OPENSSL(1ssl) OpenSSL OPENSSL(1ssl)

openssl - program wiersza poleceń do biblioteki OpenSSL

openssl polecenie [ opcje ... ] [ parametry ... ]

openssl no-XXX [ opcje ]

openssl -help | -version

OpenSSL to zestaw narzędzi kryptograficznych implementujący protokoły sieciowe Secure Sockets Layer (SSL) i Transport Layer Security (TLS) oraz wymagane przez nie standardy kryptograficzne.

The openssl program is a command line program for using the various cryptography functions of OpenSSL's crypto library from the shell. It can be used for

o Tworzenia i zarządzania kluczami prywatnymi, publicznymi i ich parametrami
o Operacji kryptograficznych na kluczach publicznych
o Wystawiania certyfikatów X.509, CSR oraz CRL
o Obliczania skrótów wiadomości i kodów uwierzytelniania wiadomości
o Szyfrowania i deszyfrowania
o Testowania klientów i serwerów SSL/TLS
o Obsługi poczty z podpisem S/MIME lub zaszyfrowanej
o Generowania i weryfikowania żądań znaczników czasowych

Program openssl dostarcza wielu różnych poleceń (polecenie w rozdziale „SKŁADNIA” powyżej). Każde ma mnóstwo opcji i argumentów, pokazanych powyżej jako opcje i parametry.

Dostępna jest szczegółowa dokumentacja i przykłady użycia dla najpopularniejszych podpoleceń (np. openssl-x509(1)). Podpoleceniem openssl-list(1) można wypisać listę podpoleceń.

Polecenie no-XXX sprawdza obecność polecenia o podanej nazwie. Jeśli XXX nie jest dostępne, zwraca 0 (kod powodzenia) i wypisuje no-XXX; w przeciwnym razie zwraca 1 i wypisuje XXX. W obydwu przypadkach efekty są kierowane na standardowe wyjście i nic nie pojawia się na standardowym wyjściu błędów. Dodatkowe argumenty wiersza poleceń są zawsze ignorowane. Ponieważ każdy szyfr jest wywoływany przez polecenie o takiej samej nazwie jak on sam, łatwo sprawdzić dostępność szyfrów w openssl z poziomu powłoki. (no-XXX nie potrafi wykrywać pseudopoleceń takich jak quit, list, czy samego no-XXX).

Wiele poleceń korzysta z zewnętrznego pliku konfiguracyjnego do kilku lub wszystkich argumentów i może posiadać opcję -config określającą taki plik. Domyślną nazwą pliku jest openssl.cnf w domyślnym miejscu przechowywania certyfikatów, który można sprawdzić poleceniem openssl-version(1) z opcją -d lub -a. Zmienna środowiskowa OPENSSL_CONF może posłużyć do określenia innego położenia pliku lub wyłączenia ładowania konfiguracji (podając pusty łańcuch).

Plik konfiguracyjny może być używany między innymi do ładowania modułów i określania parametrów do generowania certyfikatów oraz liczb losowych. Więcej szczegółów w podręczniku config(5).

