخوارزميات\fP] [\fB\-client_sigalgs\fP \fIالخوارزميات\fP] [\fB\-groups\fP \fIالمجموعات\fP] [\fB\-curves\fP \fIالمنحنيات\fP] [\fB\-named_curve\fP \fIالمنحنى\fP] [\fB\-cipher\fP \fIالشيفرات\fP] [\fB\-ciphersuites\fP \fI1.3شيفرات\fP] [\fB\-min_protocol\fP \fIأدنى_بروتوكول\fP] [\fB\-max_protocol\fP \fIأقصى_بروتوكول\fP] [\fB\-record_padding\fP \fIالحشو\fP] [\fB\-debug_broken_protocol\fP] [\fB\-no_middlebox\fP] [\fB\-rand\fP \fIالملفات\fP] [\fB\-writerand\fP \fIالملف\fP] [\fB\-provider\fP \fIالاسم\fP] [\fB\-provider\-path\fP \fIالمسار\fP] [\fB\-provparam\fP \fI[الاسم:]مفتاح=قيمة\fP] [\fB\-propquery\fP \fIpropq\fP] [\fB\-engine\fP \fIالمعرف\fP] [\fB\-ssl_client_engine\fP \fIالمعرف\fP] [\fB\-allow_proxy_certs\fP] [\fB\-attime\fP \fIالطابع_الزمني\fP] [\fB\-no_check_time\fP] [\fB\-check_ss_sig\fP] [\fB\-crl_check\fP] [\fB\-crl_check_all\fP] [\fB\-explicit_policy\fP] [\fB\-extended_crl\fP] [\fB\-ignore_critical\fP] [\fB\-inhibit_any\fP] [\fB\-inhibit_map\fP] [\fB\-partial_chain\fP] [\fB\-policy\fP \fIالمعطى\fP] [\fB\-policy_check\fP] [\fB\-policy_print\fP] [\fB\-purpose\fP \fIالغرض\fP] [\fB\-suiteB_128\fP] [\fB\-suiteB_128_only\fP] [\fB\-suiteB_192\fP] [\fB\-trusted_first\fP] [\fB\-no_alt_chains\fP] [\fB\-use_deltas\fP] [\fB\-auth_level\fP \fIرقم\fP] [\fB\-verify_depth\fP \fIرقم\fP] [\fB\-verify_email\fP \fIبريد\fP] [\fB\-verify_hostname\fP \fIاسم_المضيف\fP] [\fB\-verify_ip\fP \fIعنوان_ip\fP] [\fB\-verify_name\fP \fIالاسم\fP] [\fB\-x509_strict\fP] [\fB\-issuer_checks\fP] [\fB\-enable_server_rpk\fP] [\fB\-enable_client_rpk\fP] [\fIالمضيف\fP:\fIالمنفذ\fP] .SH الوصف .IX ترويسة الوصف ينفذ هذا الأمر عميل SSL/TLS عاماً يتصل بمضيف بعيد باستخدام SSL/TLS. إنه أداة تشخيصية مفيدة \fIجداً\fP لخوادم SSL. .SH الخيارات .IX ترويسة الخيارات بالإضافة إلى الخيارات أدناه، يدعم هذا الأمر أيضاً الخيارات العامة والخاصة بالعميل الموثقة في قسم "أوامر سطر الأوامر المدعومة" في صفحة دليل \fBSSL_CONF_cmd\fP\|(3). .IP \fB\-help\fP 4 .IX عنصر \-help اطبع رسالة الاستخدام. .IP "\fB\-ssl_config\fP \fIقسم\fP" 4 .IX عنصر "\-ssl_config قسم" استخدم القسم المحدد من ملف التكوين لضبط كائن \fBSSL_CTX\fP. .IP "\fB\-connect\fP \fIالمضيف\fP:\fIالمنفذ\fP" 4 .IX عنصر "\-connect مضيف:منفذ" يحدد هذا المضيف والمنفذ الاختياري للاتصال بهما. من الممكن اختيار المضيف والمنفذ باستخدام معامل الهدف الموضعي الاختياري بدلاً من ذلك. إذا لم يُحدد هذا ولا معامل الهدف الموضعي، فستُجرى محاولة للاتصال بالمضيف المحلي على المنفذ 4433. إذا كانت سلسلة المضيف عبارة عن عنوان IPv6، فيجب تضمينها بين \f(CW\*(C`[\*(C'\fP و \f(CW\*(C`]\*(C'\fP. .IP "\fB\-host\fP \fIاسم_المضيف\fP" 4 .IX عنصر "\-host اسم_المضيف" المضيف المراد الاتصال به؛ استخدم \fB\-connect\fP بدلاً من ذلك. .IP "\fB\-port\fP \fIالمنفذ\fP" 4 .IX عنصر "\-port منفذ" اتصل بالمنفذ المحدد؛ استخدم \fB\-connect\fP بدلاً من ذلك. .IP "\fB\-bind\fP \fIالمضيف\fP:\fIالمنفذ\fP" 4 .IX عنصر "\-bind مضيف:منفذ" يحدد هذا عنوان المضيف و/أو المنفذ للربط كمصدر للاتصال. بالنسبة لمقابس نطاق\-يونكس، يُتجاهل المنفذ ويُستخدم المضيف كعنوان مقبس المصدر. إذا كانت سلسلة المضيف عبارة عن عنوان IPv6، فيجب تضمينها بين \f(CW\*(C`[\*(C'\fP و \f(CW\*(C`]\*(C'\fP. .IP "\fB\-proxy\fP \fIالمضيف\fP:\fIالمنفذ\fP" 4 .IX عنصر "\-proxy مضيف:منفذ" عند استخدامه مع راية \fB\-connect\fP، يستخدم البرنامج المضيف والمنفذ المحددين بهذه الراية ويصدر أمر HTTP CONNECT للاتصال بالخادم المطلوب. إذا كانت سلسلة المضيف عبارة عن عنوان IPv6، فيجب تضمينها بين \f(CW\*(C`[\*(C'\fP و \f(CW\*(C`]\*(C'\fP. .IP "\fB\-proxy_user\fP \fIمعرف_المستخدم\fP" 4 .IX عنصر "\-proxy_user معرف_المستخدم" عند استخدامه مع راية \fB\-proxy\fP، سيحاول البرنامج الاستيثاق مع الوكيل المحدد باستخدام استيثاق أساسي (base64). ملاحظة: الاستيثاق الأساسي غير آمن؛ إذ تُرسل بيانات الاعتماد إلى الوكيل بترميز base64 سهل العكس قبل إنشاء أي جلسة TLS/SSL. لذلك، يمكن استعادة بيانات الاعتماد هذه بسهولة من قبل أي شخص قادر على شم/تتبع الشبكة. استخدمه بحذر. .IP "\fB\-proxy_pass\fP \fIالمعطى\fP" 4 .IX عنصر "\-proxy_pass معطى" مصدر كلمة مرور الوكيل، يُستخدم مع راية \fB\-proxy_user\fP. لمزيد من المعلومات حول تنسيق \fBالمعطى\fP انظر \fBopenssl\-passphrase\-options\fP\|(1). .IP "\fB\-unix\fP \fIالمسار\fP" 4 .IX عنصر "\-unix مسار" اتصل عبر مقبس نطاق\-يونكس المحدد. .IP \fB\-4\fP 4 .IX عنصر \-4 استخدم IPv4 فقط. .IP \fB\-6\fP 4 .IX عنصر \-6 استخدم IPv6 فقط. .IP \fB\-quic\fP 4 .IX عنصر \-quic اتصل باستخدام بروتوكول QUIC. إذا حدد، فيجب أيضاً توفير خيار \fB\-alpn\fP. .IP "\fB\-servername\fP \fIالاسم\fP" 4 .IX عنصر "\-servername اسم" اضبط ملحق TLS SNI (إشارة اسم الخادم) في رسالة ClientHello على القيمة المعطاة. إذا لم يُوفّر \fB\-servername\fP، فسيُملأ ملحق TLS SNI بالاسم المعطى لـ \fB\-connect\fP إذا كان يتبع تنسيق اسم DNS. إذا لم يُوفّر \fB\-connect\fP أيضاً، فسيُضبط SNI على "localhost". هذا هو المبدئي منذ OpenSSL 1.1.1. .Sp على الرغم من أن SNI يجب أن