OPENSSL-S_SERVER(1ssl) OpenSSL OPENSSL-S_SERVER(1ssl)

الاسم

openssl-s_server - برنامج خادم SSL/TLS

موجز

openssl s_server [-help] [-port +int] [-accept قيمة] [-unix قيمة] [-4] [-6] [-unlink] [-context قيمة] [-verify رقم] [-Verify رقم] [-cert ملف_مدخل] [-cert2 ملف_مدخل] [-certform DER|PEM|P12] [-cert_chain ملف_مدخل] [-build_chain] [-serverinfo قيمة] [-key اسم_الملف|معرف_المورد] [-key2 اسم_الملف|معرف_المورد] [-keyform DER|PEM|P12|ENGINE] [-pass قيمة] [-dcert ملف_مدخل] [-dcertform DER|PEM|P12] [-dcert_chain ملف_مدخل] [-dkey اسم_الملف|معرف_المورد] [-dkeyform DER|PEM|P12|ENGINE] [-dpass قيمة] [-nbio_test] [-crlf] [-debug] [-msg] [-msgfile ملف_مخرج] [-state] [-nocert] [-quiet] [-no_resume_ephemeral] [-www] [-WWW] [-http_server_binmode] [-no_ca_names] [-ignore_unexpected_eof] [-servername] [-servername_fatal] [-tlsextdebug] [-HTTP] [-id_prefix قيمة] [-keymatexport قيمة] [-keymatexportlen +int] [-CRL ملف_مدخل] [-CRLform DER|PEM] [-crl_download] [-chainCAfile ملف_مدخل] [-chainCApath دليل] [-chainCAstore معرف_المورد] [-verifyCAfile ملف_مدخل] [-verifyCApath دليل] [-verifyCAstore معرف_المورد] [-no_cache] [-ext_cache] [-verify_return_error] [-verify_quiet] [-ign_eof] [-no_ign_eof] [-no_ems] [-status] [-status_all] [-status_verbose] [-status_timeout رقم] [-proxy [http[s]://][userinfo@]host[:port][/path][?query][#fragment]] [-no_proxy عناوين] [-status_url قيمة] [-status_file ملف_مدخل] [-ssl_config قيمة] [-trace] [-security_debug] [-security_debug_verbose] [-brief] [-rev] [-async] [-max_send_frag +int] [-split_send_frag +int] [-max_pipelines +int] [-naccept +int] [-read_buf +int] [-no_tx_cert_comp] [-no_rx_cert_comp] [-dhparam ملف_مدخل] [-nbio] [-psk_identity قيمة] [-psk_hint قيمة] [-psk قيمة] [-psk_session ملف] [-srpvfile ملف_مدخل] [-srpuserseed قيمة] [-timeout] [-mtu +int] [-listen] [-sctp] [-sctp_label_bug] [-use_srtp قيمة] [-no_dhe] [-nextprotoneg قيمة] [-alpn قيمة] [-ktls] [-sendfile] [-zerocopy_sendfile] [-keylogfile ملف_مخرج] [-recv_max_early_data رقم] [-max_early_data رقم] [-early_data] [-stateless] [-anti_replay] [-no_anti_replay] [-num_tickets] [-tfo] [-cert_comp] [-nameopt خيار] [-no_ssl3] [-no_tls1] [-no_tls1_1] [-no_tls1_2] [-no_tls1_3] [-ssl3] [-tls1] [-tls1_1] [-tls1_2] [-tls1_3] [-dtls] [-dtls1] [-dtls1_2] [-allow_proxy_certs] [-attime طابع_زمني] [-no_check_time] [-check_ss_sig] [-crl_check] [-crl_check_all] [-explicit_policy] [-extended_crl] [-ignore_critical] [-inhibit_any] [-inhibit_map] [-partial_chain] [-policy وسيط] [-policy_check] [-policy_print] [-purpose غرض] [-suiteB_128] [-suiteB_128_only] [-suiteB_192] [-trusted_first] [-no_alt_chains] [-use_deltas] [-auth_level رقم] [-verify_depth رقم] [-verify_email بريد] [-verify_hostname اسم_المضيف] [-verify_ip عنوان_ip] [-verify_name اسم] [-x509_strict] [-issuer_checks] [-bugs] [-no_comp] [-comp] [-no_ticket] [-serverpref] [-client_renegotiation] [-legacy_renegotiation] [-no_renegotiation] [-no_resumption_on_reneg] [-legacy_server_connect] [-no_legacy_server_connect] [-no_etm] [-allow_no_dhe_kex] [-prefer_no_dhe_kex] [-prioritize_chacha] [-strict] [-sigalgs خوارزميات] [-client_sigalgs خوارزميات] [-groups مجموعات] [-curves منحنيات] [-named_curve منحنى] [-cipher تعميات] [-ciphersuites تعميات_1.3] [-min_protocol أقل_بروتوكول] [-max_protocol أقصى_بروتوكول] [-record_padding حشوة] [-debug_broken_protocol] [-no_middlebox] [-xkey ملف_مدخل] [-xcert ملف] [-xchain ملف] [-xchain_build ملف] [-xcertform DER|PEM]> [-xkeyform DER|PEM]> [-CAfile ملف] [-no-CAfile] [-CApath دليل] [-no-CApath] [-CAstore معرف_المورد] [-no-CAstore] [-rand ملفات] [-writerand ملف] [-engine معرف] [-provider اسم] [-provider-path مسار] [-provparam [الاسم:]مفتاح=قيمة] [-propquery استعلام] [-enable_server_rpk] [-enable_client_rpk]

