abc/GmSSL
1
0
Fork 0
mirror of https://github.com/guanzhi/GmSSL.git synced 2026-05-07 00:46:17 +08:00
Code Issues Packages Projects Releases Wiki Activity

translation

Browse Source
This commit is contained in:
Liu Shaotong
2017-07-18 10:25:09 +08:00
committed by Simon
parent 407dd6bc64
commit 480b9e8d88
7 changed files with 676 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

38
doc/apps/pkey.pod
View File

@@ -30,6 +30,9 @@ B<gmssl> B<pkey>
The B<pkey> command processes public or private keys. They can be converted
between various forms and their components printed out.
pkey指令处理公钥或者私钥。
它们可以在各种形式之间进行转换,并将其组件打印出来。
=head1 OPTIONS
=over 4
@@ -38,26 +41,37 @@ between various forms and their components printed out.
Print out a usage message.
打印使用信息。
=item B<-inform DER|PEM>
This specifies the input format DER or PEM.
该选项指出了输入格式是DER还是PEM。
=item B<-outform DER|PEM>
This specifies the output format, the options have the same meaning as the
B<-inform> option.
该选项指出了输出格式,与-inform意义相同。
=item B<-in filename>
This specifies the input filename to read a key from or standard input if this
option is not specified. If the key is encrypted a pass phrase will be
prompted for.
如果该选项没有被指定,则指定从密钥中读取输入文件名或者标准输入。
如果密钥被加密,将提示输入密码。
=item B<-passin arg>
the input file password source. For more information about the format of B<arg>
see the B<PASS PHRASE ARGUMENTS> section in L<gmssl(1)>.
输入文件的密码来源。有关arg格式的更多信息请参阅gmssl1中的PASS PHRASE ARGUMENTS部分。
=item B<-out filename>
This specifies the output filename to write a key to or standard output if this
@@ -65,46 +79,67 @@ option is not specified. If any encryption options are set then a pass phrase
will be prompted for. The output filename should B<not> be the same as the input
filename.
如果未指定此选项,则指定将密钥写入或输出的输出文件名。 如果设置了任何加密选项,
则会提示输入密码。 输出文件名不能与输入文件名相同。
=item B<-passout password>
the output file password source. For more information about the format of B<arg>
see the B<PASS PHRASE ARGUMENTS> section in L<gmssl(1)>.
输出文件的密码来源。有关arg格式的更多信息请参阅gmssl(1)中的PASS PHARSE ARGUMENTS部分。
=item B<-traditional>
normally a private key is written using standard format: this is PKCS#8 form
with the appropriate encryption algorithm (if any). If the B<-traditional>
option is specified then the older "traditional" format is used instead.
通常使用标准格式写入私钥这是具有适当加密算法如果有的话的PKCS8表单。
如果指定了-traditional选项则使用较旧的“traditional”格式。
=item B<-cipher>
These options encrypt the private key with the supplied cipher. Any algorithm
name accepted by EVP_get_cipherbyname() is acceptable such as B<des3>.
这些选项使用提供的密码加密私钥。 EVP_get_cipherbyname接受的任何算法名称都可以接受如des3。
=item B<-text>
prints out the various public or private key components in
plain text in addition to the encoded version.
除了编码版本之外,以纯文本形式打印各种公共或私人密钥组件。
=item B<-text_pub>
print out only public key components even if a private key is being processed.
即使正在处理私钥,也打印公钥组件。
=item B<-noout>
do not output the encoded version of the key.
不打印出密钥的编码版本信息。
=item B<-pubin>
by default a private key is read from the input file: with this
option a public key is read instead.
默认从输入文件读取一个私钥:使用该选项后则变为读取一个公钥。
=item B<-pubout>
by default a private key is output: with this option a public
key will be output instead. This option is automatically set if
the input is a public key.
默认是输出一个私钥:使用该选项后则变为输出一个公钥。如果输入是公钥则该选项会自动设置。
=item B<-engine id>
specifying an engine (by its unique B<id> string) will cause B<pkey>
@@ -112,6 +147,9 @@ to attempt to obtain a functional reference to the specified engine,
thus initialising it if needed. The engine will then be set as the default
for all available algorithms.
指定要使用的硬件引擎。指定一个引擎通过其唯一的id字符串将导致pkey尝试获取对指定引擎的功能引用
,从而如果需要的话初始化它。 然后,引擎将被设置为所有可用算法的默认值。
=back
=head1 EXAMPLES

16
doc/apps/rand.pod
View File

@@ -25,6 +25,10 @@ in addition to the files given in the B<-rand> option. A new
I<$HOME>/B<.rnd> or B<.rnd> file will be written back if enough
seeding was obtained from these sources.
rand命令在播放随机数生成器一次后输出num伪随机字节。 与其他gmssl命令行工具一样
除了-rand选项中提供的文件外PRNG种子使用文件$ HOME / .rnd或.rnd。
如果从这些来源获得足够的播种,将会写入新的$ HOME / .rnd或.rnd文件。
=head1 OPTIONS
=over 4
@@ -33,10 +37,14 @@ seeding was obtained from these sources.
Print out a usage message.
输出使用信息
=item B<-out> I<file>
Write to I<file> instead of standard output.
写入file而不是标准输出。
=item B<-rand> I<file(s)>
Use specified file or files or EGD socket (see L<RAND_egd(3)>)
@@ -45,14 +53,22 @@ Multiple files can be specified separated by an OS-dependent character.
The separator is B<;> for MS-Windows, B<,> for OpenVMS, and B<:> for
all others.
使用指定的文件或EGD套接字请参阅RAND_egd3播放随机数生成器。
多个文件可以由与操作系统相关的字符分隔。 分离器是 对于MS-Windows对于OpenVMS
,以及:对于所有其他。
=item B<-base64>
Perform base64 encoding on the output.
在输出上执行base64编码。
=item B<-hex>
Show the output as a hex string.
将输出显示为十六进制字符串。
=back
=head1 SEE ALSO