يكون عادةً اسم DNS وليس عنوان IP، إلا أنه في حال توفير \&\fB\-servername\fP فسيُرسل هذا الاسم، بغض النظر عما إذا كان اسم DNS أم لا. .Sp لا يمكن استخدام هذا الخيار بالتزامن مع \fB\-noservername\fP. .IP \fB\-noservername\fP 4 .IX عنصر \-noservername يمنع إرسال ملحق SNI (إشارة اسم الخادم) في رسالة ClientHello. لا يمكن استخدامه بالتزامن مع خياري \fB\-servername\fP أو \&\fB\-dane_tlsa_domain\fP. .IP "\fB\-cert\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-cert اسم_الملف" شهادة العميل المطلوب استخدامها، إذا طلبها الخادم. المبدئي هو عدم استخدام شهادة. .Sp يمكن تحديد سلسلة شهادة العميل باستخدام \fB\-cert_chain\fP. .IP "\fB\-certform\fP \fBDER\fP|\fBPEM\fP|\fBP12\fP" 4 .IX عنصر "\-certform DER|PEM|P12" تنسيق ملف شهادة العميل المطلوب استخدامه؛ غير محدد مبدئياً. انظر \fBopenssl\-format\-options\fP\|(1) للتفاصيل. .IP \fB\-cert_chain\fP 4 .IX عنصر \-cert_chain ملف أو معرف مورد لشهادات غير موثوقة لاستخدامها عند محاولة بناء سلسلة الشهادات المتعلقة بالشهادة المحددة عبر خيار \fB\-cert\fP. يمكن أن تكون المدخلات بتنسيق PEM أو DER أو PKCS#12. .IP \fB\-build_chain\fP 4 .IX عنصر \-build_chain حدد ما إذا كان ينبغي للتطبيق بناء سلسلة شهادات العميل لتقديمها إلى الخادم. .IP "\fB\-CRL\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-CRL اسم_الملف" ملف CRL لاستخدامه للتحقق من شهادة الخادم. .IP "\fB\-CRLform\fP \fBDER\fP|\fBPEM\fP" 4 .IX عنصر "\-CRLform DER|PEM" تنسيق ملف CRL؛ غير محدد مبدئياً. انظر \fBopenssl\-format\-options\fP\|(1) للتفاصيل. .IP \fB\-crl_download\fP 4 .IX عنصر \-crl_download نزّل CRL من نقاط التوزيع في الشهادة. لاحظ أن هذا الخيار يُتجاهل إذا لم يُوفّر خيار \fB\-crl_check\fP. لاحظ أن الحجم الأقصى لـ CRL محدود بدالة \fBX509_CRL_load_http\fP\|(3). .IP "\fB\-key\fP \fIاسم_الملف\fP|\fIمعرف_المورد\fP" 4 .IX عنصر "\-key اسم_الملف|معرف_مورد" مفتاح العميل الخاص المطلوب استخدامه. إذا لم يُحدد، فسيُستخدم ملف الشهادة لقراءة المفتاح أيضاً. .IP "\fB\-keyform\fP \fBDER\fP|\fBPEM\fP|\fBP12\fP|\fBENGINE\fP" 4 .IX عنصر "\-keyform DER|PEM|P12|ENGINE" تنسيق المفتاح؛ غير محدد مبدئياً. انظر \fBopenssl\-format\-options\fP\|(1) للتفاصيل. .IP "\fB\-pass\fP \fIالمعطى\fP" 4 .IX عنصر "\-pass معطى" مصدر كلمة مرور المفتاح الخاص وملف الشهادة. لمزيد من المعلومات حول تنسيق \fIالمعطى\fP انظر \fBopenssl\-passphrase\-options\fP\|(1). .IP "\fB\-verify\fP \fIالعمق\fP" 4 .IX عنصر "\-verify عمق" عمق التحقق المطلوب استخدامه. يحدد هذا الطول الأقصى لسلسلة شهادات الخادم ويُفعّل التحقق من شهادة الخادم. ما لم يُعطَ خيار \fB\-verify_return_error\fP، تستمر عملية التحقق بعد الأخطاء بحيث يمكن رؤية جميع المشكلات في سلسلة الشهادات. كأثر جانبي، لن يفشل الاتصال أبداً بسبب فشل التحقق من شهادة الخادم. .Sp مبدئياً، يُجرى التحقق من صحة شهادات الخادم وسلسلتها فيما يتعلق بغرض خادم (D)TLS (\f(CW\*(C`sslserver\*(C'\fP). للتفاصيل انظر "ملحقات الشهادة" في \fBopenssl\-verification\-options\fP\|(1). .IP \fB\-verify_return_error\fP 4 .IX عنصر \-verify_return_error يُفعّل التحقق من شهادة الخادم، تمامًا كما هو الحال مع \fB\-verify\fP، ولكنه يعيد أخطاء التحقق بدلاً من الاستمرار. سيؤدي هذا عادةً إلى إجهاض المصافحة بحدوث خطأ فادح. .IP \fB\-verify_quiet\fP 4 .IX عنصر \-verify_quiet يَقصر مخرجات التحقق على الأخطاء فقط. .IP "\fB\-تحقق_من_ملف_CA\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-verifyCAfile اسم_الملف" ملف بتنسيق PEM يحتوي على شهادات موثوقة لاستخدامها في التحقق من شهادة الخادم. .IP "\fB\-تحقق_من_مسار_CA\fP \fIدليل\fP" 4 .IX عنصر "\-verifyCApath دليل" دليل يحتوي على شهادات موثوقة لاستخدامها في التحقق من شهادة الخادم. يجب أن يكون هذا الدليل بـ "تنسيق التجزئة"، راجع \fBopenssl\-verify\fP\|(1) لمزيد من المعلومات. .IP "\fB\-تحقق_من_مخزن_CA\fP \fIمسار_مورد\fP" 4 .IX عنصر "\-verifyCAstore uri" مسار المورد (URI) للمخزن الذي يحتوي على الشهادات الموثوقة لاستخدامها في التحقق من شهادة الخادم. .IP "\fB\-chainCAfile\fP \fIملف\fP" 4 .IX عنصر "\-chainCAfile file" ملف بتنسيق PEM يحتوي على شهادات موثوقة لاستخدامها عند محاولة بناء سلسلة شهادات العميل. .IP "\fB\-chainCApath\fP \fIدليل\fP" 4 .IX عنصر "\-chainCApath دليل" دليل يحتوي على شهادات موثوقة لاستخدامها في بناء سلسلة شهادات العميل المقدمة إلى الخادم. يجب أن يكون هذا الدليل بـ "تنسيق التجزئة"، راجع \fBopenssl\-verify\fP\|(1) لمزيد من المعلومات. .IP "\fB\-chainCAstore\fP \fIuri\fP" 4 .IX عنصر "\-chainCAstore uri" مسار المورد (URI) للمخزن الذي يحتوي على الشهادات الموثوقة لاستخدامها عند محاولة بناء سلسلة شهادات العميل. قد يشير المسار إلى شهادة واحدة، أو مجموعة منها. مع المسارات التي تتبع مخطط \f(CW\*(C`file:\*(C'\fP، فإنها تعمل عمل \fB\-chainCAfile\fP أو \&\fB\-chainCApath\fP، اعتمادًا على ما إذا كان المسار يشير إلى دليل أو ملف واحد. راجع \fBossl_store\-file\fP\|(7) لمزيد من المعلومات حول مخطط \f(CW\*(C`file:\*(C'\fP. .IP "\fB\-طلب_ملف_CA\fP \fIملف\fP" 4 .IX عنصر "\-requestCAfile ملف" ملف يحتوي على قائمة بالشهادات التي ستُرسل