الوصف

ينفذ هذا الأمر خادم SSL/TLS عاماً يستمع للاتصالات على منفذ معطى باستخدام SSL/TLS.

الخيارات

بالإضافة إلى الخيارات أدناه، يدعم هذا الأمر أيضاً الخيارات المشتركة وخيارات الخادم فقط الموثقة في "أوامر سطر الأوامر المدعومة" في SSL_CONF_cmd(3)

اطبع رسالة الاستخدام.
منفذ TCP المخصص للاستماع للاتصالات. إذا لم يحدد فسيُستخدم المنفذ 4433.
مضيف ومنفذ TCP الاختياريين للاستماع للاتصالات. إذا لم يحددا، فسيُستخدم *:4433.
مقبس نطاق يونكس للقبول عليه.
-4
استخدم IPv4 فقط.
-6
استخدم IPv6 فقط.
لخيار -unix، افصل (unlink) أي مقبس موجود أولاً.
يضبط معرف سياق SSL. يمكن إعطاؤه أي قيمة نصية. إذا لم يوجد هذا الخيار، فستُستخدم قيمة مبدئية.
عمق التحقق المخصص للاستخدام. يحدد هذا أقصى طول لسلسلة شهادات العميل ويجعل الخادم يطلب شهادة من العميل. مع خيار -verify تُطلب شهادة ولكن ليس على العميل إرسال واحدة، أما مع خيار -Verify فيجب على العميل تقديم شهادة وإلا فسيحدث خطأ.

إذا كانت طقم التعمية لا يمكنه طلب شهادة عميل (على سبيل المثال طقم تعمية مجهول أو PSK) فلن يكون لهذا الخيار أي أثر.

بشكل مبدئي، يُجرى التحقق من صحة أي شهادة عميل مقدمة وسلسلتها فيما يتعلق بغرض عميل (D)TLS (‏"sslclient"). للتفاصيل انظر "Certificate Extensions" في openssl-verification-options(1).