161
doc/apps/s_client.pod
View File

@@ -113,6 +113,8 @@ The B<s_client> command implements a generic SSL/TLS client which connects
to a remote host using SSL/TLS. It is a I<very> useful diagnostic tool for
SSL servers.
s_client命令实现使用SSL / TLS连接到远程主机的通用SSL / TLS客户端。 它是SSL服务器非常有用的诊断工具。
=head1 OPTIONS
In addition to the options below the B<s_client> utility also supports the
@@ -120,62 +122,88 @@ common and client only options documented in the
in the "Supported Command Line Commands" section of the L<SSL_CONF_cmd(3)>
manual page.
除了以下选项之外s_client实用程序还支持SSL_CONF_cmd3手册页的“支持的命令行命令”部分中记录的通用和客户端选项。
=over 4
=item B<-help>
Print out a usage message.
输出使用信息。
=item B<-connect host:port>
This specifies the host and optional port to connect to. If not specified
then an attempt is made to connect to the local host on port 4433.
这指定要连接的主机和可选端口。 如果未指定则尝试连接到端口4433上的本地主机。
=item B<-proxy host:port>
When used with the B<-connect> flag, the program uses the host and port
specified with this flag and issues an HTTP CONNECT command to connect
to the desired server.
当与-connect标志一起使用时程序使用由该标志指定的主机和端口并发出HTTP CONNECT命令连接到所需的服务器。
=item B<-unix path>
Connect over the specified Unix-domain socket.
连接指定的Unix域套接字。
=item B<-4>
Use IPv4 only.
仅使用IPv4。
=item B<-6>
Use IPv6 only.
仅使用IPv6.
=item B<-servername name>
Set the TLS SNI (Server Name Indication) extension in the ClientHello message.
在ClientHello消息中设置TLS SNI服务器名称指示扩展。
=item B<-cert certname>
The certificate to use, if one is requested by the server. The default is
not to use a certificate.
要使用的证书,如果是服务器请求的。 默认情况下不使用证书。
=item B<-certform format>
The certificate format to use: DER or PEM. PEM is the default.
使用的证书格式DER或PEM。 PEM是默认值。
=item B<-key keyfile>
The private key to use. If not specified then the certificate file will
be used.
使用私钥。 如果未指定,则将使用证书文件。
=item B<-keyform format>
The private format to use: DER or PEM. PEM is the default.
要使用的私有格式DER或PEM。 PEM是默认值。
=item B<-pass arg>
the private key password source. For more information about the format of B<arg>
see the B<PASS PHRASE ARGUMENTS> section in L<gmssl(1)>.
私钥密码源。 有关arg格式的更多信息请参阅gmssl1中的PASS PHRASE ARGUMENTS部分。
=item B<-verify depth>
The verify depth to use. This specifies the maximum length of the
@@ -184,30 +212,44 @@ Currently the verify operation continues after errors so all the problems
with a certificate chain can be seen. As a side effect the connection
will never fail due to a server certificate verify failure.
验证使用深度。 这指定服务器证书链的最大长度,并打开服务器证书验证。
目前,验证操作在错误之后继续,所以可以看到证书链中的所有问题。
作为副作用,由于服务器证书验证失败,连接永远不会失败。
=item B<-verify_return_error>
Return verification errors instead of continuing. This will typically
abort the handshake with a fatal error.
返回验证错误,而不是继续。 这通常会以致命错误中止握手。
=item B<-CApath directory>
The directory to use for server certificate verification. This directory
must be in "hash format", see B<verify> for more information. These are
also used when building the client certificate chain.
用于服务器证书验证的目录。 此目录必须为“哈希格式”,请参阅验证更多信息。 这些也在构建客户端证书链时使用。
=item B<-CAfile file>
A file containing trusted certificates to use during server authentication
and to use when attempting to build the client certificate chain.
包含在服务器认证期间使用并在尝试构建客户端证书链时使用的可信证书的文件。
=item B<-no-CAfile>
Do not load the trusted CA certificates from the default file location
不要从默认文件位置加载受信任的CA证书
=item B<-no-CApath>
Do not load the trusted CA certificates from the default directory location
不要从默认目录位置加载受信任的CA证书
=item B<-dane_tlsa_domain domain>
Enable RFC6698/RFC7671 DANE TLSA authentication and specify the
@@ -224,6 +266,13 @@ certificate of the chain, the result is reported as "TA public key
verified". Otherwise, either the TLSA record "matched TA certificate"
at a positive depth or else "matched EE certificate" at depth 0.
启用RFC6698 / RFC7671 DANE TLSA身份验证并指定成为默认SNI提示的TLSA基本域和主机名检查的主参考标识符。
这必须与以下-dane_tlsa_rrdata选项的至少一个实例结合使用。
当DANE认证成功时诊断输出将包括TLSA记录认证链式证书的最低最接近0深度。
当该TLSA记录是一个“2 1 0”信任锚公钥该信任锚公钥是签名而不是匹配链中最顶层的证书
结果被报告为“TA公钥验证”。 否则TLSA记录“匹配的TA证书”在深度为深度否则“匹配的EE证书”在深度0。
=item B<-dane_tlsa_rrdata rrdata>
Use one or more times to specify the RRDATA fields of the DANE TLSA
@@ -233,6 +282,10 @@ fields that specify the usage, selector, matching type and associated
data, with the last of these encoded in hexadecimal. Optional
whitespace is ignored in the associated data field. For example:
使用一次或多次来指定与目标服务相关联的DANE TLSA RRset的RRDATA字段。
rrdata值以“表示形式”指定即指定使用选择器匹配类型和关联数据的
四个空白分隔字段,其中最后一个以十六进制编码。 可选的空格在关联的数据字段中被忽略。 例如:
$ gmssl s_client -brief -starttls smtp \
-connect smtp.example.com:25 \
-dane_tlsa_domain smtp.example.com \
@@ -264,6 +317,14 @@ records already make it possible for a remote domain to redirect client
connections to any server of its choice, and in any case SMTP and XMPP clients
do not execute scripts downloaded from remote servers.
当通过DANE-EE3TLSA记录进行身份验证时这将禁用服务器名称检查。
对于某些应用程序主要是Web浏览器由于“未知密钥共享”攻击禁用名称检查是
不安全的,恶意服务器可以说服客户端与受害者服务器的连接而不是与恶意服务器的安全
连接。 恶意服务器可能能够违反跨原始脚本限制。 因此尽管RFC7671的文本默认情
况下对DANE-EE3TLSA记录启用名称检查并且可以在安全的应用程序中禁用名称检查。
特别是SMTP和XMPP客户端应该将此选项设置为SRV和MX记录使远程域可以将客户端连接
重定向到所选的任何服务器无论如何SMTP和XMPP客户端不会执行从远程服务器下载的脚本服务器。
=item B<-attime>, B<-check_ss_sig>, B<-crl_check>, B<-crl_check_all>,
B<-explicit_policy>, B<-extended_crl>, B<-ignore_critical>, B<-inhibit_any>,
B<-inhibit_map>, B<-no_alt_chains>, B<-no_check_time>, B<-partial_chain>, B<-policy>,
@@ -280,11 +341,15 @@ L<verify(1)> manual page for details.
reconnects to the same server 5 times using the same session ID, this can
be used as a test that session caching is working.
使用相同的会话ID重新连接到相同的服务器5次这可以用作会话缓存正在工作的测试。
=item B<-showcerts>
display the whole server certificate chain: normally only the server
certificate itself is displayed.
显示整个服务器证书链:通常只显示服务器证书本身。
=item B<-prexit>
print session information when the program exits. This will always attempt
@@ -296,65 +361,96 @@ attempt is made to access a certain URL. Note: the output produced by this
option is not always accurate because a connection might never have been
established.
当程序退出时打印会话信息。 即使连接失败,它也将始终尝试打印出信息。 通常,
如果连接成功,信息将仅打印一次。 此选项非常有用,因为正在使用的密码可能被
重新协商或连接可能会失败因为客户端证书是必需的或仅在尝试访问某个URL
后才被请求。 注意:此选项生成的输出并不总是准确的,因为连接可能永远不会建立。
=item B<-state>
prints out the SSL session states.
打印出SSL会话状态。
=item B<-debug>
print extensive debugging information including a hex dump of all traffic.
打印广泛的调试信息,包括所有流量的十六进制转储。
=item B<-msg>
show all protocol messages with hex dump.
显示所有具有十六进制转储的协议消息。
=item B<-trace>
show verbose trace output of protocol messages. GmSSL needs to be compiled
with B<enable-ssl-trace> for this option to work.
显示协议消息的详细跟踪输出。 需要使用enable-ssl-trace编译GmSSL才能使此选项生效。
=item B<-msgfile>
file to send output of B<-msg> or B<-trace> to, default standard output.
文件将-msg或-trace的输出发送到默认标准输出。
=item B<-nbio_test>
tests non-blocking I/O
测试非阻塞I / O
=item B<-nbio>
turns on non-blocking I/O
打开非阻塞I / O
=item B<-crlf>
this option translated a line feed from the terminal into CR+LF as required
by some servers.
该选项根据某些服务器的要求将终端转换为CR + LF。
=item B<-ign_eof>
inhibit shutting down the connection when end of file is reached in the
input.
禁止在输入端到达文件结束时关闭连接。
=item B<-quiet>
inhibit printing of session and certificate information. This implicitly
turns on B<-ign_eof> as well.
禁止打印会话和证书信息。 这也隐含地打开-ign_eof。
=item B<-no_ign_eof>
shut down the connection when end of file is reached in the input.
Can be used to override the implicit B<-ign_eof> after B<-quiet>.
在输入端到达文件结束时关闭连接。 可以用于在-quiet之后覆盖隐式的-ign_eof。
=item B<-psk_identity identity>
Use the PSK identity B<identity> when using a PSK cipher suite.
使用PSK密码套件时使用PSK身份标识。
=item B<-psk key>