Analiza składni sekwencji ANS.1.
Zarządzanie ośrodkami certyfikacji (CA).
Opis zestawu dostępnych szyfrów.
Polecenie CMS (Cryptographic Message Syntax).
Zarządzanie listą unieważnionych certyfikatów (CRL).
Konwersja z CRL do PKCS#7.
Obliczanie skrótu wiadomości. Skróty wiadomości zostały zastąpione przez openssl-mac(1).
Tworzenie i zarządzanie parametrami Diffiego-Hellmana. Zastąpione przez genpkey(1) i pkeyparam(1).
Zarządzanie danymi DSA.
Tworzenie i zmienianie DSA. Zastąpione przez openssl-genpkey(1) i openssl-pkeyparam(1).
Przetwarzanie klucza EC (Elliptic curve - krzywych eliptycznych).
Tworzenie i zmienianie parametrów EC.
Szyfrowanie, odszyfrowywanie i kodowanie.
Informacja o silnikach (modułach ładowalnych) i zarządzanie nimi.
Konwersja numeru błędu na komunikat błędu.
Instalacja konfiguracji FIPS.
Tworzenie prywatnego klucza DSA na podstawie parametrów. Zastąpione openssl-genpkey(1) i openssl-pkey(1).
Tworzenie kluczy prywatnych lub parametrów.
Tworzenie klucza prywatnego RSA. Zastąpione przez openssl-genpkey(1).
Display information about a command's options.
Wyświetlenie różnych informacji wbudowanych w biblioteki OpenSSL.
Key Derivation Functions – funkcje wyprowadzania klucza.
Wypisanie algorytmów i funkcji.
Obliczanie Message Authentication Code – kodu uwierzytelniania wiadomości.
Tworzenie lub sprawdzanie sekwencji certyfikatów Netscape.
Polecenie protokołu stanu certyfikatu.
Generowanie skrótu hasła.
Zarządzanie danymi w formacie PKCS#12.
Zarządzanie danymi w formacie PKCS#7.
Polecenie konwersji klucza prywatnego w formacie PKCS#8.
Zarządzanie kluczami publicznymi i prywatnymi
Zarządzanie parametrami algorytmu klucza publicznego.
Polecenie operacji algorytmu kryptograficznego klucza publicznego.
Obliczanie liczb pierwszych.
Tworzenie pseudolosowych bajtów.
Tworzenie dowiązań symbolicznych do certyfikatów i plików CRL nazwanych według wartości skrótu.
Zarządzanie żądaniami podpisu certyfikatu PKCS#10 X.509 (CSR).
Zarządzanie kluczem RSA.
Polecenie do podpisywania, weryfikowania, szyfrowania i deszyfrowania RSA. Zastąpione przez openssl-pkeyutl(1).
This implements a generic SSL/TLS client which can establish a transparent connection to a remote server speaking SSL/TLS. It's intended for testing purposes only and provides only rudimentary interface functionality but internally uses mostly all functionality of the OpenSSL ssl library.
This implements a generic SSL/TLS server which accepts connections from remote clients speaking SSL/TLS. It's intended for testing purposes only and provides only rudimentary interface functionality but internally uses mostly all functionality of the OpenSSL ssl library. It provides both an own command line oriented protocol for testing SSL functions and a simple HTTP response facility to emulate an SSL/TLS-aware webserver.
Licznik czasu połączenia SSL.
Zarządzanie danymi sesji SSL.
Przetwarzanie poczty S/MIME.
Mierzenie szybkości algorytmu.
Polecenie wypisywania i generowania SPKAC.
Zarządzanie plikiem haseł SRP. To polecenie jest przestarzałe.
Polecenie do wypisywania i wyświetlania certyfikatów, kluczy, CRL-i itp.
Polecenie Time Stamping Authority.
Weryfikacja certyfikatu X.509. Zob. też podręcznik openssl-verification-options(1).
Informacja o wersji OpenSSL.
Zarządzanie certyfikatami X.509.

Skrót BLAKE2b-512
Skrót BLAKE2s-256
Skrót MD2
Skrót MD4
Skrót MD5
Skrót MDC2
Skrót RMD-160
Skrót SHA-1
Skrót SHA-2 224
Skrót SHA-2 256
Skrót SHA-2 384
Skrót SHA-2 512
Skrót SHA-3 224
Skrót SHA-3 256
Skrót SHA-3 384
Skrót SHA-3 512
Skrót KECCAK 224
Skrót KECCAK 256
Skrót KECCAK 384
Skrót KECCAK 512
Skrót SHA-3 SHAKE128
Skrót SHA-3 SHAKE256
Skrót SM3

Poniższe aliasy zapewniają wygodny dostęp do najpopularniejszych kodowań i szyfrów.

W zależności od sposobu skonfigurowania i zbudowania OpenSSL, nie wszystkie poniższe szyfry mogą być obecne. Więcej informacji w podręczniku openssl-enc(1).