أسماء موضوعاتها إلى الخادم في ملحق \fBcertificate_authorities\fP. مدعوم فقط في TLS 1.3 .IP "\fB\-نطاق_dane_tlsa\fP \fIنطاق\fP" 4 .IX عنصر "\-dane_tlsa_domain نطاق" يُفعّل استيثاق DANE TLSA (وفق RFC6698/RFC7671) ويحدد نطاق TLSA الأساسي الذي يصبح تلميح SNI المبدئي والمعرف المرجعي الرئيس لفحوصات اسم المضيف. يجب استخدام هذا بالاقتران مع مثيل واحد على الأقل من خيار \fB\-dane_tlsa_rrdata\fP أدناه. .Sp عندما ينجح استيثاق DANE، ستتضمن مخرجات التشخيص أدنى عمق (الأقرب إلى 0) قام فيه سجل TLSA باستيثاق شهادة في السلسلة. عندما يكون سجل TLSA هذا هو المفتاح العام لمرساة الثقة "2 1 0" الذي وقّع (بدلاً من مطابقة) الشهادة العليا في السلسلة، يُبلغ عن النتيجة على أنها "استُوثق من المفتاح العام لـ TA". وخلاف ذلك، فإما أن سجل TLSA "طابق شهادة TA" عند عمق موجب أو "طابق شهادة EE" عند العمق 0. .IP "\fB\-dane_tlsa_rrdata\fP \fIrrdata\fP" 4 .IX عنصر "\-dane_tlsa_rrdata rrdata" يُستخدم مرة واحدة أو أكثر لتحديد حقول RRDATA لمجموعة سجلات DANE TLSA RRset المرتبطة بالخدمة المستهدفة. تُحدد قيمة \fIrrdata\fP في "شكل العرض"، أي أربعة حقول مفصولة بمسافات بيضاء تحدد الاستخدام، والمنتقي، ونوع المطابقة والبيانات المرتبطة، مع ترميز الأخير منها بالنظام الست عشري. تُتجاهل المسافات البيضاء الاختيارية في حقل البيانات المرتبطة. على سبيل المثال: .Sp .Vb 12 \& $ openssl s_client \-brief \-starttls smtp \e \& \-connect smtp.example.com:25 \e \& \-dane_tlsa_domain smtp.example.com \e \& \-dane_tlsa_rrdata "2 1 1 \& B111DD8A1C2091A89BD4FD60C57F0716CCE50FEEFF8137CDBEE0326E 02CF362B" \e \& \-dane_tlsa_rrdata "2 1 1 \& 60B87575447DCBA2A36B7D11AC09FB24A9DB406FEE12D2CC90180517 616E8A18" \& ... \& Verification: OK \& Verified peername: smtp.example.com \& DANE TLSA 2 1 1 ...ee12d2cc90180517616e8a18 matched TA certificate at depth 1 \& ... .Ve .IP \fB\-dane_ee_no_namechecks\fP 4 .IX عنصر \-dane_ee_no_namechecks يعطل هذا عمليات التحقق من اسم الخادم عند الاستيثاق عبر سجلات TLSA من نوع \fBDANE\-EE\fP\|(3). بالنسبة لبعض التطبيقات، ولا سيما متصفحات الويب، ليس من الآمن تعطيل فحوصات الأسماء بسبب هجمات "مشاركة المفتاح المجهول"، حيث يمكن لخادم خبيث إقناع عميل بأن الاتصال بخادم ضحية هو بدلاً من ذلك اتصال آمن بالخادم الخبيث. قد يتمكن الخادم الخبيث بعد ذلك من انتهاك قيود البرمجة النصية عبر المواقع. وبناءً على ذلك، وعلى الرغم من نص RFC7671، فإن عمليات التحقق من الأسماء مفعّلة مبدئيًا لسجلات TLSA من نوع \&\fBDANE\-EE\fP\|(3)، ويمكن تعطيلها في التطبيقات التي يكون فيها ذلك آمنًا. وبوجه خاص، يجب على عملاء SMTP وXMPP ضبط هذا الخيار لأن سجلات SRV وMX تسمح بالفعل لنطاق بعيد بإعادة توجيه اتصالات العملاء إلى أي خادم من اختياره، وفي أي حال لا يقوم عملاء SMTP وXMPP بتنفيذ برامج نصية منزلة من خوادم بعيدة. .IP \fB\-reconnect\fP 4 .IX عنصر \-reconnect يعيد الاتصال بالخادم نفسه 5 مرات باستخدام معرف الجلسة ذاته؛ يمكن استخدام هذا كاختبار للتحقق من عمل خبيئة الجلسة. .IP \fB\-showcerts\fP 4 .IX عنصر \-showcerts يعرض قائمة شهادات الخادم كما أرسلها الخادم: وتتكون فقط من الشهادات التي أرسلها الخادم (بالترتيب الذي أرسلها به). إنها \&\fBليست\fP سلسلة مستوثقة. .IP \fB\-prexit\fP 4 .IX عنصر \-prexit اطبع معلومات الجلسة عند خروج البرنامج. سيحاول هذا دائمًا طباعة المعلومات حتى لو فشل الاتصال. عادةً ما تُطبع المعلومات مرة واحدة فقط إذا نجح الاتصال. هذا الخيار مفيد لأن التعمية المستخدمة قد يُعاد التفاوض بشأنها أو قد يفشل الاتصال لأن شهادة العميل مطلوبة أو تُطلب فقط بعد محاولة الوصول إلى مسار معين. ملاحظة: المخرجات التي ينتجها هذا الخيار ليست دقيقة دائمًا لأن الاتصال قد لا يكون قد أُنشئ أبدًا. .IP \fB\-no\-interactive\fP 4 .IX عنصر \-no\-interactive يمكن استخدام هذه العلامة لتشغيل العميل في وضع غير تفاعلي. .IP \fB\-state\fP 4 .IX عنصر \-state يطبع حالات جلسة SSL. .IP \fB\-debug\fP 4 .IX عنصر \-تنقيح اطبع معلومات تنقيح واسعة النطاق بما في ذلك تفريغ ست عشري لجميع حركة المرور. .IP \fB\-nocommands\fP 4 .IX عنصر \-nocommands لا تستخدم أحرف الأوامر التفاعلية. .IP \fB\-adv\fP 4 .IX عنصر \-adv استخدم وضع الأوامر المتقدم. .IP \fB\-security_debug\fP 4 .IX عنصر \-security_debug فعّل رسائل تنقيح الأمان. .IP \fB\-security_debug_verbose\fP 4 .IX عنصر \-security_debug_verbose أخرج مزيدًا من مخرجات تنقيح الأمان. .IP \fB\-msg\fP 4 .IX عنصر \-msg أظهر رسائل البروتوكول. .IP \fB\-timeout\fP 4 .IX عنصر \-timeout فعّل مهلة الإرسال/الاستقبال في اتصالات DTLS. .IP "\fB\-mtu\fP \fIحجم\fP" 4 .IX عنصر "\-mtu حجم" اضبط وحدة النقل العظمى (MTU) لطبقة الربط على الحجم المحدد. .IP \fB\-no_ems\fP 4 .IX عنصر \-no_ems عطّل تفاوض السر الرئيس الممتد. .IP "\fB\-keymatexport\fP \fIلصيقة\fP" 4 .IX عنصر "\-keymatexport لصيقة" صدّر مادة المفاتيح باستخدام اللصيقة المحددة. .IP "\fB\-keymatexportlen\fP \fIطول\fP" 4 .IX عنصر "\-keymatexportlen طول" صدّر العدد المحدد من بايتات مادة المفاتيح؛ المبدئي هو 20. .Sp أظهر جميع رسائل البروتوكول مع تفريغ ست عشري. .IP \fB\-trace\fP 4 .IX عنصر \-trace أظهر مخرجات تتبع مسهبة لرسائل البروتوكول. .IP "\fB\-msgfile\fP \fIاسم_الملف\fP" 4 .IX عنصر "\-msgfile اسم_الملف" الملف الذي ستُرسل مخرجات \fB\-msg\fP أو \fB\-trace\fP إليه، والافتراضي هو المخرجات القياسية. .IP \fB\-nbio_test\fP 4 .IX عنصر \-nbio_test يختبر الإدخال/الإخراج غير المسدود .IP \fB\-nbio\fP 4 .IX عنصر \-nbio يُفعّل الإدخال/الإخراج غير المسدود .IP \fB\-crlf\fP 4 .IX عنصر \-crlf يترجم هذا الخيار تغذية السطر من الطرفية إلى CR+LF كما تتطلب بعض الخوادم. .IP \fB\-ign_eof\fP 4 .IX عنصر \-ign_eof منع إغلاق الاتصال عند الوصول إلى نهاية الملف في المدخلات. يؤدي هذا ضمناً إلى تشغيل \fB\-nocommands\fP أيضاً. .IP \fB\-quiet\fP 4 .IX عنصر \-quiet منع طباعة معلومات الجلسة والشهادة. يؤدي هذا ضمناً إلى تشغيل \fB\-ign_eof\fP و \fB\-nocommands\fP أيضاً. .IP \fB\-no_ign_eof\fP 4 .IX عنصر \-no_ign_eof إغلاق الاتصال عند الوصول إلى نهاية الملف في المدخلات. يمكن استخدامه لتجاوز خيار \fB\-ign_eof\fP الضمني بعد \fB\-quiet\fP. .IP "\fB\-psk_identity\fP \fIidentity\fP" 4 .IX عنصر "\-psk_identity identity" استخدم هوية PSK المسماة \fIidentity\fP عند استخدام طقم تعمية PSK. القيمة المبدئية هي "Client_identity" (بدون علامات الاقتباس). .IP "\fB\-psk\fP \fIkey\fP" 4 .IX عنصر "\-psk key" استخدم مفتاح PSK المسمى \fIkey\fP عند استخدام طقم تعمية PSK. يُعطى المفتاح كرقم ست عشري بدون بادئة 0x، على سبيل المثال \-psk 1a2b3c4d. يجب توفير هذا الخيار من أجل استخدام تعمية PSK. .IP "\fB\-psk_session\fP \fIملف\fP" 4 .IX عنصر "\-psk_session file" استخدم بيانات SSL_SESSION المرمزة بـ pem والمخزنة في \fIملف\fP كأساس لـ PSK. لاحظ أن هذا لن يعمل إلا إذا فُووِض على TLSv1.3. .IP \fB\-sctp\fP 4 .IX عنصر \-sctp استخدم SCTP لبروتوكول النقل بدلاً من UDP في DTLS. يجب استخدامه بالتزامن مع \fB\-dtls\fP أو \fB\-dtls1\fP أو \fB\-dtls1_2\fP. يتوفر هذا الخيار فقط عندما يكون لدى OpenSSL دعم مفعل لـ SCTP. .IP \fB\-sctp_label_bug\fP 4 .IX عنصر \-sctp_label_bug استخدم السلوك غير الصحيح لتطبيقات OpenSSL الأقدم عند حساب الأسرار المشتركة لزوج الأطراف لـ DTLS/SCTP. يسمح هذا بالتواصل مع التطبيقات القديمة المعطلة ولكنه يكسر التوافقية مع التطبيقات الصحيحة. يجب استخدامه بالتزامن مع \fB\-sctp\fP. يتوفر هذا الخيار فقط عندما يكون لدى OpenSSL دعم مفعل لـ SCTP. .IP \fB\-fallback_scsv\fP 4 .IX عنصر \-fallback_scsv إرسال TLS_FALLBACK_SCSV في ClientHello. .IP \fB\-async\fP 4 .IX عنصر \-async تشغيل الوضع غير المتزامن. سيتم إجراء العمليات التعموية بشكل غير متزامن. لن يكون لهذا تأثير إلا إذا استُخدم محرك قادر على العمل بشكل غير متزامن عبر الخيار \fB\-engine\fP. لأغراض الاختبار، يمكن استخدام محرك async الوهمي (dasync) (إذا كان متاحاً). .IP "\fB\-maxfraglen\fP \fIlen\fP" 4 .IX عنصر "\-maxfraglen len" تمكين التفاوض على أقصى طول للقطعة؛ القيم المسموح بها هي \&\f(CW512\fP، و \f(CW1024\fP، و \f(CW2048\fP، و \f(CW4096\fP. .IP "\fB\-max_send_frag\fP \fIint\fP" 4 .IX عنصر "\-max_send_frag int" أقصى حجم لقطعة البيانات المراد إرسالها. انظر \fBSSL_CTX_set_max_send_fragment\fP\|(3) لمزيد من المعلومات. .IP "\fB\-split_send_frag\fP \fIint\fP" 4 .IX عنصر "\-split_send_frag int" الحجم المستخدم لتقسيم البيانات لأنابيب التعمية. إذا كُتبت بيانات أكثر دفعة واحدة من هذه القيمة فستُقسم إلى أنابيب متعددة، حتى أقصى عدد من الأنابيب المعرف بواسطة max_pipelines. لن يكون لهذا تأثير إلا إذا فُووِض على طقم تعمية مناسب، وحُمّل محرك يدعم الأنابيب، وكان max_pipelines أكبر من 1. انظر \&\fBSSL_CTX_set_split_send_fragment\fP\|(3) لمزيد من المعلومات. .IP "\fB\-max_pipelines\fP \fIint\fP" 4 .IX عنصر "\-max_pipelines int" أقصى عدد من أنابيب التعمية/فك التعمية التي ستُستخدم. لن يكون لهذا تأثير إلا إذا حُمّل محرك يدعم الأنابيب (مثل محرك dasync) وفُووِض على طقم تعمية مناسب. القيمة المبدئية هي 1. انظر \fBSSL_CTX_set_max_pipelines\fP\|(3) لمزيد من المعلومات. .IP "\fB\-read_buf\fP \fIint\fP" 4 .IX عنصر "\-read_buf int" حجم ذاكرة القراءة الوسيطة المبدئي المستخدم للاتصالات. لن يكون لهذا تأثير إلا إذا كان حجم الذاكرة الوسيطة أكبر من الحجم الذي كان سيُستخدم لولا ذلك وكانت تقنية التدفق (pipelining) قيد الاستخدام (انظر \fBSSL_CTX_set_default_read_buffer_len\fP\|(3) لمزيد من المعلومات). .IP \fB\-ignore_unexpected_eof\fP 4 .IX عنصر \-ignore_unexpected_eof بعض تطبيقات TLS لا ترسل تنبيه close_notify الإلزامي عند إيقاف التشغيل. إذا حاول التطبيق انتظار تنبيه close_notify ولكن الطرف الآخر أغلق الاتصال دون إرساله، يُولَّد خطأ. عند تمكين هذا الخيار، لا يحتاج الطرف الآخر لإرسال تنبيه close_notify وسيُعامل الاتصال المغلق كما لو استُلم التنبيه. لمزيد من المعلومات حول إغلاق الاتصال، انظر \fBSSL_shutdown\fP\|(3). .IP \fB\-no_tx_cert_comp\fP 4 .IX عنصر \-no_tx_cert_comp يعطل دعم إرسال شهادات TLSv1.3 المضغوطة. .IP \fB\-no_rx_cert_comp\fP 4 .IX عنصر \-no_rx_cert_comp يعطل دعم استقبال شهادات TLSv1.3 المضغوطة. .IP \fB\-brief\fP 4 .IX عنصر \-brief توفير ملخص موجز لمعلمات الاتصال فقط بدلاً من المخرجات التفصيلية العادية. .IP "\fB\-starttls\fP \fIprotocol\fP" 4 .IX عنصر "\-starttls protocol" إرسال الرسائل الخاصة بالبروتوكول