Use the PSK key B<key> when using a PSK cipher suite. The key is
given as a hexadecimal number without leading 0x, for example -psk
1a2b3c4d.
使用PSK密码套件时请使用PSK密钥。 密钥以十六进制数字的形式给出不带前缀0x例如-psk 1a2b3c4d。
=item B<-ssl3>, B<-tls1>, B<-tls1_1>, B<-tls1_2>, B<-tls1_3>, B<-no_ssl3>, B<-no_tls1>, B<-no_tls1_1>, B<-no_tls1_2>, B<-no_tls1_3>
These options require or disable the use of the specified SSL or TLS protocols.
@@ -363,6 +459,9 @@ version.
When a specific TLS version is required, only that version will be offered to
and accepted from the server.
这些选项需要或禁止使用指定的SSL或TLS协议。 默认情况下s_client将协商最高相互
支持的协议版本。 当需要特定的TLS版本时只有该版本将被提供给服务器并从服务器接受。
=item B<-dtls>, B<-dtls1>, B<-dtls1_2>
These options make B<s_client> use DTLS protocols instead of TLS.
@@ -370,10 +469,15 @@ With B<-dtls>, B<s_client> will negotiate any supported DTLS protocol version,
whilst B<-dtls1> and B<-dtls1_2> will only support DTLS1.0 and DTLS1.2
respectively.
这些选项使s_client使用DTLS协议而不是TLS。 使用-dtlss_client将协商任何支持的
DTLS协议版本而-dtls1和-dtls1_2将分别仅支持DTLS1.0和DTLS1.2。
=item B<-fallback_scsv>
Send TLS_FALLBACK_SCSV in the ClientHello.
在ClientHello中发送TLS_FALLBACK_SCSV。
=item B<-async>
switch on asynchronous mode. Cryptographic operations will be performed
@@ -381,6 +485,9 @@ asynchronously. This will only have an effect if an asynchronous capable engine
is also used via the B<-engine> option. For test purposes the dummy async engine
(dasync) can be used (if available).
开启异步模式。 加密操作将被异步执行。 只有通过-engine选项也可以使用异步的引擎
这只会产生影响。 为了测试目的可以使用虚拟异步引擎dasync如果可用
=item B<-split_send_frag int>
The size used to split data for encrypt pipelines. If more data is written in
@@ -390,6 +497,11 @@ a suitable ciphersuite has been negotiated, an engine that supports pipelining
has been loaded, and max_pipelines is greater than 1. See
L<SSL_CTX_set_split_send_fragment(3)> for further information.
用于分割加密管道数据的大小。 如果一次写入的数据多于此值,那么它将被分割成多个管道,
直到max_pipelines定义的最大管道数。 如果已经协商了合适的密码套件,则支持流水线的
引擎已被加载并且max_pipelines大于1.请参阅SSL_CTX_set_split_send_fragment3
以获取更多信息。
=item B<-max_pipelines int>
The maximum number of encrypt/decrypt pipelines to be used. This will only have
@@ -397,6 +509,10 @@ an effect if an engine has been loaded that supports pipelining (e.g. the dasync
engine) and a suitable ciphersuite has been negotiated. The default value is 1.
See L<SSL_CTX_set_max_pipelines(3)> for further information.
要使用的加密/解密管道的最大数量。 如果已经加载支持流水线的引擎例如dasync引擎
并且已经协商了合适的密码套件,则这将仅起作用。 默认值为1.有关更多信息,请参阅
SSL_CTX_set_max_pipelines3
=item B<-read_buf int>
The default read buffer size to be used for connections. This will only have an
@@ -404,11 +520,16 @@ effect if the buffer size is larger than the size that would otherwise be used
and pipelining is in use (see L<SSL_CTX_set_default_read_buffer_len(3)> for
further information).
用于连接的默认读缓冲区大小。 如果缓冲区大小大于使用的流水线大小(如果需要进一步的信息,
请参阅SSL_CTX_set_default_read_buffer_len3这只会产生影响。
=item B<-bugs>
there are several known bug in SSL and TLS implementations. Adding this
option enables various workarounds.
SSL和TLS实现中有几个已知的错误。 添加此选项可以启用各种解决方法。
=item B<-comp>
Enables support for SSL/TLS compression.
@@ -416,17 +537,24 @@ This option was introduced in GmSSL 1.1.0.
TLS compression is not recommended and is off by default as of
GmSSL 1.1.0.
支持SSL / TLS压缩。 此选项在GmSSL 1.1.0中引入。 不推荐使用TLS压缩
默认情况下GmSSL 1.1.0关闭。
=item B<-no_comp>
Disables support for SSL/TLS compression.
TLS compression is not recommended and is off by default as of
GmSSL 1.1.0.
禁用对SSL / TLS压缩的支持。 不推荐使用TLS压缩默认情况下GmSSL 1.1.0关闭。
=item B<-brief>
only provide a brief summary of connection parameters instead of the
normal verbose output.
只提供连接参数的简要摘要,而不是正常的详细输出。
=item B<-cipher cipherlist>
this allows the cipher list sent by the client to be modified. Although
@@ -434,6 +562,9 @@ the server determines which cipher suite is used it should take the first
supported cipher in the list sent by the client. See the B<ciphers>
command for more information.
这允许客户端发送的密码列表被修改。 虽然服务器确定使用哪个密码套件,
但它应该在客户端发送的列表中使用第一个支持的密码。 有关详细信息请参阅ciphers命令。
=item B<-starttls protocol>
send the protocol-specific message(s) to switch to TLS for communication.
@@ -441,6 +572,9 @@ B<protocol> is a keyword for the intended protocol. Currently, the only
supported keywords are "smtp", "pop3", "imap", "ftp", "xmpp", "xmpp-server",
and "irc."
发送特定于协议的消息切换到TLS进行通信。 协议是目标协议的关键字。 目前,
唯一支持的关键字是“smtp”“pop3”“imap”“ftp”“xmpp”“xmpp-server”和“irc”。
=item B<-xmpphost hostname>
This option, when used with "-starttls xmpp" or "-starttls xmpp-server",
@@ -448,23 +582,34 @@ specifies the host for the "to" attribute of the stream element.
If this option is not specified, then the host specified with "-connect"
will be used.
此选项与“-starttls xmpp”或“-starttls xmpp-server”一起使用时指定流元素
“to”属性的主机。 如果未指定此选项,则将使用“-connect”指定的主机。
=item B<-tlsextdebug>
print out a hex dump of any TLS extensions received from the server.
打印从服务器接收的任何TLS扩展的十六进制转储。
=item B<-no_ticket>
disable RFC4507bis session ticket support.
禁用RFC4507bis会话票证支持。
=item B<-sess_out filename>
output SSL session to B<filename>
输出SSL会话到filename
=item B<-sess_in sess.pem>
load SSL session from B<filename>. The client will attempt to resume a
connection from this session.
从filename加载SSL会话。 客户端将尝试从此会话恢复连接。
=item B<-engine id>
specifying an engine (by its unique B<id> string) will cause B<s_client>
@@ -472,6 +617,8 @@ to attempt to obtain a functional reference to the specified engine,
thus initialising it if needed. The engine will then be set as the default
for all available algorithms.
指定引擎通过其唯一的id字符串将导致s_client尝试获取对指定引擎的功能引用从而在需要时对其进行初始化。 然后,引擎将被设置为所有可用算法的默认值。
=item B<-rand file(s)>
a file or files containing random data used to seed the random number
@@ -480,6 +627,8 @@ Multiple files can be specified separated by an OS-dependent character.
The separator is B<;> for MS-Windows, B<,> for OpenVMS, and B<:> for
all others.
包含用于种子随机数生成器或EGD套接字的随机数据的文件或文件参见RAND_egd3。 多个文件可以由与操作系统相关的字符分隔。 分离器是 对于MS-Windows对于OpenVMS以及对于所有其他。
=item B<-serverinfo types>
a list of comma-separated TLS Extension Types (numbers between 0 and
@@ -487,11 +636,15 @@ a list of comma-separated TLS Extension Types (numbers between 0 and
The server's response (if any) will be encoded and displayed as a PEM
file.
逗号分隔的TLS扩展类型列表0到65535之间的数字。 每个类型将作为一个空的ClientHello TLS扩展发送。 服务器的响应如果有将被编码并显示为PEM文件。
=item B<-status>
sends a certificate status request to the server (OCSP stapling). The server
response (if any) is printed out.
向服务器发送证书状态请求OCSP装订。 打印出服务器响应(如果有)。
=item B<-alpn protocols>, B<-nextprotoneg protocols>
these flags enable the
@@ -507,6 +660,8 @@ Empty list of protocols is treated specially and will cause the client to
advertise support for the TLS extension but disconnect just after
receiving ServerHello with a list of server supported protocols.
这些标志分别启用启用应用层协议协商协议或下一协议协议扩展。 ALPN是IETF标准替代NPN。 协议列表是客户端应该广告支持的逗号分隔的协议名称。 该列表应该包含最需要的协议。 协议名称是可打印的ASCII字符串例如“http / 1.1”或“spdy / 3”。 协议的空列表被特别处理并且将导致客户端向TLS扩展发布支持但是在使用服务器支持的协议列表接收ServerHello之后断开连接。
=item B<-ct|noct>
Use one of these two options to control whether Certificate Transparency (CT)
@@ -517,11 +672,17 @@ the server and reported at handshake completion.
Enabling CT also enables OCSP stapling, as this is one possible delivery method
for SCTs.
使用这两个选项之一来控制是否启用证书透明度CT或禁用-noct。 如果启用CT将从服务器请求签名的证书时间戳SCT并在握手完成时报告。
启用CT还可以实现OCSP装订因为这是SCT的一种可能的传送方式。
=item B<-ctlogfile>
A file containing a list of known Certificate Transparency logs. See
L<SSL_CTX_set_ctlog_list_file(3)> for the expected file format.
包含已知证书透明度日志列表的文件。 有关预期的文件格式请参阅SSL_CTX_set_ctlog_list_file3
=back
=head1 CONNECTED COMMANDS