Szyfr AES-128
Szyfr AES-192
Szyfr AES-256
Szyfr Aria-128
Szyfr Aria-192
Szyfr Aria-256
Kodowanie Base64
Szyfr Blowfish
Szyfr Camellia-128
Szyfr Camellia-192
Szyfr Camellia-256
Szyfr CAST
Szyfr CAST5
Szyfr Chacha20
Szyfr DES
Szyfr Triple-DES
Szyfr IDEA
Szyfr RC2
Szyfr RC4
Szyfr RC5
Szyfr SEED
Szyfr SM4

Dostępne opcje zależą od konkretnego polecenia. Niniejszy rozdział opisuje najczęstsze opcje z ich standardowym zachowaniem.

Poniższe opcje można podać bez polecenia, aby uzyskać pomoc lub informacje o wersji.

Pokazuje zwięzłe podsumowanie wszystkich opcji. Więcej szczegółowych informacji dostarczy opcja -help danego polecenia. Przyjmuje również postać --help.
Pokazuje zwięzłe podsumowanie wersji programu openssl. Zob. openssl-version(1), aby uzyskać więcej informacji. Przyjmuje również postać --version.

Jeśli opcja przyjmuje argument, podany jest również jego „typ”.
--
W ten sposób zamyka się listę opcji. Najbardziej przydatne, gdy jakiś parametr z nazwą pliku zaczyna się od minusa: 
openssl verify [flagi...] -- -cert1.pem...

Zob. podręcznik openssl-format-options(1).

Zob. podręcznik openssl-passphrase-options(1).

Przed OpenSSL 1.1.1, częstą praktyką było przechowywanie informacji o stanie generatora liczb losowych w pliku, który był ładowany przy starcie i nadpisywany przy wyjściu. We współczesnych systemach operacyjnych zwykle nie jest to dłużej konieczne, ponieważ OpenSSL pobierze ziarno z zaufanego źródła entropii, zapewnionego przez system operacyjny. Poniższe opcje są wciąż obsługiwane w celu obsługi specjalnych platfor lub przypadków, które mogą ich wymagać.

Zwykle błędem jest używanie tego samego pliku z ziarnem więcej niż jednokrotnie, a każde zastosowanie -rand powinno być połączone z -writerand.

Plik lub pliki z danymi losowymi używanymi jako ziarno do generatora liczb losowych. Można podać wiele plików, rozdzielając je separatorem zależnym od używanego systemu operacyjnego. Separatorem jest: „;” w MS-Windows, „,” w OpenVMS i „:” we wszystkich pozostałych systemach. Innym sposobem podania wielu plików jest podanie tej opcji dla każdego pliku z osobna.
Zapisuje dane ziarna do podanego pliku przy wyjściu. Pliku można użyć przy kolejnym wywołaniu polecenia.

Zob. podręcznik openssl-verification-options(1).

Zob. podręcznik openssl-namedisplay-options(1).

Wiele poleceń używa SSL, TLS lub DTLS. Domyślnie polecenia używają TLS, a klienty informują o najniższej i najwyższej obsługiwanej przez nie wersji, po czym serwery wybierają najwyższą wersję oferowaną przez klienta, którą obsługuje również serwer.

Poniższych opcji można użyć, aby ograniczyć wersje protokołu, jakich będzie można użyć oraz aby wybrać, czy będzie stosowane TCP (SSL i TLS) czy UDP (DTLS). Proszę zauważyć, że nie wszystkie protokoły i opcje mogą być dostępne, w zależności od sposobu, w jaki zbudowano OpenSSL.

Opcje te wymagają lub wyłączają korzystanie z podanych protokołów SSL lub TLS. Gdy wymagana jest określona wersja TLS, tylko ona zostanie zaoferowana lub zaakceptowana. Można podać tylko jeden protokół i nie można go łączyć z żadną z opcji no_. Opcje no_* nie działają z poleceniami s_time i ciphers, lecz działają z poleceniami s_client i s_server.
Opcje te nakazują stosowanie DTLS zamiast TLS. Z -dtls, klienty będą negocjować dowolną obsługiwaną wersję protokołu DTLS. Aby obsługiwać wyłącznie DTLS1.0 lub DTLS1.2, należy zastosować, odpowiednio, -dtls1 lub -dtls1_2.