للتبديل إلى TLS للاتصال. \&\fIprotocol\fP هي كلمة مفتاحية للبروتوكول المقصود. حالياً، الكلمات المفتاحية المدعومة فقط هي "smtp"، و "pop3"، و "imap"، و "ftp"، و "xmpp"، و "xmpp\-server"، و "irc"، و "postgres"، و "mysql"، و "lmtp"، و "nntp"، و "sieve" و "ldap". .IP "\fB\-xmpphost\fP \fIhostname\fP" 4 .IX عنصر "\-xmpphost hostname" يحدد هذا الخيار، عند استخدامه مع "\-starttls xmpp" أو "\-starttls xmpp\-server"، المضيف لسمة "to" لعنصر التدفق. إذا لم يحدد هذا الخيار، فسيُستخدم المضيف المحدد باستخدام "\-connect". .Sp هذا الخيار هو اسم مستعار لخيار \fB\-name\fP لـ "xmpp" و "xmpp\-server". .IP "\fB\-name\fP \fIhostname\fP" 4 .IX عنصر "\-name hostname" يستخدم هذا الخيار لتحديد معلومات اسم المضيف لمختلف البروتوكولات المستخدمة مع خيار \fB\-starttls\fP. حالياً فقط "xmpp"، و "xmpp\-server"، و "smtp" و "lmtp" يمكنها الاستفادة من خيار \fB\-name\fP هذا. .Sp إذا استُخدم هذا الخيار مع "\-starttls xmpp" أو "\-starttls xmpp\-server"، فإنه يحدد المضيف لسمة "to" لعنصر التدفق. إذا لم يحدد هذا الخيار، فسيُستخدم المضيف المحدد باستخدام "\-connect". .Sp إذا استُخدم هذا الخيار مع "\-starttls lmtp" أو "\-starttls smtp"، فإنه يحدد الاسم المراد استخدامه في رسالة "LMTP LHLO" أو "SMTP EHLO" على التوالي. إذا لم يحدد هذا الخيار، فسيُستخدم "mail.example.com". .IP \fB\-tlsextdebug\fP 4 .IX عنصر \-tlsextdebug طباعة تفريغ ست عشري لأي امتدادات TLS مُستلمة من الخادم. .IP "\fB\-sess_out\fP \fIfilename\fP" 4 .IX عنصر "\-sess_out filename" إخراج جلسة SSL إلى \fIfilename\fP. .IP "\fB\-sess_in\fP \fIfilename\fP" 4 .IX عنصر "\-sess_in filename" تحميل جلسة SSL من \fIfilename\fP. سيحاول العميل استئناف اتصال من هذه الجلسة. .IP "\fB\-serverinfo\fP \fItypes\fP" 4 .IX عنصر "\-serverinfo types" قائمة بأنواع امتدادات TLS مفصولة بفاصلة (أرقام بين 0 و 65535). سيُرسل كل نوع كامتداد ClientHello TLS فارغ. سيُرمز استجابة الخادم (إن وجدت) وتُعرض كملف PEM. .IP \fB\-status\fP 4 .IX عنصر \-status يرسل طلب حالة شهادة إلى الخادم (تدبيس OCSP). تُطبع استجابة الخادم (إن وجدت). .IP \fB\-ocsp_check_leaf\fP 4 .IX عنصر \-ocsp_check_leaf يتطلب إجراء فحص حالة شهادة الخادم (كيان النهاية)، حيث تُجرَّب أي استجابة OCSP متوفرة في مصافحة TLS (بواسطة ما يسمى "تدبيس OCSP") أولاً. إذا تعذر العثور على استجابة OCSP صالحة وحاسمة، يُحاول الفحص المستند إلى CRL كبديل إذا كان مُمكناً، وإلا سيفشل فحص الحالة. .Sp يستلزم هذا \fB\-status\fP. .IP \fB\-ocsp_check_all\fP 4 .IX عنصر \-ocsp_check_all مثل الخيار السابق، ولكن يتطلب إجراء فحص حالة الشهادة أيضاً لسلسلة المصدر لشهادة الخادم (أي شهادات CA الوسيطة، باستثناء مرساة الثقة). .Sp يستلزم هذا \fB\-status\fP و \fB\-ocsp_check_leaf\fP. .IP "\fB\-alpn\fP \fIprotocols\fP، \fB\-nextprotoneg\fP \fIprotocols\fP" 4 .IX عنصر "\-alpn protocols, \-nextprotoneg protocols" تمكن هذه الأعلام امتداد تفاوض بروتوكول طبقة التطبيق (ALPN) أو تفاوض البروتوكول التالي (NPN)، على التوالي. ALPN هو معيار IETF ويحل محل NPN. قائمة \fIprotocols\fP هي قائمة مفصولة بفاصلة لأسماء البروتوكولات التي يجب على العميل الإعلان عن دعمها. يجب أن تحتوي القائمة على البروتوكولات الأكثر رغبة أولاً. أسماء البروتوكولات هي سلاسل ASCII قابلة للطباعة، على سبيل المثال "http/1.1" أو "spdy/3". تُعامل القائمة الفارغة للبروتوكولات بشكل خاص وستؤدي إلى إعلان العميل عن دعم امتداد TLS ولكنه سيقطع الاتصال فور استلام ServerHello مع قائمة بالبروتوكولات التي يدعمها الخادم. لا يمكن تحديد العلم \fB\-nextprotoneg\fP إذا استُخدم \fB\-tls1_3\fP. .IP "\fB\-ct\fP، \fB\-noct\fP" 4 .IX عنصر "\-ct, \-noct" استخدم أحد هذين الخيارين للتحكم فيما إذا كانت شفافية الشهادة (CT) مُمكّنة (\fB\-ct\fP) أو معطلة (\fB\-noct\fP). إذا كانت CT مُمكّنة، فسيُطلب طوابع زمنية للشهادات الموقعة (SCTs) من الخادم ويُبلّغ عنها عند اكتمال المصافحة. .Sp تمكين CT يمكن أيضاً تدبيس OCSP، حيث أن هذا أحد طرق التسليم الممكنة لـ SCTs. .IP \fB\-ctlogfile\fP 4 .IX عنصر \-ctlogfile ملف يحتوي على قائمة بسجلات شفافية الشهادات المعروفة. انظر \&\fBSSL_CTX_set_ctlog_list_file\fP\|(3) لتنسيق الملف المتوقع. .IP "\fB\-keylogfile\fP \fIملف\fP" 4 .IX عنصر "\-keylogfile ملف" يلحق أسرار TLS لملف سجل المفاتيح المحدد بحيث تتمكن البرامج الخارجية (مثل Wireshark) من فك تعمية اتصالات TLS. .IP "\fB\-early_data\fP \fIملف\fP" 4 .IX عنصر "\-early_data ملف" يقرأ محتويات الملف المحدد ويحاول إرسالها كبيانات مبكرة إلى الخادم. لن يعمل هذا إلا مع الجلسات المُستأنفة التي تدعم البيانات المبكرة وعندما يقبل الخادم البيانات المبكرة. .IP \fB\-enable_pha\fP 4 .IX عنصر \-enable_pha لإصدار TLSv1.3 فقط، يُرسل ملحق الاستيثاق ما بعد المصافحة. سيحدث هذا سواء وُفرت شهادة عبر \fB\-cert\fP أم لا. .IP "\fB\-use_srtp\fP \fIقيمة\fP" 4 .IX عنصر "\-use_srtp قيمة" يعرض إدارة مفاتيح SRTP، حيث تكون \fBvalue\fP عبارة عن قائمة تشكيلات مفصولة بنقطتين. .IP "\fB\-srpuser\fP \fIقيمة\fP" 4 .IX عنصر "\-srpuser قيمة" يضبط اسم مستخدم SRP على القيمة المحددة. هذا الخيار مهجور. .IP "\fB\-srppass\fP \fIقيمة\fP" 4 .IX عنصر "\-srppass قيمة" يضبط كلمة سر SRP على القيمة المحددة. هذا الخيار مهجور. .IP \fB\-srp_lateuser\fP 4 .IX عنصر \-srp_lateuser اسم مستخدم SRP لرسالة ClientHello الثانية. هذا الخيار مهجور. .IP "\fB\-srp_moregroups\fP هذا الخيار مهجور." 