الشهادة المخصصة للاستخدام، تتطلب معظم أطقم تعمية الخوادم استخدام شهادة ويتطلب بعضها شهادة بنوع مفتاح عام معين: على سبيل المثال تتطلب أطقم تعمية DSS شهادة تحتوي على مفتاح DSS (DSA). إذا لم يحدد فسيُستخدم اسم الملف server.pem.
ملف الشهادة المخصص للاستخدام لاسم الخادم؛ المبدئي هو "server2.pem".
تنسيق ملف شهادة الخادم؛ غير محدد بشكل مبدئي. انظر openssl-format-options(1) للتفاصيل.
ملف أو معرف مورد لشهادات غير موثوقة للاستخدام عند محاولة بناء سلسلة الشهادات المتعلقة بالشهادة المحددة عبر خيار -cert. تُرسل هذه الشهادات غير الموثوقة إلى العملاء وتُستخدم لتوليد طلبات حالة الشهادة (المعروفة بـ OCSP stapling). يمكن أن يكون المدخل بتنسيق PEM أو DER أو PKCS#12.
حدد ما إذا كان ينبغي للتطبيق بناء سلسلة شهادات الخادم لتقديمها للعميل.
ملف يحتوي على كتلة واحدة أو أكثر من بيانات PEM. يجب أن ترمّز كل كتلة PEM امتداد TLS ServerHello (نوع بحجم 2 بايت، طول بحجم 2 بايت، متبوعاً ببيانات الامتداد بحجم "length" بايت). إذا أرسل العميل امتداد TLS ClientHello فارغاً يطابق النوع، فسيُعاد امتداد ServerHello المقابل.
المفتاح الخاص المخصص للاستخدام. إذا لم يحدد فسيُستخدم ملف الشهادة.
ملف المفتاح الخاص المخصص للاستخدام لاسم الخادم إذا لم يُعطَ عبر -cert2.
تنسيق المفتاح؛ غير محدد بشكل مبدئي. انظر openssl-format-options(1) للحصول على التفاصيل.
مصدر كلمة مرور ملف المفتاح الخاص والشهادة. لمزيد من المعلومات حول تنسيق قيمة، انظر openssl-passphrase-options(1).
حدد شهادة ومفتاحاً خاصاً إضافيين، يسلك هذان الخياران نفس سلوك خياري -cert و -key باستثناء أنه لا توجد قيمة مبدئية إذا لم يحددا (لن تُستخدم شهادة ومفتاح إضافيان). كما لوحظ أعلاه، تتطلب بعض أطقم التعمية شهادة تحتوي على مفتاح من نوع معين. تحتاج بعض أطقم التعمية شهادة تحمل مفتاح RSA وبعضها مفتاح DSS (DSA). باستخدام شهادات ومفاتيح RSA و DSS يمكن للخادم دعم العملاء الذين يدعمون أطقم تعمية RSA أو DSS فقط عبر استخدام شهادة مناسبة.
ملف أو معرف مورد لشهادات غير موثوقة للاستخدام عند محاولة بناء سلسلة شهادات الخادم عند استخدام شهادة محددة عبر خيار -dcert. يمكن أن يكون المدخل بتنسيق PEM أو DER أو PKCS#12.
تنسيق ملف الشهادة الإضافية؛ غير محدد بشكل مبدئي. انظر openssl-format-options(1) للتفاصيل.
تنسيق المفتاح الخاص الإضافي؛ غير محدد بشكل مبدئي. انظر openssl-format-options(1) للتفاصيل.
عبارة المرور للمفتاح الخاص والشهادة الإضافيين. لمزيد من المعلومات حول تنسيق قيمة، انظر openssl-passphrase-options(1).
يختبر الإدخال/الإخراج غير المانع (non blocking).
تُرجم هذا الخيار تغذية السطر من الطرفية إلى CR+LF.
اطبع معلومات تنقيح واسعة النطاق بما في ذلك تفريغ ست عشري لجميع حركة المرور.
اطبع مخرجات إطار عمل أمن SSL/TLS.
اطبع مخرجات أكثر تفصيلًا من إطار عمل أمن SSL/TLS
أظهر جميع رسائل البروتوكول مع تفريغ ست عشري.
الملف الذي سيُرسل إليه مخرجات -msg أو -trace، والمخرجات القياسية هي المبدئية.
يطبع حالات جلسة SSL.
ملف CRL المراد استخدامه.
صيغة ملف CRL؛ غير محددة مبدئيًا. انظر openssl-format-options(1) للتفاصيل.
نزّل قوائم CRL من نقاط التوزيع المذكورة في توسعات CDP للشهادات
ملف بصيغة PEM للمرجع المصدق (CA) يحتوي على شهادات موثوقة لاستخدامها في الاستيثاق من شهادات العميل.