Ładuje silnik o identyfikatorze id i używa wszystkich metod przez niego implementowanych (algorytmów, przechowywania kluczy itp.), o ile nie podano inaczej w dokumentacji danego polecenia, albo nie jest tak skonfigurowany, zgodnie z opisem „Konfiguracja silnika” w config(5).

Silnik zostanie użyty do identyfikatorów kluczy podanych opcją -key i podobnymi opcjami, gdy poda się opcję taką jak -keyform engine.

Specjalnym przypadkiem jest silnik „loader_attic”, który jest przeznaczony do wewnętrznych testów OpenSSL i obsługuje ładowanie kluczy, parametrów, certyfikatów i CRL-i z plików. Gdy korzysta się z tego silnika, pliki z takimi poświadczeniami są odczytywane poprzez ten silnik. Korzystanie z postaci „file:” jest opcjonalne, wystarczy sam plik (ścieżka).

Opcje określające klucze, takie jak -key i podobne, mogą korzystać z podstawowej postaci URI ładowania kluczy silnika OpenSSL „org.openssl.engine:”, aby pobierać klucze prywatne i publiczne. Składnia URI jest następująca, w uproszczonej postaci:

org.openssl.engine:{id-silnika}:{id-klucza}

Where "{engineid}" is the identity/name of the engine, and "{keyid}" is a key identifier that's acceptable by that engine. For example, when using an engine that interfaces against a PKCS#11 implementation, the generic key URI would be something like this (this happens to be an example for the PKCS#11 engine that's part of OpenSC):

-key org.openssl.engine:pkcs11:label_jakis-klucz-prywatny

Jako trzecia możliwość, silniki i dostawcy zapewniający swoje własne OSSL_STORE_LOADER(3), nie wymagają „org.openssl.engine:”. W przypadku implementacji PKCS#11, która zaimplementowała taki mechanizm ładujący, URI PKCS#11, zgodne z definicją z RFC 7512, powinno dać się stosować bezpośrednio:

-key pkcs11:object=jakis-klucz-prywatny;pin-value=1234

Ładuje i inicjuje dostawcę identyfikowanego nazwą. Nazwa może być również ścieżką do modułu dostawcy. W takim przypadku, nazwą dostawcy będzie podana ścieżka, a nie sama nazwa modułu dostawcy. Interpretacja ścieżek względnych zależy od platformy. Skonfigurowana ścieżka „MODULESDIR”, zmienna środowiskowa OPENSSL_MODULES lub ścieżka podana przez -provider-path jest dołączana przed ścieżkami względnymi. Więcej szczegółów w podręczniku provider(7).
Określa ścieżkę przeszukiwania, pod którą wyszukiwani są dostawcy. Równoważnie można ustawić zmienną środowiskową OPENSSL_MODULES.
Ustawia parametr konfiguracyjny klucz na wartość wartość u dostawcy nazwa (opcjonalne); jeśli nie poda się nazwy, to ustawienie zostanie zastosowane do wszystkich dostawców. Opcję można podać wielokrotnie, aby ustawić wiele parametrów. Opcje określające ładowanie dostawców innych niż domyślni, powinny poprzedzać niniejszą opcję, jeśli mają się stosować do mających być załadowanych dostawców. Parametry wpływające tylko na inicjowanie dostawców muszą być, obecnie, ustawione w pliku konfiguracyjnym, jedynie parametry, które są odpytywane jako potrzebne później, będą odnosiły skutek za pomocą opisywanego interfejsu. Obsługiwane są tylko parametry z wartościami łańcuchów UTF8. Obsługiwane parametry opisano w dokumentacji danych dostawców i powiązanych algorytmów.
Określa klauzulę zapytań o właściwości do użycia przy pobieraniu algorytmów od załadowanych dostawców. Więcej informacji w podręczniku property(7)

ŚRODOWISKO

Biblioteki OpenSSL mogą przyjmować pewne parametry konfiguracyjne ze środowiska.