4 .IX عنصر "\-srp_moregroups هذا الخيار مهجور." يتسامح مع قيم بخلاف قيم \fBg\fP و \fBN\fP المعروفة. .IP "\fB\-srp_strength\fP \fIرقم\fP" 4 .IX عنصر "\-srp_strength رقم" يضبط الحد الأدنى للطول المقبول، بالبِتات، لـ \fBN\fP. هذا الخيار مهجور. .IP \fB\-ktls\fP 4 .IX عنصر \-ktls تفعيل نواة TLS للإرسال والاستقبال. قُدم هذا الخيار في OpenSSL 3.2.0. تكون نواة TLS معطلة مبدئيًا اعتبارًا من OpenSSL 3.2.0. .IP \fB\-tfo\fP 4 .IX عنصر \-tfo تفعيل إنشاء الاتصالات عبر الفتح السريع لـ TCP‏ (RFC7413). .IP "\fB\-no_ssl3\fP، \fB\-no_tls1\fP، \fB\-no_tls1_1\fP، \fB\-no_tls1_2\fP، \fB\-no_tls1_3\fP، \fB\-ssl3\fP، \fB\-tls1\fP، \fB\-tls1_1\fP، \fB\-tls1_2\fP، \fB\-tls1_3\fP" 4 .IX عنصر "\-no_ssl3, \-no_tls1, \-no_tls1_1, \-no_tls1_2, \-no_tls1_3, \-ssl3, \-tls1, \-tls1_1, \-tls1_2, \-tls1_3" انظر "خيارات إصدار TLS" في \fBopenssl\fP\|(1). .IP "\fB\-dtls\fP، \fB\-dtls1\fP، \fB\-dtls1_2\fP" 4 .IX عنصر "\-dtls, \-dtls1, \-dtls1_2" تحدد هذه استخدام DTLS بدلاً من TLS. انظر "خيارات إصدار TLS" في \fBopenssl\fP\|(1). .IP "\fB\-nameopt\fP \fIخيار\fP" 4 .IX عنصر "\-nameopt خيار" يحدد هذا كيفية عرض أسماء الموضوع أو المُصدر. انظر \fBopenssl\-namedisplay\-options\fP\|(1) للحصول على التفاصيل. .IP "\fB\-xkey\fP \fIملف_دخل\fP، \fB\-xcert\fP \fIملف\fP، \fB\-xchain\fP \fIملف\fP، \fB\-xchain_build\fP \fIملف\fP، \fB\-xcertform\fP \fBDER\fP|\fBPEM\fP، \fB\-xkeyform\fP \fBDER\fP|\fBPEM\fP" 4 .IX عنصر "\-xkey infile, \-xcert file, \-xchain file, \-xchain_build file, \-xcertform DER|PEM, \-xkeyform DER|PEM" اضبط خيارات التحقق الموسعة من الشهادة. انظر "Extended Verification Options" في \fBopenssl\-verification\-options\fP\|(1) للتفاصيل. .IP "\fB\-CAfile\fP \fIملف\fP، \fB\-no\-CAfile\fP، \fB\-CApath\fP \fIدليل\fP، \fB\-no\-CApath\fP، \fB\-CAstore\fP \fIمعرف_المورد\fP، \fB\-no\-CAstore\fP" 4 .IX عنصر "\-CAfile ملف، \-no\-CAfile، \-CApath دليل، \-no\-CApath، \-CAstore مسار، \-no\-CAstore" انظر "Trusted Certificate Options" في \fBopenssl\-verification\-options\fP\|(1) للتفاصيل. .IP "\fB\-bugs\fP، \fB\-comp\fP، \fB\-no_comp\fP، \fB\-no_ticket\fP، \fB\-serverpref\fP، \fB\-client_renegotiation\fP، \fB\-legacy_renegotiation\fP، \fB\-no_renegotiation\fP، \fB\-no_resumption_on_reneg\fP، \fB\-legacy_server_connect\fP، \fB\-no_legacy_server_connect\fP، \fB\-no_etm\fP \fB\-allow_no_dhe_kex\fP، \fB\-prefer_no_dhe_kex\fP، \fB\-prioritize_chacha\fP، \fB\-strict\fP، \fB\-sigalgs\fP \fIalgs\fP، \fB\-client_sigalgs\fP \fIalgs\fP، \fB\-groups\fP \fIgroups\fP، \fB\-curves\fP \fIcurves\fP، \fB\-named_curve\fP \fIcurve\fP، \fB\-cipher\fP \fIciphers\fP، \fB\-ciphersuites\fP \fI1.3ciphers\fP، \fB\-min_protocol\fP \fIminprot\fP، \fB\-max_protocol\fP \fImaxprot\fP، \fB\-record_padding\fP \fIpadding\fP، \fB\-debug_broken_protocol\fP، \fB\-no_middlebox\fP" 4 .IX عنصر "\-bugs, \-comp, \-no_comp, \-no_ticket, \-serverpref, \-client_renegotiation, \-legacy_renegotiation, \-no_renegotiation, \-no_resumption_on_reneg, \-legacy_server_connect, \-no_legacy_server_connect, \-no_etm \-allow_no_dhe_kex, \-prefer_no_dhe_kex, \-prioritize_chacha, \-strict, \-sigalgs algs, \-client_sigalgs algs, \-groups groups, \-curves curves, \-named_curve curve, \-cipher ciphers, \-ciphersuites 1.3ciphers, \-min_protocol minprot, \-max_protocol maxprot, \-record_padding padding, \-debug_broken_protocol, \-no_middlebox" انظر "SUPPORTED COMMAND LINE COMMANDS" في \fBSSL_CONF_cmd\fP\|(3) للتفاصيل. .IP "\fB\-rand\fP \fIملفات\fP، \fB\-writerand\fP \fIملف\fP" 4 .IX عنصر "\-rand ملفات، \-writerand ملف" انظر "خيارات الحالة العشوائية" في \fBopenssl\fP\|(1) لمزيد من التفاصيل. .IP "\fB\-provider\fP \fIاسم\fP" 4 .IX عنصر "\-provider الاسم" .PD 0 .IP "\fB\-provider\-path\fP \fIمسار\fP" 4 .IX عنصر "\-provider\-path المسار" .IP "\fB\-provparam\fP \fI[الاسم:]المفتاح=القيمة\fP" 4 .IX عنصر "\-provparam [الاسم:]المفتاح=القيمة" .IP "\fB\-propquery\fP \fIpropq\fP" 4 .IX عنصر "\-propquery propq" .PD انظر "خيارات المزود" في \fBopenssl\fP\|(1)، و \fBprovider\fP\|(7)، و \fBproperty\fP\|(7). .IP "\fB\-engine\fP \fIمعرف\fP" 4 .IX عنصر "\-engine id" انظر "خيارات المحرك" في \fBopenssl\fP\|(1). هذا الخيار مهجور. .IP "\fB\-ssl_client_engine\fP \fIمعرف\fP" 4 .IX عنصر "\-ssl_client_engine id" حدد المحرك المراد استخدامه لعمليات شهادة العميل. .IP "\fB\-allow_proxy_certs\fP، \fB\-attime\fP، \fB\-no_check_time\fP، \fB\-check_ss_sig\fP، \fB\-crl_check\fP، \fB\-crl_check_all\fP، \fB\-explicit_policy\fP، \fB\-extended_crl\fP، \fB\-ignore_critical\fP، \fB\-inhibit_any\fP، \fB\-inhibit_map\fP، \fB\-no_alt_chains\fP، \fB\-partial_chain\fP، \fB\-policy\fP، \fB\-policy_check\fP، \fB\-policy_print\fP، \fB\-purpose\fP، \fB\-suiteB_128\fP، \fB\-suiteB_128_only\fP، \fB\-suiteB_192\fP، \fB\-trusted_first\fP، \fB\-use_deltas\fP، \fB\-auth_level\fP، \fB\-verify_depth\fP، \fB\-verify_email\fP، \fB\-verify_hostname\fP، \fB\-verify_ip\fP، \fB\-verify_name\fP، \fB\-x509_strict\fP \fB\-issuer_checks\fP" 4 .IX عنصر "\-allow_proxy_certs, \-attime, \-no_check_time, \-check_ss_sig, \-crl_check, \-crl_check_all, \-explicit_policy, \-extended_crl, \-ignore_critical, \-inhibit_any, \-inhibit_map, \-no_alt_chains, \-partial_chain, \-policy, \-policy_check, \-policy_print, \-purpose, \-suiteB_128, \-suiteB_128_only, \-suiteB_192, \-trusted_first, \-use_deltas, \-auth_level, \-verify_depth, \-verify_email, \-verify_hostname, \-verify_ip, \-verify_name, \-x509_strict \-issuer_checks" اضبط خيارات متنوعة للتحقق من سلسلة الشهادات. انظر "خيارات التحقق" في \fBopenssl\-verification\-options\fP\|(1) للحصول على التفاصيل. .Sp تُعرض أخطاء التحقق، لغرض التنقيح، لكن سيستمر الأمر ما لم يُستخدم خيار \fB\-verify_return_error\fP. .IP \fB\-enable_server_rpk\fP 4 .IX عنصر \-enable_server_rpk تفعيل دعم استقبال المفاتيح العامة الخام (RFC7250) من الخادم. يصبح استخدام شهادات X.509 من قِبل الخادم اختيارياً، وقد تختار الخوادم التي تدعم المفاتيح العامة الخام استخدامها. أما الخوادم التي لا تدعم المفاتيح العامة الخام أو تفضل استخدام شهادات X.509 فيمكنها الاستمرار في إرسال شهادات X.509 كالمعتاد. .IP \fB\-enable_client_rpk\fP 4 .IX عنصر \-enable_client_rpk تفعيل دعم إرسال المفاتيح العامة الخام (RFC7250) إلى الخادم. سيُرسل العميل مفتاحاً عاماً خاماً إذا طلبه الخادم، بشرط أن يكون قد ضُبط زوج مناسب من المفتاح والشهادة العامة. ومع ذلك، قد لا تطلب بعض الخوادم أي وثائق استيثاق للعميل، أو قد تطلب شهادة. .IP \fIالمضيف\fP:\fIالمنفذ\fP 4 .IX عنصر host:port بدلاً من توفير \fB\-connect\fP، يمكن توفير المضيف المستهدف والمنفذ الاختياري كوسيط موضعي واحد بعد كل الخيارات. إذا لم يُوفر هذا ولا \fB\-connect\fP، فسيتم الرجوع لمحاولة الاتصال بـ \&\fIlocalhost\fP على المنفذ \fI4433\fP. إذا كانت سلسلة المضيف عبارة عن عنوان IPv6، فيجب وضعها بين \f(CW\*(C`[\*(C'\fP و \f(CW\*(C`]\*(C'\fP. .SH "الأوامر المتصلة (أساسية)" .IX ترويسة "الأوامر المتصلة (أساسية)" إذا أُنشئ اتصال مع خادم SSL/TLS، فستُعرض أي بيانات مستلمة من الخادم وتُرسل أي ضغطات مفاتيح إلى الخادم. إذا وُصل إلى نهاية الملف، فسيُغلق الاتصال. .PP عند استخدامه بشكل تفاعلي (مما يعني عدم إعطاء \fB\-quiet\fP ولا \fB\-ign_eof\fP)، وعدم إعطاء أي من \fB\-adv\fP أو \fB\-nocommands\fP، فسيتم الدخول في وضع الأوامر "الأساسي". في هذا الوضع، يتم التعرف على أوامر معينة تقوم بعمليات خاصة. هذه الأوامر هي عبارة عن حرف يجب أن يظهر في بداية السطر. يتم تجاهل كافة البيانات الإضافية بعد الحرف الأولي في السطر. الأوامر مدرجة أدناه. .IP \fBQ\fP 4 .IX عنصر Q إنهاء اتصال SSL الحالي والخروج. .IP \fBR\fP 4 .IX عنصر R إعادة التفاوض على جلسة SSL (TLSv1.2 وما قبله فقط). .IP \fBC\fP 4 .IX عنصر C محاولة إعادة الاتصال بالخادم باستخدام مصافحة الاستئناف. .IP \fBk\fP 4 .IX عنصر k إرسال رسالة تحديث مفتاح إلى الخادم (TLSv1.3 فقط) .IP \fBK\fP 4 .IX عنصر K أرسل رسالة تحديث مفتاح إلى الخادم واطلب رسالة مقابلة (بروتوكول TLSv1.3 فقط) .SH "الأوامر المتصلة (متقدمة)" .IX ترويسة "الأوامر المتصلة (متقدمة)" إذا أُعطي الخيار \fB\-adv\fP، فسيُدخل في وضع الأوامر «المتقدم». وكما هو الحال في الوضع الأساسي، إذا أُنشئ اتصال مع خادم SSL/TLS، فستُعرض أي بيانات مستلمة من الخادم وستُرسل أي ضغطات مفاتيح إليه. إذا وُصل إلى نهاية الملف، فسيُغلق الاتصال. .PP يمكن توفير أوامر خاصة عبر إحاطتها بأقواس، مثل "{help}" أو "{quit}". يمكن أن تظهر هذه الأوامر في أي مكان في النص المُدخل في s_client، ولكنها لا تُرسل إلى الخادم. يمكن لبعض الأوامر أن تأخذ وسيطًا عبر إنهاء اسم الأمر بالعلامة ":" ثم توفير الوسيط، مثل "{keyup:req}". لا تتوفر بعض الأوامر إلا عند التفاوض على إصدارات بروتوكول معينة. .PP إذا ظهر سطر جديد في نهاية سطر مُدخل في s_client، فسيُرسل أيضًا إلى الخادم. إذا ظهر أمر في سطر بمفرده دون أي نص آخر في نفس السطر، فسيُكتم السطر الجديد ولن يُرسل إلى الخادم. .PP الأوامر التالية معروفة. .IP \fBhelp\fP 4 .IX عنصر help يطبع نص مساعدة ملخصًا حول الأوامر المتاحة. .IP \fBquit\fP 4 .IX عنصر quit أغلق الاتصال بالقرين .IP \fBreconnect\fP 4 .IX عنصر reconnect أعد الاتصال بالقرين وحاول إجراء مصافحة استئناف .IP \fBkeyup\fP 4 .IX عنصر keyup أرسل رسالة تحديث مفتاح. لبروتوكول TLSv1.3 فقط. يأخذ هذا الأمر وسيطًا اختياريًا. إذا قُدم الوسيط "req"، فسيُطلب من القرين أيضًا تحديث مفاتيحه. خلاف ذلك، إذا قُدم "noreq"، فلن يُطلب من القرين تحديث مفاتيحه. القيمة المبدئية هي "req". .IP \fBreneg\fP 4 .IX عنصر reneg ابدأ إعادة تفاوض مع الخادم. لبروتوكول (D)TLSv1.2 أو ما دونه فقط. .IP \fBfin\fP 4 .IX عنصر fin أشر إلى علامة FIN على الدفق الحالي. لبروتوكول QUIC فقط. بمجرد إرسال FIN، سيُتجاهل أي نص إضافي يُدخل لهذا الدفق. .SH ملاحظات .IX ترويسة ملاحظات