دليل يحتوي على شهادات موثوقة لاستخدامها في الاستيثاق من شهادات العميل. يجب أن يكون هذا الدليل في "صيغة هاش"، انظر openssl-verify(1) لمزيد من المعلومات.
مسار مورد (URI) لمخزن يحتوي على شهادات موثوقة لاستخدامها في الاستيثاق من شهادات العميل.
ملف بصيغة PEM يحتوي على شهادات موثوقة لاستخدامها عند محاولة بناء سلسلة شهادات الخادوم.
دليل يحتوي على شهادات موثوقة لاستخدامها في بناء سلسلة شهادات الخادوم المقدمة للعميل. يجب أن يكون هذا الدليل في "صيغة هاش"، انظر openssl-verify(1) لمزيد من المعلومات.
مسار مورد (URI) لمخزن يحتوي على شهادات موثوقة لاستخدامها في بناء سلسلة شهادات الخادوم المقدمة للعميل. قد يشير المسار إلى شهادة واحدة أو مجموعة منها. مع المسارات التي تتبع مخطط "file:"، يعمل هذا مثل -chainCAfile أو -chainCApath، اعتمادًا على ما إذا كان المسار يشير إلى دليل أو ملف واحد. انظر ossl_store-file(7) لمزيد من المعلومات حول مخطط "file:".
إذا ضُبط هذا الخيار، فلن تُستخدم أي شهادة. يقيد هذا أطقم التعمية المتاحة إلى الأطقم المجهولة (حاليًا DH المجهول فقط).
امنع طباعة معلومات الجلسة والشهادة.
عطّل الخبيئة والتذاكر إذا استخدم (EC)DH الزائل.
اطبع تفريغًا ست عشريًا لأي توسعات TLS مُستلمة من الخادوم.
يرسل رسالة حالة مرة أخرى إلى العميل عند اتصاله. يتضمن ذلك معلومات حول أدوات التعمية المستخدمة ومعاملات الجلسة المختلفة. المخرجات بصيغة HTML لذا يمكن استخدام هذا الخيار مع متصفح الويب. المسار "/renegcert" الخاص يُفعل التحقق من شهادة العميل، و "/reneg" يخبر الخادوم بطلب إعادة التفاوض.
يحاكي خادوم ويب بسيط. سيُحلل مسار الصفحات نسبة إلى الدليل الحالي، على سبيل المثال إذا طُلب المسار "https://myhost/page.html" سيُرسل الملف ./page.html. إذا استُخدمت راية -HTTP، تُرسل الملفات مباشرة، ويجب أن تحتوي على أي ترويسات استجابة HTTP (بما في ذلك سطر استجابة الحالة). إذا استُخدم الخيار -WWW، فإن الخادوم يولد ترويسات الاستجابة، وتُفحص لاحقة الملف لتحديد ترويسة Content-Type. اللواحق "html" و "htm" و "php" هي "text/html" وكل ما سواها هو "text/plain". بالإضافة إلى ذلك، فإن المسار الخاص "/stats" سيرجع معلومات الحالة مثل الخيار -www.
عند العمل كخادوم ويب (باستخدام الخيار -WWW أو -HTTP) افتح الملفات التي يطلبها العميل بالوضع الثنائي.
عطّل إضافة TLS لأسماء المراجع المصدقة (CA Names). قد ترغب في تعطيلها لأسباب أمنية أو للتوافق مع بعض تطبيقات Windows TLS التي تنهار عندما تكون هذه الإضافة أكبر من 1024 بايت.
بعض تطبيقات TLS لا ترسل تنبيه close_notify الإلزامي عند إيقاف التشغيل. إذا حاول التطبيق انتظار تنبيه close_notify ولكن الطرف الآخر أغلق الاتصال دون إرساله، يتم إنشاء خطأ. عند تمكين هذا الخيار، لا يحتاج الطرف الآخر لإرسال تنبيه close_notify وسيُعامل الاتصال المغلق كما لو استُلم التنبيه. لمزيد من المعلومات حول إغلاق الاتصال، انظر SSL_shutdown(3).
اسم الخادوم لتوسعة TLS لاسم المضيف (HostName).
عند عدم تطابق اسم الخادوم أرسل تنبيهًا فادحًا (المبدئي: تنبيه تحذيري).
ولد معرفات جلسة SSL/TLS مسبوقة بـ القيمة. هذا مفيد غالبًا لاختبار أي كود SSL/TLS (مثل الوكلاء) الذي يرغب في التعامل مع خوادم متعددة، عندما يولد كل منها نطاقًا فريدًا من معرفات الجلسات (مثلًا ببادئة معينة).
صدّر مادة المفاتيح باستخدام اللصيقة.
صدّر العدد المعطى من بايتات مادة المفاتيح؛ المبدئي 20.