141
doc/apps/s_server.pod
View File

@@ -119,6 +119,8 @@ B<gmssl> B<s_server>
The B<s_server> command implements a generic SSL/TLS server which listens
for connections on a given port using SSL/TLS.
s_server命令实现一个通用SSL / TLS服务器它使用SSL / TLS监听给定端口上的连接。
=head1 OPTIONS
In addition to the options below the B<s_server> utility also supports the
@@ -126,45 +128,66 @@ common and server only options documented in the
in the "Supported Command Line Commands" section of the L<SSL_CONF_cmd(3)>
manual page.
除了以下选项之外s_server实用程序还支持SSL_CONF_cmd3手册页的“支持的
命令行命令”部分中记录的通用和仅服务器选项。
=over 4
=item B<-help>
Print out a usage message.
打印使用信息。
=item B<-port port>
The TCP port to listen on for connections. If not specified 4433 is used.
TCP端口监听连接。 如果未指定4433。
=item B<-accept val>
The optional TCP host and port to listen on for connections. If not specified, *:4433 is used.
可选的TCP主机和端口监听连接。 如果未指定,则使用*4433。
=item B<-naccept count>
The server will exit after receiving B<number> connections, default unlimited.
收到number后服务器将退出默认为无限制。
=item B<-unix val>
Unix domain socket to accept on.
Unix域套接字接受。
=item B<-unlink>
For -unix, unlink existing socket first.
对于-unix首先取消链接现有套接字。
=item B<-4>
Use IPv4 only.
只用IPv4
=item B<-6>
Use IPv6 only.
只用IPv6
=item B<-context id>
Sets the SSL context id. It can be given any string value. If this option
is not present a default value will be used.
设置SSL上下文id。 可以给出任何字符串值。 如果此选项不存在,将使用默认值。
=item B<-cert certname>
The certificate to use, most servers cipher suites require the use of a
@@ -172,24 +195,34 @@ certificate and some require a certificate with a certain public key type:
for example the DSS cipher suites require a certificate containing a DSS
(DSA) key. If not specified then the filename "server.pem" will be used.
要使用的证书大多数服务器密码套件需要使用证书有些需要具有某种公钥类型的证书例如DSS密码套件需要包含DSSDSA密钥的证书。 如果未指定则将使用文件名“server.pem”。
=item B<-certform format>
The certificate format to use: DER or PEM. PEM is the default.
使用的证书格式DER或PEM。 PEM是默认值。
=item B<-key keyfile>
The private key to use. If not specified then the certificate file will
be used.
使用私钥。 如果未指定,则将使用证书文件。
=item B<-keyform format>
The private format to use: DER or PEM. PEM is the default.
要使用的私有格式DER或PEM。 PEM是默认值。
=item B<-pass arg>
The private key password source. For more information about the format of B<arg>
see the B<PASS PHRASE ARGUMENTS> section in L<gmssl(1)>.
私钥密码源。 有关arg格式的更多信息请参阅gmssl1中的PASS PHRASE ARGUMENTS部分。
=item B<-dcert filename>, B<-dkey keyname>
Specify an additional certificate and private key, these behave in the
@@ -201,16 +234,22 @@ and some a DSS (DSA) key. By using RSA and DSS certificates and keys
a server can support clients which only support RSA or DSS cipher suites
by using an appropriate certificate.
指定一个额外的证书和私钥,它们的行为方式与-cert和-key选项相同除非没有指定默认值不使用其他证书和密钥。 如上所述,一些密码套件需要包含特定类型的密钥的证书。 一些密码套件需要携带RSA密钥的证书和一些DSS密钥。 通过使用RSA和DSS证书和密钥服务器可以通过使用适当的证书来支持只支持RSA或DSS密码套件的客户端。
=item B<-dcertform format>, B<-dkeyform format>, B<-dpass arg>
Additional certificate and private key format and passphrase respectively.
分别附加证书和私钥格式和密码。
=item B<-nocert>
If this option is set then no certificate is used. This restricts the
cipher suites available to the anonymous ones (currently just anonymous
DH).
如果设置了此选项,则不会使用任何证书。 这限制了匿名的密码套件目前只是匿名的DH
=item B<-dhparam filename>
The DH parameter file to use. The ephemeral DH cipher suites generate keys
@@ -219,23 +258,31 @@ load the parameters from the server certificate file.
If this fails then a static set of parameters hard coded into the B<s_server>
program will be used.
要使用的DH参数文件。 短时DH密码套件使用一组DH参数生成密钥。 如果未指定,则尝试从服务器证书文件加载参数。 如果失败则将使用硬编码到s_server程序中的一组静态参数。
=item B<-no_dhe>
If this option is set then no DH parameters will be loaded effectively
disabling the ephemeral DH cipher suites.
如果设置了此选项则不会有效地加载DH参数禁用临时DH密码套件。
=item B<-crl_check>, B<-crl_check_all>
Check the peer certificate has not been revoked by its CA.
The CRL(s) are appended to the certificate file. With the B<-crl_check_all>
option all CRLs of all CAs in the chain are checked.
检查对等证书尚未被其CA撤销。 证书文件附加CRL。 使用-crl_check_all选项将检查链中所有CA的所有CRL。
=item B<-CApath directory>
The directory to use for client certificate verification. This directory
must be in "hash format", see B<verify> for more information. These are
also used when building the server certificate chain.
用于客户端证书验证的目录。 此目录必须为“哈希格式”,请参阅验证更多信息。 这些也在构建服务器证书链时使用
=item B<-CAfile file>
A file containing trusted certificates to use during client authentication
@@ -243,14 +290,20 @@ and to use when attempting to build the server certificate chain. The list
is also used in the list of acceptable client CAs passed to the client when
a certificate is requested.
包含在客户端身份验证期间使用并在尝试构建服务器证书链时使用的可信证书的文件。 该列表也用于在请求证书时传递给客户端的可接受的客户端CA列表。
=item B<-no-CAfile>
Do not load the trusted CA certificates from the default file location
不要从默认文件位置加载受信任的CA证书
=item B<-no-CApath>
Do not load the trusted CA certificates from the default directory location
不要从默认目录位置加载受信任的CA证书
=item B<-verify depth>, B<-Verify depth>
The verify depth to use. This specifies the maximum length of the
@@ -262,6 +315,10 @@ must supply a certificate or an error occurs.
If the ciphersuite cannot request a client certificate (for example an
anonymous ciphersuite or PSK) this option has no effect.
验证使用深度。 这指定客户端证书链的最大长度,并使服务器从客户端请求证书。 使用-verify选项请求证书但客户端不必发送一个使用-Verify选项客户端必须提供证书或发生错误。
如果密码不能请求客户端证书例如匿名密码套件或PSK则此选项不起作用。
=item B<-attime>, B<-check_ss_sig>, B<-crl_check>, B<-crl_check_all>,
B<-explicit_policy>, B<-extended_crl>, B<-ignore_critical>, B<-inhibit_any>,
B<-inhibit_map>, B<-no_alt_chains>, B<-no_check_time>, B<-partial_chain>, B<-policy>,
@@ -273,59 +330,85 @@ B<-verify_ip>, B<-verify_name>, B<-x509_strict>
Set different peer certificate verification options.
See the L<verify(1)> manual page for details.
设置不同的对等证书验证选项。 有关详细信息请参阅verify1手册页。
=item B<-verify_return_error>
Verification errors normally just print a message but allow the
connection to continue, for debugging purposes.
If this option is used, then verification errors close the connection.
验证错误通常只是打印一条消息,但允许连接继续进行调试。 如果使用此选项,则验证错误会关闭连接。
=item B<-state>
Prints the SSL session states.
打印SSL会话状态。
=item B<-debug>
Print extensive debugging information including a hex dump of all traffic.
打印广泛的调试信息,包括所有流量的十六进制转储。
=item B<-msg>
Show all protocol messages with hex dump.
使用十六进制转储显示所有协议消息。
=item B<-trace>
Show verbose trace output of protocol messages. GmSSL needs to be compiled
with B<enable-ssl-trace> for this option to work.
显示协议消息的详细跟踪输出。 需要使用enable-ssl-trace编译GmSSL才能使此选项生效。
=item B<-msgfile>
File to send output of B<-msg> or B<-trace> to, default standard output.
文件将-msg或-trace的输出发送到默认标准输出。
=item B<-nbio_test>
Tests non blocking I/O
测试非阻塞I / O
=item B<-nbio>
Turns on non blocking I/O
打开非阻塞I / O
=item B<-crlf>
This option translated a line feed from the terminal into CR+LF.
此选项将换行符从终端转换为CR + LF。
=item B<-quiet>
Inhibit printing of session and certificate information.
禁止打印会话和证书信息。
=item B<-psk_hint hint>
Use the PSK identity hint B<hint> when using a PSK cipher suite.
使用PSK密码套件时请使用PSK身份提示提示。
=item B<-psk key>
Use the PSK key B<key> when using a PSK cipher suite. The key is
given as a hexadecimal number without leading 0x, for example -psk
1a2b3c4d.
使用PSK密码套件时请使用PSK密钥。 密钥以十六进制数字的形式给出不带前缀0x例如-psk 1a2b3c4d。
=item B<-ssl2>, B<-ssl3>, B<-tls1>, B<-tls1_1>, B<-tls1_2>, B<-tls1_3>, B<-no_ssl2>, B<-no_ssl3>, B<-no_tls1>, B<-no_tls1_1>, B<-no_tls1_2>, B<-no_tls1_3>
These options require or disable the use of the specified SSL or TLS protocols.
@@ -334,6 +417,8 @@ version.
When a specific TLS version is required, only that version will be accepted
from the client.
这些选项需要或禁止使用指定的SSL或TLS协议。 默认情况下s_server将协商最高相互支持的协议版本。 当需要特定的TLS版本时只有客户端才接受该版本。
=item B<-dtls>, B<-dtls1>, B<-dtls1_2>
These options make B<s_server> use DTLS protocols instead of TLS.
@@ -341,6 +426,8 @@ With B<-dtls>, B<s_server> will negotiate any supported DTLS protocol version,