يمكن استخدام هذا الأمر لتنقيح خوادم SSL. للاتصال بخادم SSL HTTP، فإن الأمر: .PP .Vb 1 \& openssl s_client \-connect servername:443 .Ve .PP سيُستخدم عادةً (يستخدم https المنفذ 443). إذا نجح الاتصال، فيمكن إعطاء أمر HTTP مثل "GET /" لجلب صفحة ويب. .PP إذا فشلت المصافحة، فهناك عدة أسباب محتملة؛ إذا لم يكن هناك شيء واضح مثل غياب شهادة العميل، فيمكن تجربة الخيارات \fB\-bugs\fP و \&\fB\-ssl3\fP و \fB\-tls1\fP و \fB\-no_ssl3\fP و \fB\-no_tls1\fP في حال كان الخادم به علل. وبشكل خاص، يجب عليك تجربة هذه الخيارات \fBقبل\fP إرسال تقرير عن علة إلى القوائم البريدية لـ OpenSSL. .PP من المشاكل الشائعة عند محاولة تشغيل شهادات العميل هي أن عميل الويب يشتكي من عدم وجود شهادات أو يعرض قائمة فارغة للاختيار منها. يعود هذا عادةً إلى أن الخادم لا يرسل مرجع شهادات العملاء في «قائمة مراجع المصدقات المقبولة» عندما يطلب شهادة. باستخدام هذا الأمر، يمكن عرض قائمة المراجع والتحقق منها. ومع ذلك، لا تطلب بعض الخوادم استيثاق العميل إلا بعد طلب عنوان URL محدد. للحصول على القائمة في هذه الحالة، من الضروري استخدام الخيار \fB\-prexit\fP وإرسال طلب HTTP لصفحة مناسبة. .PP إذا حُددت شهادة على سطر الأوامر باستخدام خيار \fB\-cert\fP فلن تُستخدم ما لم يطلب الخادم تحديدا شهادة عميل. لذلك، مجرد تضمين شهادة عميل على سطر الأوامر ليس ضمانا بأن الشهادة ستعمل. .PP إذا كانت هناك مشاكل في التحقق من شهادة الخادم، فيمكن استخدام الخيار \&\fB\-showcerts\fP لعرض جميع الشهادات المرسلة من الخادم. .PP هذا الأمر هو أداة اختبار وصُمم لمواصلة المصافحة بعد أي أخطاء في التحقق من الشهادة. ونتيجة لذلك، سيقبل أي سلسلة شهادات (موثوقة أو غير موثوقة) يرسلها القرين. يجب \fBألا\fP تقوم التطبيقات غير الاختبارية بذلك لأنها تجعلها عرضة لهجمات الوسيط (MITM). يمكن تغيير هذا السلوك باستخدام الخيار \fB\-verify_return_error\fP: حيث ستُرجع أي أخطاء في التحقق مما يؤدي إلى إجهاض المصافحة. .PP قد يكون الخيار \fB\-bind\fP مفيدًا إذا كان الخادم أو جدار الحماية يتطلب أن تأتي الاتصالات من عنوان أو منفذ معين. .SS "ملاحظة حول الاستخدام غير التفاعلي" .IX "قسم فرعي" "ملاحظة حول الاستخدام غير التفاعلي" عند تشغيل \fBs_client\fP في بيئة غير تفاعلية (مثل وظيفة cron أو نص برمجى بدون دخل \fIstdin\fP صالح)، فقد يُغلق الاتصال قبل الأوان، خاصة مع TLS 1.3. لمنع ذلك، يمكنك استخدام علامة \fB\-ign_eof\fP، التي تُبقي \fBs_client\fP قيد التشغيل حتى بعد الوصول إلى نهاية ملف (EOF) من \fIstdin\fP. .PP على سبيل المثال: .PP .Vb 3 \& openssl s_client \-connect :443 \-tls1_3 \& \-sess_out /path/to/tls_session_params_file \& \-ign_eof :25 :25 \& \-starttls smtp \-brief \-ign_eof .Ve .PP بالمثل، بالنسبة لاتصالات HTTP/1.1، فإن تضمين ترويسة \`Connection: close\` يضمن أن الخادم سيغلق الاتصال بعد الاستجابة: .PP .Vb 2 \& printf \*(AqGET / HTTP/1.1\er\enHost: \er\enConnection: close\er\en\er\en\*(Aq \& | openssl s_client \-connect :443 \-brief .Ve .PP تساعد هذه الأساليب في إدارة إغلاق الاتصال بلباقة ومنع التوقف الناجم عن انتظار الخادم للعميل لبدء قطع الاتصال. .SH العلل .IX ترويسة العلل نظرًا لأن هذا البرنامج يحتوي على الكثير من الخيارات ولأن بعض التقنيات المستخدمة قديمة نوعًا ما، فإن كود المصدر بلغة C لهذا الأمر يصعب قراءته وليس نموذجًا لكيفية القيام بالأشياء. أي برنامج عميل SSL نموذجي سيكون أبسط بكثير. .PP الخيار \fB\-prexit\fP هو نوع من الحلول المؤقتة. يجب علينا حقًا الإبلاغ عن المعلومات في كل مرة تُعاد فيها المفاوضة على جلسة. .SH "انظر أيضًا" .IX ترويسة "انظر أيضًا" \&\fBopenssl\fP\|(1), \&\fBopenssl\-sess_id\fP\|(1), \&\fBopenssl\-s_server\fP\|(1), \&\fBopenssl\-ciphers\fP\|(1), \&\fBSSL_CONF_cmd\fP\|(3), \&\fBSSL_CTX_set_max_send_fragment\fP\|(3), \&\fBSSL_CTX_set_split_send_fragment\fP\|(3), \&\fBSSL_CTX_set_max_pipelines\fP\|(3), \&\fBossl_store\-file\fP\|(7) .SH التاريخ .IX ترويسة التاريخ أُضيف الخيار \fB\-no_alt_chains\fP في الإصدار 1.1.0 من OpenSSL. وأُضيف الخيار \fB\-name\fP في الإصدار 1.1.1 من OpenSSL. .PP أصبح الخيار \fB\-certform\fP مهجورًا في الإصدار 3.0.0 من OpenSSL وليس له أي تأثير. .PP خيار \fB\-engine\fP أصبح مهجوراً في OpenSSL 3.0. .PP أُضيفت الخيارات \&\fB\-enable_client_rpk\fP و \&\fB\-enable_server_rpk\fP و \&\fB\-no_rx_cert_comp\fP و \&\fB\-no_tx_cert_comp\fP و \fB\-tfo\fP في OpenSSL 3.2. .PP أُضيف الخياران <\-ocsp_check_leaf> و \fB\-ocsp_check_all\fP في OpenSSL 3.6. .SH "حقوق النسخ" .IX ترويسة "حقوق النسخ" حقوق النشر 2000\-2025 لمؤلفي مشروع OpenSSL. جميع الحقوق محفوظة. .PP مرخص بموجب رخصة Apache 2.0 (المشار إليها فيما يلي بـ ”الرخصة“). لا يجوز لك استخدام هذا الملف إلا وفقًا لشروط الرخصة. يمكنك الحصول على نسخة منها في الملف LICENSE الموجود في حزمة التوزيع المصدرية أو على الرابط . .PP .SH ترجمة تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي . .PP هذه الترجمة هي وثيقة مجانية؛ راجع .UR https://www.gnu.org/licenses/gpl-3.0.html رخصة جنو العامة الإصدار 3 .UE أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات. .PP إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: .MT kde-l10n-ar@kde.org .ME .