عطّل خبيئة الجلسة.
عطّل الخبيئة الداخلية، واضبط واستخدم خبيئة خارجية.
أخطاء الاستيثاق عادةً ما تطبع رسالة فقط ولكن تسمح للاتصال بالاستمرار، لأغراض التنقيح. إذا استُخدم هذا الخيار، فإن أخطاء الاستيثاق تغلق الاتصال.
لا مخرجات استيثاق باستثناء أخطاء الاستيثاق.
تجاهل نهاية الملف (EOF) للمدخلات (المبدئي: عند استخدام -quiet).
لا تتجاهل نهاية الملف (EOF) للمدخلات.
عطّل تفاوض السر الرئيس الممتد.
يمكّن دعم طلب حالة الشهادة (المعروف باسم OCSP stapling): يُوفَّر استجابة OCSP لشهادة الورقة (الخادم) إذا طُلب من جانب العميل.
مثل السابق، ولكن بالنسبة للإصدار TLS v1.3 وما بعده، تُوفَّر استجابات الحالة لجميع الشهادات في السلسلة (باستثناء مرساة الثقة) إذا طُلب من جانب العميل.
يمكّن دعم طلب حالة الشهادة (المعروف باسم OCSP stapling) ويعطي مخرجات مطولة لاستجابة OCSP. استخدم خيار -cert_chain لتحديد شهادة موقع شهادة الخادم المطلوبة لطلبات حالة الشهادة.
يضبط مهلة استجابة OCSP إلى int ثانية.
خادم الوكيل HTTP(S) المستخدم للوصول إلى خادم OCSP ما لم ينطبق -no_proxy، انظر أدناه. إذا كانت سلسلة المضيف عنوان IPv6، فيجب وضعها بين "[" و "]". المنفذ المبدئي للوكيل هو 80 أو 443 إذا كان المخطط هو "https"؛ وبصرف النظر عن ذلك، تُتجاهل البادئة الاختيارية "http://" أو "https://"، بالإضافة إلى أي معلومات مستخدم، أو مسار، أو استعلام، أو مكونات مجزأة. القيمة المبدئية هي متغير البيئة "http_proxy" إذا ضُبط، وإلا "HTTP_PROXY" في حال عدم استخدام TLS، وإلا "https_proxy" إذا ضُبط، وإلا "HTTPS_PROXY".
قائمة بعناوين IP و/أو أسماء DNS للخوادم التي لا يجب استخدام وكيل HTTP(S) لها، مفصولة بفواصل و/أو مسافات بيضاء (حيث في الحالة الأخيرة يجب إحاطة المعامل بالكامل بـ "..."). المبدئي هو من متغير البيئة "no_proxy" إذا كان معيناً، وإلا "NO_PROXY".
يضبط عنوان URL للمستجيب الاحتياطي لاستخدامه في حالة عدم وجود عنوان URL للمستجيب في شهادة الخادم. بدون هذا الخيار، يُرجَع خطأ إذا كانت شهادة الخادم لا تحتوي على عنوان مستجيب. تُتجاهل مكونات معلومات المستخدم والمكونات المجزأة الاختيارية في عنوان URL. يُتعامَل مع أي مكون استعلام معطى كجزء من مكون المسار.
يتجاوز أي عناوين URL لمستجيب OCSP من الشهادة ويوفر دائماً استجابة OCSP المخزنة في الملف. يجب أن يكون الملف بتنسيق DER. يمكن استخدام هذا الخيار عدة مرات لتحديد استجابات OCSP لجميع الشهادات في سلسلة شهادات الخادم.
اضبط SSL_CTX باستخدام قيمة الضبط المعطاة.
أظهر مخرجات تتبع مسهبة لرسائل البروتوكول.
يوفر ملخصاً موجزاً لمعاملات الاتصال بدلاً من المخرجات المطولة العادية.
خادم صدى بسيط يرسل النص المستلم معكوساً. يضبط أيضاً خيار -brief. لا يمكن استخدامه جنباً إلى جنب مع -early_data.
تشغيل الوضع غير المتزامن (asynchronous mode). ستُجرى العمليات التعموية بشكل غير متزامن. لن يكون لهذا تأثير إلا إذا استُخدم محرك قادر على العمل بشكل غير متزامن عبر الخيار -engine. لأغراض الاختبار، يمكن استخدام محرك async الوهمي (dasync) (إذا كان متاحاً).
أقصى حجم لقطعة البيانات المراد إرسالها. انظر SSL_CTX_set_max_send_fragment(3) لمزيد من المعلومات.