whilst B<-dtls1> and B<-dtls1_2> will only support DTLSv1.0 and DTLSv1.2
respectively.
这些选项使s_server使用DTLS协议而不是TLS。 使用-dtlss_server将协商任何支持的DTLS协议版本而-dtls1和-dtls1_2将分别仅支持DTLSv1.0和DTLSv1.2。
=item B<-listen>
This option can only be used in conjunction with one of the DTLS options above.
@@ -351,6 +438,8 @@ Any without a cookie will be responded to with a HelloVerifyRequest.
If a ClientHello with a cookie is received then B<s_server> will connect to
that peer and complete the handshake.
此选项只能与上述DTLS选项结合使用。 使用此选项s_server将在UDP端口上侦听传入连接。 任何到达的ClientHellos将被检查看看他们是否有cookie。 任何没有cookie的人都会通过一个HelloVerifyRequest进行回复。 如果接收到具有cookie的ClientHello则s_server将连接到该对等体并完成握手。
=item B<-async>
Switch on asynchronous mode. Cryptographic operations will be performed
@@ -358,6 +447,8 @@ asynchronously. This will only have an effect if an asynchronous capable engine
is also used via the B<-engine> option. For test purposes the dummy async engine
(dasync) can be used (if available).
打开异步模式。 加密操作将被异步执行。 只有通过-engine选项也可以使用异步的引擎这只会产生影响。 为了测试目的可以使用虚拟异步引擎dasync如果可用
=item B<-split_send_frag int>
The size used to split data for encrypt pipelines. If more data is written in
@@ -367,6 +458,8 @@ a suitable ciphersuite has been negotiated, an engine that supports pipelining
has been loaded, and max_pipelines is greater than 1. See
L<SSL_CTX_set_split_send_fragment(3)> for further information.
用于分割加密管道数据的大小。 如果一次写入的数据多于此值那么它将被分割成多个管道直到max_pipelines定义的最大管道数。 如果已经协商了合适的密码套件则支持流水线的引擎已被加载并且max_pipelines大于1.请参阅SSL_CTX_set_split_send_fragment3以获取更多信息。
=item B<-max_pipelines int>
The maximum number of encrypt/decrypt pipelines to be used. This will only have
@@ -374,6 +467,8 @@ an effect if an engine has been loaded that supports pipelining (e.g. the dasync
engine) and a suitable ciphersuite has been negotiated. The default value is 1.
See L<SSL_CTX_set_max_pipelines(3)> for further information.
要使用的加密/解密管道的最大数量。 如果已经加载支持流水线的引擎例如dasync引擎并且已经协商了合适的密码套件则这将仅起作用。 默认值为1.有关更多信息请参阅SSL_CTX_set_max_pipelines3
=item B<-read_buf int>
The default read buffer size to be used for connections. This will only have an
@@ -381,11 +476,15 @@ effect if the buffer size is larger than the size that would otherwise be used
and pipelining is in use (see L<SSL_CTX_set_default_read_buffer_len(3)> for
further information).
用于连接的默认读缓冲区大小。 如果缓冲区大小大于使用的流水线大小如果需要进一步的信息请参阅SSL_CTX_set_default_read_buffer_len3这只会产生影响。
=item B<-bugs>
There are several known bug in SSL and TLS implementations. Adding this
option enables various workarounds.
SSL和TLS实现中有几个已知的错误。 添加此选项可以启用各种解决方法。
=item B<-comp>
Enable negotiation of TLS compression.
@@ -393,17 +492,23 @@ This option was introduced in GmSSL 1.1.0.
TLS compression is not recommended and is off by default as of
GmSSL 1.1.0.
启用TLS压缩协商。 此选项在GmSSL 1.1.0中引入。 不推荐使用TLS压缩默认情况下GmSSL 1.1.0关闭。
=item B<-no_comp>
Disable negotiation of TLS compression.
TLS compression is not recommended and is off by default as of
GmSSL 1.1.0.
禁用TLS压缩协商。 不推荐使用TLS压缩默认情况下GmSSL 1.1.0关闭。
=item B<-brief>
Provide a brief summary of connection parameters instead of the normal verbose
output.
提供连接参数的简要摘要,而不是正常的详细输出。
=item B<-cipher cipherlist>
This allows the cipher list used by the server to be modified. When
@@ -412,18 +517,26 @@ also included in the server list is used. Because the client specifies
the preference order, the order of the server cipherlist irrelevant. See
the B<ciphers> command for more information.
这样可以修改服务器使用的密码列表。 当客户端发送支持的密码列表时,也使用包含在服务器列表中的第一个客户端密码。 因为客户端指定了优先级顺序,所以服务器密码列表的顺序不相关。 有关详细信息请参阅ciphers命令。
=item B<-serverpref>
Use the server's cipher preferences, rather than the client's preferences.
使用服务器的密码首选项,而不是客户端的首选项。
=item B<-tlsextdebug>
Print a hex dump of any TLS extensions received from the server.
打印从服务器接收的任何TLS扩展的十六进制转储。
=item B<-no_ticket>
Disable RFC4507bis session ticket support.
禁用RFC4507bis会话票证支持。
=item B<-www>
Sends a status message back to the client when it connects. This includes
@@ -431,12 +544,16 @@ information about the ciphers used and various session parameters.
The output is in HTML format so this option will normally be used with a
web browser.
当连接时,向客户端发送状态消息。 这包括有关使用的密码和各种会话参数的信息。 输出是HTML格式因此这个选项通常与网络浏览器一起使用。
=item B<-WWW>
Emulates a simple web server. Pages will be resolved relative to the
current directory, for example if the URL https://myhost/page.html is
requested the file ./page.html will be loaded.
模拟一个简单的Web服务器。 页面将相对于当前目录进行解析例如如果URL https//myhost/page.html被请求将加载./page.html文件。
=item B<-HTTP>
Emulates a simple web server. Pages will be resolved relative to the
@@ -445,11 +562,15 @@ requested the file ./page.html will be loaded. The files loaded are
assumed to contain a complete and correct HTTP response (lines that
are part of the HTTP response line and headers must end with CRLF).
模拟一个简单的Web服务器。 页面将相对于当前目录进行解析例如如果URL https//myhost/page.html被请求将加载./page.html文件。 假设加载的文件包含完整且正确的HTTP响应作为HTTP响应行的一部分的行头必须以CRLF结尾
=item B<-rev>
Simple test server which just reverses the text received from the client
and sends it back to the server. Also sets B<-brief>.
简单的测试服务器,只是反转从客户端收到的文本并将其发送回服务器。 还设置-brief。
=item B<-engine id>
Specifying an engine (by its unique B<id> string) will cause B<s_server>
@@ -457,6 +578,8 @@ to attempt to obtain a functional reference to the specified engine,
thus initialising it if needed. The engine will then be set as the default
for all available algorithms.
指定引擎通过其唯一的id字符串将导致s_server尝试获取对指定引擎的功能引用从而在需要时对其进行初始化。 然后,引擎将被设置为所有可用算法的默认值。
=item B<-id_prefix arg>
Generate SSL/TLS session IDs prefixed by B<arg>. This is mostly useful
@@ -464,6 +587,8 @@ for testing any SSL/TLS code (eg. proxies) that wish to deal with multiple
servers, when each of which might be generating a unique range of session
IDs (eg. with a certain prefix).
生成以arg为前缀的SSL / TLS会话ID。 这主要用于测试希望处理多个服务器的任何SSL / TLS代码例如代理当每个服务器可能会生成唯一的会话ID范围例如具有特定前缀时。
=item B<-rand file(s)>
A file or files containing random data used to seed the random number
@@ -472,6 +597,8 @@ Multiple files can be specified separated by an OS-dependent character.
The separator is B<;> for MS-Windows, B<,> for OpenVMS, and B<:> for
all others.
包含用于种子随机数生成器或EGD套接字的随机数据的文件或文件参见RAND_egd3。 多个文件可以由与操作系统相关的字符分隔。 分离器是 对于MS-Windows对于OpenVMS以及对于所有其他。
=item B<-serverinfo file>
A file containing one or more blocks of PEM data. Each PEM block
@@ -480,29 +607,41 @@ followed by "length" bytes of extension data). If the client sends
an empty TLS ClientHello extension matching the type, the corresponding
ServerHello extension will be returned.
包含一个或多个PEM数据块的文件。 每个PEM块必须编码TLS ServerHello扩展2字节类型2字节长度后跟扩展数据的“长度”字节。 如果客户端发送与该类型相匹配的空TLS ClientHello扩展名则将返回相应的ServerHello扩展名。
=item B<-no_resumption_on_reneg>
Set the B<SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION> option.
设置SSL_OP_NO_SESSION_RESUMPTION_ON_RENEGOTIATION选项。
=item B<-status>
Enables certificate status request support (aka OCSP stapling).
启用证书状态请求支持也称为OCSP装订
=item B<-status_verbose>
Enables certificate status request support (aka OCSP stapling) and gives
a verbose printout of the OCSP response.
启用证书状态请求支持也称为OCSP装订并给出OCSP响应的详细打印输出。
=item B<-status_timeout nsec>
Sets the timeout for OCSP response to B<nsec> seconds.
将OCSP响应的超时设置为nsec秒。
=item B<-status_url url>
Sets a fallback responder URL to use if no responder URL is present in the
server certificate. Without this option an error is returned if the server
certificate does not contain a responder address.
如果服务器证书中没有响应者URL则设置要使用的回退应答器URL。 没有此选项,如果服务器证书不包含响应者地址,则会返回错误。
=item B<-alpn protocols>, B<-nextprotoneg protocols>
these flags enable the
@@ -515,6 +654,8 @@ The list should contain most wanted protocols first.
Protocol names are printable ASCII strings, for example "http/1.1" or
"spdy/3".
这些标志分别启用启用应用层协议协商协议或下一协议协议扩展。 ALPN是IETF标准替代NPN。 协议列表是支持的协议名称的逗号分隔列表。 该列表应该包含最需要的协议。 协议名称是可打印的ASCII字符串例如“http / 1.1”或“spdy / 3”。
=back
=head1 CONNECTED COMMANDS