Informacje o wszystkich zmiennych środowiskowych używanych przez biblioteki OpsnSSL, takie jak OPENSSL_CONF, OPENSSL_MODULES i OPENSSL_TRACE, znajdują się w podręczniku openssl-env(7).

Informacje o sposobach stosowania zmiennych środowiskowych w konfiguracji, opisano w rozdziale „środowisko” w podręczniku config(5).

Informacje o określonych poleceniach opisano w podręcznikach openssl-engine(1), openssl-rehash(1) i tsget(1).

Informacje o odpytywaniu lub podawaniu flag architektury procesora opisano w podręcznikach OPENSSL_ia32cap(3), OPENSSL_s390xcap(3) i OPENSSL_riscvcap(3).

openssl-asn1parse(1), openssl-ca(1), openssl-ciphers(1), openssl-cms(1), openssl-crl(1), openssl-crl2pkcs7(1), openssl-dgst(1), openssl-dhparam(1), openssl-dsa(1), openssl-dsaparam(1), openssl-ec(1), openssl-ecparam(1), openssl-enc(1), openssl-engine(1), openssl-errstr(1), openssl-gendsa(1), openssl-genpkey(1), openssl-genrsa(1), openssl-kdf(1), openssl-list(1), openssl-mac(1), openssl-nseq(1), openssl-ocsp(1), openssl-passwd(1), openssl-pkcs12(1), openssl-pkcs7(1), openssl-pkcs8(1), openssl-pkey(1), openssl-pkeyparam(1), openssl-pkeyutl(1), openssl-prime(1), openssl-rand(1), openssl-rehash(1), openssl-req(1), openssl-rsa(1), openssl-rsautl(1), openssl-s_client(1), openssl-s_server(1), openssl-s_time(1), openssl-sess_id(1), openssl-smime(1), openssl-speed(1), openssl-spkac(1), openssl-srp(1), openssl-storeutl(1), openssl-ts(1), openssl-verify(1), openssl-version(1), openssl-x509(1), config(5), crypto(7), openssl-env(7). ssl(7), x509v3_config(5)

Opcje list -XXX-algorytmy dodano w OpenSSL 1.0.0; informacje o dostępności innych poleceń opisano w poszczególnych podręcznikach systemowych.

Opcja -issuer_checks została uznana za przestarzałą według stanu na OpenSSL 1.1.0 i jest po cichu ignorowana.

Opcje -xcertform i -xkeyform są przestarzałe od OpenSSL 3.0 i nie odnoszą skutku.

Tryb interaktywny, który można było przywołać uruchamiając „openssl” bez żadnych argumentów, usunięto w OpenSSL 3.0; obecnie uruchomienie programu bez argumentów odpowiada podaniu „openssl help”.

Copyright 2000-2025 The OpenSSL Project Authors. Wszystkie prawa zastrzeżone.

Licencjonowane na warunkach licencji Apache License 2.0 („Licencja”) Korzystanie dozwolone tylko w zgodzie z Licencją. Jej kopia jest dostępna w pliku LICENSE w źródłach lub na stronie https://www.openssl.org/source/license.html.

Tłumaczenie niniejszej strony podręcznika: Daniel Koć <kocio@linuxnews.pl>, Robert Luberda <robert@debian.org> i Michał Kułach <michal.kulach@gmail.com>

Niniejsze tłumaczenie jest wolną dokumentacją. Bliższe informacje o warunkach licencji można uzyskać zapoznając się z GNU General Public License w wersji 3 lub nowszej. Nie przyjmuje się ŻADNEJ ODPOWIEDZIALNOŚCI.

Błędy w tłumaczeniu strony podręcznika prosimy zgłaszać na adres listy dyskusyjnej manpages-pl-list@lists.sourceforge.net.

5 sierpnia 2025 r. 3.5.2