الحجم المستخدم لتقسيم البيانات لأنابيب التعمية. إذا كُتبت بيانات أكثر دفعة واحدة من هذه القيمة فستُقسم إلى أنابيب متعددة، حتى أقصى عدد من الأنابيب المعرف بواسطة max_pipelines. لن يكون لهذا تأثير إلا إذا تُوفوض على مجموعة تعمية مناسبة، وحُمّل محرك يدعم الأنابيب، وكان max_pipelines أكبر من 1. انظر SSL_CTX_set_split_send_fragment(3) لمزيد من المعلومات.
أقصى عدد من أنابيب التعمية/فك التعمية التي ستُستخدم. لن يكون لهذا تأثير إلا إذا حُمّل محرك يدعم الأنابيب (مثل محرك dasync) وتُوفوض على مجموعة تعمية مناسبة. القيمة المبدئية هي 1. انظر SSL_CTX_set_max_pipelines(3) لمزيد من المعلومات.
سيخرج الخادم بعد استلام عدد محدد من الاتصالات، المبدئي هو غير محدود.
حجم ذاكرة القراءة الوسيطة المبدئي المستخدم للاتصالات. لن يكون لهذا تأثير إلا إذا كان حجم الذاكرة الوسيطة أكبر من الحجم الذي كان سيُستخدم لولا ذلك وكانت تقنية التدفق (pipelining) قيد الاستخدام (انظر SSL_CTX_set_default_read_buffer_len(3) لمزيد من المعلومات).
يعطل دعم إرسال شهادات TLSv1.3 المضغوطة.
يعطّل دعم استقبال شهادات TLSv1.3 المضغوطة.
عطّل تفاوض ضغط TLS. ضغط TLS غير مستحسن وهو معطل مبدئياً اعتباراً من OpenSSL 1.1.0.
التحكم في عدد التذاكر التي ستُرسَل إلى العميل بعد مصافحة كاملة في TLSv1.3. العدد المبدئي للتذاكر هو 2. لا يؤثر هذا الخيار على عدد التذاكر المرسلة بعد مصافحة الاستئناف.
ملف معاملات DH المراد استخدامه. تولد مجموعات تعمية DH المؤقتة مفاتيح باستخدام مجموعة من معاملات DH. إذا لم يُحدَّد، فستُجرى محاولة لتحميل المعاملات من ملف شهادة الخادم. إذا فشل ذلك، فستُستخدَم مجموعة ثابتة من المعاملات المكتوبة برمجياً داخل هذا الأمر.
يشغّل الإدخال/الإخراج غير المانع.
مكن المهلات.
اضبط وحدة النقل القصوى (MTU) لطبقة الارتباط.
توقع أن يرسل العميل هوية PSK هي val عند استخدام مجموعة تعمية PSK، وحذر إذا لم يفعلوا ذلك. بشكل مبدئي، هوية PSK المتوقعة هي السلسلة "Client_identity".
استخدم تلميح هوية PSK المسمى val عند استخدام مجموعة تعمية PSK.
استخدم مفتاح PSK المسمى val عند استخدام مجموعة تعمية PSK. يُعطى المفتاح كعدد سداسي عشري بدون بادئة 0x، على سبيل المثال -psk 1a2b3c4d. يجب توفير هذا الخيار لاستخدام تعمية PSK.
استخدم بيانات SSL_SESSION المرمزة بـ pem والمخزنة في file كأساس لـ PSK. لاحظ أن هذا لن يعمل إلا إذا فُوض على TLSv1.3.
ملف المحقق لـ SRP. هذا الخيار مهجور.
سلسلة بذرة لملحة مستخدم مبدئية. هذا الخيار مهجور.
لا يمكن استخدام هذا الخيار إلا بالتزامن مع أحد خيارات DTLS أعلاه. مع هذا الخيار، سينصت هذا الأمر على منفذ UDP للاتصالات الواردة. ستُفحص أي رسائل ClientHellos تصل للتأكد مما إذا كانت تحتوي على كعكة أم لا. سيُرد على أي رسالة لا تحتوي على كعكة بـ HelloVerifyRequest. إذا استُلمت رسالة ClientHello تحتوي على كعكة، فسيتصل هذا الأمر بذلك الند ويُكمل المصافحة.
استخدم SCTP لبروتوكول النقل بدلاً من UDP في DTLS. يجب استخدامه بالتزامن مع -dtls أو -dtls1 أو -dtls1_2. يتوفر هذا الخيار فقط عندما يكون لدى OpenSSL دعم مفعل لـ SCTP.
استخدم السلوك غير الصحيح لتطبيقات OpenSSL الأقدم عند حساب الأسرار المشتركة لزوج الأطراف لـ DTLS/SCTP. يسمح هذا بالتواصل مع التطبيقات القديمة المعطلة ولكنه يكسر التوافقية مع التطبيقات الصحيحة. يجب استخدامه بالتزامن مع -sctp. يتوفر هذا الخيار فقط عندما يكون لدى OpenSSL دعم مفعل لـ SCTP.
اعرض إدارة مفاتيح SRTP مع قائمة تشكيلات مفصولة بنقطتين.
إذا ضُبط هذا الخيار، فلن تُحمل أي معاملات DH، مما يعطل فعليًا أطقم تعمية DH الزائلة.