14
doc/apps/speed.pod
View File

@@ -22,6 +22,8 @@ This command is used to test the performance of cryptographic algorithms.
To see the list of supported algorithms, use the I<list --digest-commands>
or I<list --cipher-commands> command.
此命令用于测试加密算法的性能。 要查看支持的算法列表请使用list --digest-commands或list --cipher-commands命令。
=head1 OPTIONS
=over 4
@@ -30,6 +32,8 @@ or I<list --cipher-commands> command.
Print out a usage message.
打印使用信息
=item B<-engine id>
specifying an engine (by its unique B<id> string) will cause B<speed>
@@ -37,24 +41,34 @@ to attempt to obtain a functional reference to the specified engine,
thus initialising it if needed. The engine will then be set as the default
for all available algorithms.
指定引擎通过其唯一的id字符串将导致speed尝试获得对指定引擎的功能引用从而在需要时初始化它。 然后,引擎将被设置为所有可用算法的默认值。
=item B<-elapsed>
Measure time in real time instead of CPU time. It can be useful when testing
speed of hardware engines.
实时测量时间而不是CPU时间。 在测试硬件引擎的速度时可能会很有用。
=item B<-evp algo>
Use the specified cipher or message digest algorithm via the EVP interface.
通过EVP接口使用指定的密码或消息摘要算法。
=item B<-decrypt>
Time the decryption instead of encryption. Affects only the EVP testing.
时间解密而不是加密。 仅影响EVP测试。
=item B<[zero or more test algorithms]>
If any options are given, B<speed> tests those algorithms, otherwise all of
the above are tested.
如果有任何选项speed测试这些算法否则所有上述都被测试。
=back
=head1 COPYRIGHT

110
doc/apps/verify.pod
View File

@@ -57,6 +57,8 @@ B<gmssl> B<verify>
The B<verify> command verifies certificate chains.
verify命令验证证书链。
=head1 OPTIONS
=over 4
@@ -65,11 +67,15 @@ The B<verify> command verifies certificate chains.
Print out a usage message.
打印使用信息。
=item B<-CAfile file>
A B<file> of trusted certificates.
The file should contain one or more certificates in PEM format.
可信证书文件。该文件应包含在一个或多个PEM格式的证书里。
=item B<-CApath directory>
A directory of trusted certificates. The certificates should have names
@@ -78,49 +84,71 @@ form ("hash" is the hashed certificate subject name: see the B<-hash> option
of the B<x509> utility). Under Unix the B<c_rehash> script will automatically
create symbolic links to a directory of certificates.
可信证书目录。 证书应具有以下格式的名称hash.0或具有此表单的符号链接
“哈希”是散列的证书主题名称请参阅x509实用程序的-hash选项。 在Unix下
c_rehash脚本将自动创建到证书目录的符号链接。
=item B<-no-CAfile>
Do not load the trusted CA certificates from the default file location
不要从默认文件位置加载受信任的CA证书。
=item B<-no-CApath>
Do not load the trusted CA certificates from the default directory location
不要从默认目录位置加载受信任的CA证书。
=item B<-allow_proxy_certs>
Allow the verification of proxy certificates
允许验证代理证书。
=item B<-attime timestamp>
Perform validation checks using time specified by B<timestamp> and not
current system time. B<timestamp> is the number of seconds since
01.01.1970 (UNIX time).
使用由时间戳指定的时间而不是当前系统时间执行验证检查。 时间戳是自01.01.1970UNIX时间以来的秒数。
=item B<-check_ss_sig>
Verify the signature on the self-signed root CA. This is disabled by default
because it doesn't add any security.
验证自签名根CA上的签名。 这是默认禁用的,因为它不添加任何安全性。
=item B<-CRLfile file>
The B<file> should contain one or more CRLs in PEM format.
This option can be specified more than once to include CRLs from multiple
B<files>.
文件应包含一个或多个PEM格式的CRL。 可以多次指定此选项以包含来自多个文件的CRL。
=item B<-crl_download>
Attempt to download CRL information for this certificate.
尝试下载此证书的CRL信息。
=item B<-crl_check>
Checks end entity certificate validity by attempting to look up a valid CRL.
If a valid CRL cannot be found an error occurs.
通过尝试查找有效的CRL来检查终端实体证书的有效性。 如果找不到有效的CRL则会发生错误。
=item B<-crl_check_all>
Checks the validity of B<all> certificates in the chain by attempting
to look up valid CRLs.
通过尝试查找有效的CRL来检查链中所有证书的有效性。
=item B<-engine id>
Specifying an engine B<id> will cause L<verify(1)> to attempt to load the
@@ -130,55 +158,83 @@ If you want to load certificates or CRLs that require engine support via any of
the B<-trusted>, B<-untrusted> or B<-CRLfile> options, the B<-engine> option
must be specified before those options.
指定引擎ID将导致verify1尝试加载指定的引擎。 引擎将被设置为所有支持的算法的默认值。
如果要通过任何-trusted-untrusted或-CRLfile选项加载需要引擎支持的证书或CRL
则必须在这些选项之前指定-engine选项。
=item B<-explicit_policy>
Set policy variable require-explicit-policy (see RFC5280).
设置策略变量require-explicit-policy参见RFC5280
=item B<-extended_crl>
Enable extended CRL features such as indirect CRLs and alternate CRL
signing keys.
启用扩展CRL功能如间接CRL和备用CRL签名密钥
=item B<-ignore_critical>
Normally if an unhandled critical extension is present which is not
supported by GmSSL the certificate is rejected (as required by RFC5280).
If this option is set critical extensions are ignored.
通常如果GmSSL不支持未处理的关键扩展那么证书将被拒绝根据RFC5280的要求
如果设置了此选项,则将忽略关键扩展。
=item B<-inhibit_any>
Set policy variable inhibit-any-policy (see RFC5280).
设置策略变量suppress-any-policy参见RFC5280
=item B<-inhibit_map>
Set policy variable inhibit-policy-mapping (see RFC5280).
设置策略变量inhibit-policy-mapping参见RFC5280
=item B<-no_check_time>
This option suppresses checking the validity period of certificates and CRLs
against the current time. If option B<-attime timestamp> is used to specify
a verification time, the check is not suppressed.
此选项禁止根据当前时间检查证书和CRL的有效期。
如果选项-attime时间戳用于指定验证时间则不会抑制该检查。
=item B<-partial_chain>
Allow verification to succeed even if a I<complete> chain cannot be built to a
self-signed trust-anchor, provided it is possible to construct a chain to a
trusted certificate that might not be self-signed.
即使完整的链不能构建一个自签署的信任锚点也可以允许验证成功,
这可以构建一个链链接到一个不是自签署的受信任证书。
=item B<-policy arg>
Enable policy processing and add B<arg> to the user-initial-policy-set (see
RFC5280). The policy B<arg> can be an object name an OID in numeric form.
This argument can appear more than once.
启用策略处理并将arg添加到用户初始策略集请参阅RFC5280
策略参数可以是一个数字形式的OID的对象名称。 这个参数可能会出现不止一次。
=item B<-policy_check>
Enables certificate policy processing.
启用证书策略处理。
=item B<-policy_print>
Print out diagnostics related to policy processing.
打印与策略处理有关的诊断。
=item B<-purpose purpose>
The intended use for the certificate. If this option is not specified,
@@ -187,6 +243,10 @@ Currently accepted uses are B<sslclient>, B<sslserver>, B<nssslserver>,
B<smimesign>, B<smimeencrypt>. See the B<VERIFY OPERATION> section for more
information.
证书的预期用途。 如果未指定此选项,验证将不会在链验证期间考虑证书目的。
目前接受的用途是sslclientsslservernssslserversmimesignsmimeencrypt。
有关详细信息,请参阅“验证操作”部分。
=item B<-suiteB_128_only>, B<-suiteB_128>, B<-suiteB_192>
enable the Suite B mode operation at 128 bit Level of Security, 128 bit or
@@ -195,6 +255,10 @@ See RFC6460 for details. In particular the supported signature algorithms are
reduced to support only ECDSA and SHA256 or SHA384 and only the elliptic curves
P-256 and P-384.
启用Suite B模式操作分别为128位安全级别128位或192位或仅192位安全级别。
有关详细信息请参阅RFC6460。 特别地支持的签名算法被减少以仅支持ECDSA
和SHA256或SHA384并且仅支持椭圆曲线P-256和P-384。
=item B<-trusted_first>
When constructing the certificate chain, use the trusted certificates specified
@@ -203,6 +267,9 @@ B<-untrusted>.
This can be useful in environments with Bridge or Cross-Certified CAs.
As of GmSSL 1.1.0 this option is on by default and cannot be disabled.
在构建证书链时,请使用通过-CAfile指定的受信任证书-CApath或-trusted然后通过-rustrusted指定任何证书。
这可以在具有桥接或交叉认证CA的环境中使用。 从GmSSL 1.1.0开始,默认情况下,该选项处于打开状态,无法禁用。
=item B<-no_alt_chains>
By default, unless B<-trusted_first> is specified, when building a certificate
@@ -212,6 +279,10 @@ trust store to see if an alternative chain can be found that is trusted.
As of GmSSL 1.1.0, with B<-trusted_first> always on, this option has no
effect.
默认情况下,除非指定了-trusted_first否则在构建证书链时如果发现第一个证书链不受信任
则GmSSL将尝试用信任存储中的证书替换不受信任的颁发者证书以查看是否可以找到可信任的替代链。
从GmSSL 1.1.0开始,使用-trusted_first始终处于打开状态此选项不起作用。
=item B<-untrusted file>
A B<file> of additional untrusted certificates (intermediate issuer CAs) used
@@ -220,6 +291,9 @@ The B<file> should contain one or more certificates in PEM format.
This option can be specified more than once to include untrusted certificates
from multiple B<files>.
用于构建从主题证书到信任锚的证书链的其他不可信证书中间颁发者CA的文件。
该文件应包含一个或多个PEM格式的证书。 可以多次指定此选项以包含来自多个文件的不受信任的证书。
=item B<-trusted file>
A B<file> of trusted certificates, which must be self-signed, unless the
@@ -234,14 +308,23 @@ This option implies the B<-no-CAfile> and B<-no-CApath> options.
This option cannot be used in combination with either of the B<-CAfile> or
B<-CApath> options.
可信证书的文件,必须是自签名的,除非指定了-partial_chain选项。 该文件包含一个或多个PEM格式的证书。
使用此选项,不会查询附加(例如,默认)证书列表。 也就是说,唯一的信任锚是列出的文件。
可以多次指定此选项以包含来自多个文件的可信证书。 此选项意味着-no-CAfile和-no-CApath选项。
此选项不能与-CAfile或-CApath选项中的任何一个组合使用。
=item B<-use_deltas>
Enable support for delta CRLs.
启用对delta CRL的支持。
=item B<-verbose>
Print extra information about the operations being performed.
打印有关正在执行的操作的额外信息。
=item B<-auth_level level>
Set the certificate chain authentication security level to B<level>.
@@ -260,6 +343,12 @@ Security level 1 requires at least 80-bit-equivalent security and is broadly
interoperable, though it will, for example, reject MD5 signatures or RSA keys
shorter than 1024 bits.
将证书链认证安全级别设置为级别。 认证安全级别在验证证书链时确定可接受的签名和公开密钥强度。
要验证证书链,所有证书的公钥必须满足指定的安全级别。 对链中的所有证书执行签名算法安全级别,
除了该链的信任锚,其通过除签名之外的方式直接受信任或验证。 有关可用级别的定义请参阅SSL_CTX_set_security_level3
默认安全级别为-1或“未设置”。 在0或更低的安全级别所有算法都可以接受。 安全级别1需要至少80位等效的安全性
并且可以广泛地互操作尽管它将例如拒绝MD5签名或短于1024位的RSA密钥。
=item B<-verify_depth num>
Limit the certificate chain to B<num> intermediate CA certificates.
@@ -267,21 +356,29 @@ A maximal depth chain can have up to B<num+2> certificates, since neither the
end-entity certificate nor the trust-anchor certificate count against the
B<-verify_depth> limit.
将证书链限制为中间CA证书。 最大深度链可以具有最多num + 2个证书因为终端实体证书和信任锚证书都不符合-verify_depth限制。
=item B<-verify_email email>
Verify if the B<email> matches the email address in Subject Alternative Name or
the email in the subject Distinguished Name.
验证电子邮件是否匹配主题备用名称中的电子邮件地址或主题可分辨名称中的电子邮件。
=item B<-verify_hostname hostname>
Verify if the B<hostname> matches DNS name in Subject Alternative Name or
Common Name in the subject certificate.
验证主题名称是否匹配主题证书中主题备用名称或公用名称中的DNS名称。
=item B<-verify_ip ip>
Verify if the B<ip> matches the IP address in Subject Alternative Name of
the subject certificate.
验证IP匹配主题证书的主题备用名称中的IP地址。
=item B<-verify_name name>
Use default verification policies like trust model and required certificate
@@ -298,29 +395,42 @@ As of GmSSL 1.1.0, the trust model is inferred from the purpose when not
specified, so the B<-verify_name> options are functionally equivalent to the
corresponding B<-purpose> settings.
使用默认验证策略,如信任模型和由名称标识的所需证书策略。 信任模型确定哪些辅助信任或拒绝OID适用于验证给定的证书链。
请参阅x5091命令行实用程序的-addtrust和-addreject选项。 支持的策略名称包括defaultpkcs7smime_signssl_clientssl_server。
这些模拟了SSLCMS和S / MIME中使用的目的和信任设置的组合。 从GmSSL 1.1.0开始,从未指定的目的推断信任模型
,因此-verify_name选项在功能上等同于相应的设置。
=item B<-x509_strict>
For strict X.509 compliance, disable non-compliant workarounds for broken
certificates.
对于严格的X.509合规性,请禁用破坏的证书的不符合标准的解决方法。
=item B<-show_chain>
Display information about the certificate chain that has been built (if
successful). Certificates in the chain that came from the untrusted list will be
flagged as "untrusted".
显示有关已建立的证书链的信息(如果成功)。 来自不受信任名单的链中的证书将被标记为“不受信任”。
=item B<->
Indicates the last option. All arguments following this are assumed to be
certificate files. This is useful if the first certificate filename begins
with a B<->.
表示最后一个选项。 以下所有参数都被认为是证书文件。 如果第一个证书文件名以 - 开头,这将非常有用。
=item B<certificates>
One or more certificates to verify. If no certificates are given, B<verify>
will attempt to read a certificate from standard input. Certificates must be
in PEM format.
一个或多个验证证书。 如果没有给出证书,验证将尝试从标准输入读取证书。 证书必须采用PEM格式。
=back
=head1 VERIFY OPERATION