تفعل هذه الأعلام ملحق التفاوض على بروتوكول طبقة التطبيق (ALPN) أو التفاوض على البروتوكول التالي (NPN)، على التوالي. ALPN هو معيار IETF ويحل محل NPN. قائمة قيمة هي قائمة مفصولة بفواصل لأسماء البروتوكولات المدعومة. يجب أن تحتوي القائمة على البروتوكولات الأكثر تفضيلاً أولاً. أسماء البروتوكولات هي سلاسل ASCII قابلة للطباعة، على سبيل المثال "http/1.1" أو "spdy/3". لا يمكن تحديد العلم -nextprotoneg إذا استُخدم -tls1_3.
تفعيل Kernel TLS للإرسال والاستقبال. قُدم هذا الخيار في OpenSSL 3.2.0. يكون Kernel TLS معطلاً مبدئيًا اعتبارًا من OpenSSL 3.2.0.
إذا ضُبط هذا الخيار وفُعل KTLS، فسيُستخدم SSL_sendfile() بدلاً من BIO_write() لإرسال استجابة HTTP التي طلبها العميل. هذا الخيار صالح فقط عند تحديد -ktls جنباً إلى جنب مع -WWW أو -HTTP.
إذا ضُبط هذا الخيار، فسيستخدم SSL_sendfile() وضع الإرسال صفري النسخ (zerocopy TX)، مما يعطي دفعة في الأداء عند استخدامه مع تفريغ عتاد KTLS. لاحظ أن سجلات TLS غير صالحة قد تُرسل إذا تغير الملف أثناء إرساله. يعتمد هذا الخيار على -sendfile؛ عند استخدامه بمفرده، يُفترض -sendfile ويُعرض تحذير. لاحظ أن KTLS sendfile على FreeBSD يعمل دائماً في وضع النسخ الصفري.
يلحق أسرار TLS لملف سجل المفاتيح المحدد بحيث تتمكن البرامج الخارجية (مثل Wireshark) من فك تعمية اتصالات TLS.
يغير الحد الأقصى المبدئي لبايتات البيانات المبكرة المحددة للجلسات الجديدة وأي بيانات مبكرة واردة (عند استخدامه بالتزامن مع علم -early_data). القيمة المبدئية هي 16 ألفاً تقريباً. يجب أن يكون المعامل عدداً صحيحاً أكبر من أو يساوي 0.
يحدد الحد الصارم لأقصى عدد من بايتات البيانات المبكرة التي ستُقبل.
اقبل البيانات المبكرة حيثما أمكن ذلك. لا يمكن استخدامه بالتزامن مع -www، أو -WWW، أو -HTTP، أو -rev.
يتطلب كعكات TLSv1.3.
يشغل أو يوقف الحماية من إعادة التشغيل، على التوالي. تكون الحماية من إعادة التشغيل مفعلة مبدئيًا ما لم يتجاوزها ملف إعداد. عندما تكون مفعلة، سيكتشف OpenSSL آليًا ما إذا كانت تذكرة الجلسة قد استُخدمت أكثر من مرة، وفُوّض TLSv1.3، وفُعّلت البيانات المبكرة على الخادم. تُفرض مصافحة كاملة إذا استُخدمت تذكرة الجلسة للمرة الثانية أو المرات اللاحقة. ستُرفض أي بيانات مبكرة أُرسلت.
تفعيل قبول اتصالات TCP Fast Open (RFC7413).
يضغط الشهادات مسبقًا (RFC8879) التي ستُرسل أثناء المصافحة.
يحدد هذا كيفية عرض أسماء الموضوع أو المصدر. انظر openssl-namedisplay-options(1) للحصول على التفاصيل.
انظر "خيارات إصدار TLS" في openssl(1).
تحدد هذه استخدام DTLS بدلاً من TLS. انظر "خيارات إصدار TLS" في openssl(1).
انظر "SUPPORTED COMMAND LINE COMMANDS" في SSL_CONF_cmd(3) للتفاصيل.
اضبط خيارات التحقق الموسعة من الشهادة. انظر "Extended Verification Options" في openssl-verification-options(1) للتفاصيل.
انظر "Trusted Certificate Options" في openssl-verification-options(1) للتفاصيل.
انظر "خيارات الحالة العشوائية" في openssl(1) لمزيد من التفاصيل.
انظر "خيارات المحرك" في openssl(1). هذا الخيار مهجور.
انظر "خيارات المزود" في openssl(1)، و provider(7)، و property(7).
اضبط خيارات متنوعة للتحقق من سلسلة الشهادات. انظر "خيارات التحقق" في openssl-verification-options(1) للحصول على التفاصيل.

إذا طلب الخادم شهادة عميل، فستُعرض أخطاء التحقق، لغرض التنقيح، ولكن الأمر سيستمر ما لم يُستخدم الخيار -verify_return_error.

تفعيل دعم إرسال المفاتيح العامة الخام (RFC7250) إلى العميل. سيُرسل الخادم مفتاحاً عاماً خاماً إذا طلبه العميل، شريطة ضبط زوج مناسب من المفاتيح والشهادات العامة. يمكن للعملاء الذين لا يدعمون المفاتيح العامة الخام أو يفضلون استخدام شهادات X.509 اختيار استلام شهادات X.509 كالمعتاد.

تُستخرج المفاتيح العامة الخام من الشهادة/المفتاح الخاص المضبوط.

تفعيل دعم استقبال المفاتيح العامة الخام (RFC7250) من العميل. يصبح استخدام شهادات X.509 من قبل العميل اختيارياً، وقد يختار العملاء الذين يدعمون المفاتيح العامة الخام استخدامها. يمكن للعملاء الذين لا يدعمون المفاتيح العامة الخام أو يفضلون استخدام شهادات X.509 اختيار إرسال شهادات X.509 كالمعتاد.

تُستخرج المفاتيح العامة الخام من الشهادة/المفتاح الخاص المضبوط.

الأوامر المتصلة

إذا أُنشئ طلب اتصال مع عميل SSL ولم يُستخدم أي من الخيارين -www أو -WWW، فعادةً ما تُعرض أي بيانات مستلمة من العميل وتُرسل أي ضغطات مفاتيح إلى العميل.

يُتعرف أيضاً على أوامر معينة تؤدي عمليات خاصة. هذه الأوامر عبارة عن حرف يجب أن يظهر في بداية السطر. وهي مدرجة أدناه.

أنهِ اتصال SSL الحالي مع الاستمرار في قبول اتصالات جديدة.
أنهِ اتصال SSL الحالي واخرج.
أعد التفاوض على جلسة SSL (TLSv1.2 وما قبله فقط).
أعد التفاوض على جلسة SSL واطلب شهادة عميل (TLSv1.2 وما قبله فقط).
أرسل نصًا مجردًا عبر اتصال TCP الأساسي: من المفترض أن يؤدي هذا إلى فصل العميل بسبب انتهاك البروتوكول.
اطبع بعض معلومات حالة خبيئة الجلسة.
أرسل رسالة تحديث مفتاح إلى العميل (TLSv1.3 فقط)
أرسل رسالة تحديث مفتاح إلى العميل واطلب واحدة بالمقابل (TLSv1.3 فقط)
أرسل طلب شهادة إلى العميل (TLSv1.3 فقط)

ملاحظات

يمكن استخدام هذا الأمر لتنقيح عملاء SSL. لقبول الاتصالات من متصفح ويب، يمكن استخدام الأمر:

openssl s_server -accept 443 -www

على سبيل المثال.

على الرغم من أن تحديد قائمة فارغة من سلطات التصديق (CAs) عند طلب شهادة عميل يعد انتهاكًا للبروتوكول بالمعنى الدقيق، إلا أن بعض عملاء SSL يفسرون ذلك على أن أي سلطة تصديق مقبولة. وهذا مفيد لأغراض التنقيح.

يمكن طباعة معلمات الجلسة باستخدام أمر openssl-sess_id(1).

العلل

نظرًا لأن هذا البرنامج يحتوي على الكثير من الخيارات وأيضًا لأن بعض التقنيات المستخدمة قديمة نوعًا ما، فإن كود مصدر C لهذا الأمر يصعب قراءته ولا يعد نموذجًا لكيفية القيام بالأشياء. أي برنامج خادم SSL نموذجي سيكون أبسط بكثير.

مخرجات الشفرات المشتركة خاطئة: فهي تعطي فقط قائمة الشفرات التي يتعرف عليها OpenSSL ويدعمها العميل.

يجب أن تكون هناك طريقة لهذا الأمر لطباعة تفاصيل أي مجموعات شفرات غير معروفة يذكر العميل أنه يدعمها.

انظر أيضًا

openssl(1), openssl-sess_id(1), openssl-s_client(1), openssl-ciphers(1), SSL_CONF_cmd(3), SSL_CTX_set_max_send_fragment(3), SSL_CTX_set_split_send_fragment(3), SSL_CTX_set_max_pipelines(3), ossl_store-file(7)

التاريخ

أُضيف الخيار -no_alt_chains في OpenSSL 1.1.0.

أُضيفت الخيارات -allow-no-dhe-kex و -prioritize_chacha في OpenSSL 1.1.1.

أُهملت الخيارات -srpvfile و -srpuserseed و -engine في OpenSSL 3.0.

أُضيفت الخيارات -enable_client_rpk و -enable_server_rpk و -no_rx_cert_comp و -no_tx_cert_comp و -tfo في OpenSSL 3.2.

أُضيف الخيار -status_all في OpenSSL 3.6.

حقوق النسخ

حقوق النشر 2000-2025 لمؤلفي مشروع OpenSSL. جميع الحقوق محفوظة.

مرخص بموجب رخصة Apache 2.0 (المشار إليها فيما يلي بـ ”الرخصة“). لا يجوز لك استخدام هذا الملف إلا وفقًا لشروط الرخصة. يمكنك الحصول على نسخة منها في الملف LICENSE الموجود في حزمة التوزيع المصدرية أو على الرابط https://www.openssl.org/source/license.html.

ترجمة

تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>

هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.

إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.

7 أبريل 2026 3.6.2