196
doc/apps/x509.pod
View File

@@ -73,6 +73,10 @@ certificate trust settings.
Since there are a large number of options they will split up into
various sections.
x509命令是一个多用途证书实用程序。 它可用于显示证书信息将证书转换为各种表单签署诸如“迷你CA”或编辑证书信任设置的证书请求。
由于有大量的选择,它们将分成不同的部分。
=head1 OPTIONS
=head2 Input, Output, and General Purpose Options
@@ -83,6 +87,8 @@ various sections.
Print out a usage message.
打印使用信息。
=item B<-inform DER|PEM|NET>
This specifies the input format normally the command will expect an X509
@@ -92,21 +98,29 @@ is the base64 encoding of the DER encoding with header and footer lines
added. The NET option is an obscure Netscape server format that is now
obsolete.
这通常指定命令将期望X509证书的输入格式但如果存在其他选项如-req则可以更改该输入格式。 DER格式是证书的DER编码PEM是添加了页眉和页脚行的DER编码的base64编码。 NET选项是一个晦涩的Netscape服务器格式现在已经过时了。
=item B<-outform DER|PEM|NET>
This specifies the output format, the options have the same meaning as the
B<-inform> option.
这指定输出格式,这些选项与-inform选项具有相同的含义。
=item B<-in filename>
This specifies the input filename to read a certificate from or standard input
if this option is not specified.
如果未指定此选项,则指定从或从标准输入读取证书的输入文件名。
=item B<-out filename>
This specifies the output filename to write to or standard output by
default.
默认情况下,它指定要写入的输出文件名或标准输出。
=item B<-[digest]>
the digest to use.
@@ -116,6 +130,8 @@ Any digest supported by the GmSSL B<dgst> command can be used.
If not specified then SHA1 is used with B<-fingerprint> or
the default digest for the signing algorithm is used, typically SHA256.
消化使用。 这会影响使用消息摘要的任何签名或显示选项,例如-fingerprint-signkey和-CA选项。 可以使用GmSSL dgst命令支持的任何摘要。 如果没有指定则SHA1与-fingerprint一起使用或者使用签名算法的默认摘要通常为SHA256。
=item B<-engine id>
specifying an engine (by its unique B<id> string) will cause B<x509>
@@ -123,6 +139,8 @@ to attempt to obtain a functional reference to the specified engine,
thus initialising it if needed. The engine will then be set as the default
for all available algorithms.
指定引擎通过其唯一的id字符串将导致x509尝试获取对指定引擎的功能引用从而在需要时进行初始化。 然后,引擎将被设置为所有可用算法的默认值。
=back
=head2 Display Options
@@ -130,6 +148,8 @@ for all available algorithms.
Note: the B<-alias> and B<-purpose> options are also display options
but are described in the B<TRUST SETTINGS> section.
注意:-alias和-purpose选项也是显示选项但在“信任设置”部分中有介绍。
=over 4
=item B<-text>
@@ -138,6 +158,8 @@ prints out the certificate in text form. Full details are output including the
public key, signature algorithms, issuer and subject names, serial number
any extensions present and any trust settings.
以文本形式打印证书。 输出全部细节,包括公钥,签名算法,发行人和主题名称,任何扩展名的序列号和任何信任设置。
=item B<-certopt option>
customise the output format used with B<-text>. The B<option> argument can be
@@ -145,59 +167,85 @@ a single option or multiple options separated by commas. The B<-certopt> switch
may be also be used more than once to set multiple options. See the B<TEXT OPTIONS>
section for more information.
定制与-text一起使用的输出格式。 选项参数可以是单个选项或多个选项,以逗号分隔。 可以使用-certopt开关多次设置多个选项。 有关详细信息请参阅TEXT OPTIONS部分。
=item B<-noout>
this option prevents output of the encoded version of the request.
此选项可防止请求的编码版本的输出。
=item B<-pubkey>
outputs the certificate's SubjectPublicKeyInfo block in PEM format.
以PEM格式输出证书的SubjectPublicKeyInfo块。
=item B<-modulus>
this option prints out the value of the modulus of the public key
contained in the certificate.
此选项打印证书中包含的公钥的模数值。
=item B<-serial>
outputs the certificate serial number.
输出证书序列号。
=item B<-subject_hash>
outputs the "hash" of the certificate subject name. This is used in GmSSL to
form an index to allow certificates in a directory to be looked up by subject
name.
输出证书主题名称的“哈希”。 这在GmSSL中用于形成索引以允许以主题名称查找目录中的证书。
=item B<-issuer_hash>
outputs the "hash" of the certificate issuer name.
输出证书颁发者名称的“哈希”。
=item B<-ocspid>
outputs the OCSP hash values for the subject name and public key.
输出主题名称和公钥的OCSP哈希值。
=item B<-hash>
synonym for "-subject_hash" for backward compatibility reasons.
“-subject_hash”的同义词由于向后兼容性原因。
=item B<-subject_hash_old>
outputs the "hash" of the certificate subject name using the older algorithm
as used by GmSSL versions before 1.0.0.
使用1.0.0之前的GmSSL版本使用的旧算法输出证书主题名称的“哈希”。
=item B<-issuer_hash_old>
outputs the "hash" of the certificate issuer name using the older algorithm
as used by GmSSL versions before 1.0.0.
使用1.0.0之前的GmSSL版本使用的旧算法输出证书颁发者名称的“哈希”。
=item B<-subject>
outputs the subject name.
输出主题名称。
=item B<-issuer>
outputs the issuer name.
输出颁发者名称。
=item B<-nameopt option>
option which determines how the subject or issuer names are displayed. The
@@ -205,40 +253,58 @@ B<option> argument can be a single option or multiple options separated by
commas. Alternatively the B<-nameopt> switch may be used more than once to
set multiple options. See the B<NAME OPTIONS> section for more information.
该选项用于确定主题或发行者名称的显示方式。 选项参数可以是单个选项或多个选项,以逗号分隔。 或者,-nameopt开关可以被多次使用以设置多个选项。 有关详细信息请参阅“NAME OPTIONS”部分。
=item B<-email>
outputs the email address(es) if any.
输出电子邮件地址(如果有)。
=item B<-ocsp_uri>
outputs the OCSP responder address(es) if any.
输出OCSP响应者地址如果有
=item B<-startdate>
prints out the start date of the certificate, that is the notBefore date.
打印证书的开始日期即notBefore日期。
=item B<-enddate>
prints out the expiry date of the certificate, that is the notAfter date.
打印证书的到期日期即notAfter日期。
=item B<-dates>
prints out the start and expiry dates of a certificate.
打印证书的开始和到期日期。
=item B<-checkend arg>
checks if the certificate expires within the next B<arg> seconds and exits
non-zero if yes it will expire or zero if not.
检查证书是否在下一个arg秒内到期如果是则退出非零否则为零。
=item B<-fingerprint>
prints out the digest of the DER encoded version of the whole certificate
(see digest options).
打印整个证书的DER编码版本的摘要请参阅摘要选项
=item B<-C>
this outputs the certificate in the form of a C source file.
这将以C源文件的形式输出证书。
=back
=head2 Trust Settings
@@ -262,6 +328,15 @@ meaning of trust settings.
Future versions of GmSSL will recognize trust settings on any
certificate: not just root CAs.
受信任的证书是普通证书,其中附有数个附加的信息,例如证书的许可和禁止使用以及“别名”。
通常当证书被证实时,至少有一个证书必须是“可信任的”。 默认情况下受信任的证书必须在本地存储并且必须是根CA任何以CA为结尾的证书链可用于任何目的。
目前的信任设置仅与根CA一起使用。 它们允许对根CA可以使用的目的进行更精细的控制。 例如CA可能被信任为SSL客户端但不能使用SSL服务器。
有关信任设置的含义的更多信息,请参阅验证实用程序的说明。
未来版本的GmSSL将会识别任何证书上的信任设置不仅仅是根CA。
=over 4
@@ -273,23 +348,33 @@ certificate is output and any trust settings are discarded. With the
B<-trustout> option a trusted certificate is output. A trusted
certificate is automatically output if any trust settings are modified.
这导致x509输出可信证书。 可以输入普通或可信任的证书,但默认情况下会输出普通证书,并丢弃任何信任设置。 使用-trustout选项输出可信证书。 如果任何信任设置被修改,将自动输出受信任的证书。
=item B<-setalias arg>
sets the alias of the certificate. This will allow the certificate
to be referred to using a nickname for example "Steve's Certificate".
设置证书的别名。 这将允许使用昵称来引用证书例如“Steve's Certificate”。
=item B<-alias>
outputs the certificate alias, if any.
输出证书别名(如果有)。
=item B<-clrtrust>
clears all the permitted or trusted uses of the certificate.
清除证书的所有允许或受信任的用途。
=item B<-clrreject>
clears all the prohibited or rejected uses of the certificate.
清除证书的所有禁止或拒绝的使用。
=item B<-addtrust arg>
adds a trusted certificate use.
@@ -300,17 +385,23 @@ As of GmSSL 1.1.0, the last of these blocks all purposes when rejected or
enables all purposes when trusted.
Other GmSSL applications may define additional uses.
添加可信证书使用。 任何对象名称都可以在这里使用但目前只使用clientAuthSSL客户端使用serverAuthSSL服务器使用emailProtectionS / MIME电子邮件和anyExtendedKeyUsage。 从GmSSL 1.1.0开始,最后一个将被拒绝或在受信任时使所有目的成为可能。 其他GmSSL应用程序可能会定义其他用途。
=item B<-addreject arg>
adds a prohibited use. It accepts the same values as the B<-addtrust>
option.
增加禁止使用。 它接受与-addtrust选项相同的值。
=item B<-purpose>
this option performs tests on the certificate extensions and outputs
the results. For a more complete description see the B<CERTIFICATE
EXTENSIONS> section.
此选项对证书扩展进行测试并输出结果。 有关更完整的说明请参阅CERTIFICATE EXTENSIONS部分。
=back
=head2 Signing Options
@@ -318,6 +409,8 @@ EXTENSIONS> section.
The B<x509> utility can be used to sign certificates and requests: it
can thus behave like a "mini CA".
x509实用程序可用于签署证书和请求它像“迷你CA”
=over 4
=item B<-signkey filename>
@@ -337,11 +430,19 @@ If the input is a certificate request then a self signed certificate
is created using the supplied private key using the subject name in
the request.
此选项将使用提供的私钥对输入文件进行自签名。
如果输入文件是证书,则将发行人名称设置为主题名称(即使其自签名)将公钥更改为提供的值,并更改开始和结束日期。 开始日期设置为当前时间,结束日期设置为由-days选项确定的值。 除非提供了-clrext选项否则将保留任何证书扩展名; 这包括例如任何现有的密钥标识符扩展。
如果输入是证书请求,则使用提供的私钥使用请求中的主题名称创建自签名证书。
=item B<-passin arg>
the key password source. For more information about the format of B<arg>
see the B<PASS PHRASE ARGUMENTS> section in L<gmssl(1)>.
密码密码来源。 有关arg格式的更多信息请参阅gmssl1中的PASS PHRASE ARGUMENTS部分。
=item B<-clrext>
delete any extensions from a certificate. This option is used when a
@@ -349,26 +450,36 @@ certificate is being created from another certificate (for example with
the B<-signkey> or the B<-CA> options). Normally all extensions are
retained.
从证书中删除任何扩展名。 当从另一个证书创建证书时使用此选项(例如使用-signkey或-CA选项。 通常所有的扩展都保留。
=item B<-keyform PEM|DER>
specifies the format (DER or PEM) of the private key file used in the
B<-signkey> option.
指定-signkey选项中使用的私钥文件的格式DER或PEM
=item B<-days arg>
specifies the number of days to make a certificate valid for. The default
is 30 days.
指定使证书有效的天数。 默认为30天。
=item B<-x509toreq>
converts a certificate into a certificate request. The B<-signkey> option
is used to pass the required private key.
将证书转换为证书请求。 -signkey选项用于传递所需的私钥。
=item B<-req>
by default a certificate is expected on input. With this option a
certificate request is expected instead.
默认情况下,预期输入证书。 使用此选项,可以使用证书请求。
=item B<-set_serial n>
specifies the serial number to use. This option can be used with either
@@ -378,6 +489,10 @@ B<-CAcreateserial> options) is not used.
The serial number can be decimal or hex (if preceded by B<0x>).
指定要使用的序列号。 此选项可与-signkey或-CA选项一起使用。 如果与-CA选项结合使用则不使用序列号文件由-CAserial或-CAcreateserial选项指定
序列号可以是十进制或十六进制如果前面是0x
=item B<-CA filename>
specifies the CA certificate to be used for signing. When this option is
@@ -388,12 +503,18 @@ of the CA and it is digitally signed using the CAs private key.
This option is normally combined with the B<-req> option. Without the
B<-req> option the input is a certificate which must be self signed.
指定要用于签名的CA证书。 当此选项存在时x509的行为就像“迷你CA”。 该CA使用此选项对输入文件进行签名即将其颁发者名称设置为CA的主题名称并使用CAs私钥进行数字签名。
此选项通常与-req选项组合。 没有-req选项输入是必须是自签名的证书。
=item B<-CAkey filename>
sets the CA private key to sign a certificate with. If this option is
not specified then it is assumed that the CA private key is present in
the CA certificate file.
设置CA私钥以签署证书。 如果未指定此选项则假定CA私钥存在于CA证书文件中。
=item B<-CAserial filename>
sets the CA serial number file to use.
@@ -407,6 +528,12 @@ The default filename consists of the CA certificate file base name with
".srl" appended. For example if the CA certificate file is called
"mycacert.pem" it expects to find a serial number file called "mycacert.srl".
设置要使用的CA序列号文件。
当-CA选项用于签署证书时它使用文件中指定的序列号。 该文件包含一行,其中包含使用序列号的偶数十六进制数字。 每次使用后,序列号将增加并再次写入文件。
默认文件名由附加了“.srl”的CA证书文件基础名称组成。 例如如果CA证书文件被称为“mycacert.pem”则它希望找到一个名为“mycacert.srl”的序列号文件。
=item B<-CAcreateserial>
with this option the CA serial number file is created if it does not exist:
@@ -415,11 +542,16 @@ have the 1 as its serial number. If the B<-CA> option is specified
and the serial number file does not exist a random number is generated;
this is the recommended practice.
使用此选项CA序列号文件不存在时将被创建它将包含序列号“02”正在签名的证书将具有1作为其序列号。
如果指定了-CA选项并且序列号文件不存在则生成随机数; 这是推荐的做法。
=item B<-extfile filename>
file containing certificate extensions to use. If not specified then
no extensions are added to the certificate.
包含要使用的证书扩展名的文件。 如果未指定,则不会将任何扩展名添加到证书。
=item B<-extensions section>
the section to add certificate extensions from. If this option is not
@@ -429,6 +561,8 @@ specified then the extensions should either be contained in the unnamed
L<x509v3_config(5)> manual page for details of the
extension section format.
从中添加证书扩展的部分。 如果未指定此选项则扩展名应包含在未命名默认部分中默认部分应包含一个名为“extensions”的变量该变量包含要使用的部分。 有关扩展部分格式的详细信息请参阅x509v3_config5手册页。
=item B<-force_pubkey key>
when a certificate is created set its public key to B<key> instead of the
@@ -438,6 +572,10 @@ example DH.
The format or B<key> can be specified using the B<-keyform> option.
当创建证书时将其公钥设置为key而不是证书或证书请求中的密钥。 此选项对于创建证书在算法无法正常签署请求时很有用例如DH。
可以使用-keyform选项指定格式或key。
=back
=head2 Name Options
@@ -448,18 +586,27 @@ format is used which is compatible with previous versions of GmSSL.
Each option is described in detail below, all options can be preceded by
a B<-> to turn the option off. Only the first four will normally be used.
nameopt命令行开关确定主题和发行者名称的显示方式。 如果没有nameopt开关
则使用与以前版本的GmSSL兼容的默认“oneline”格式。 每个选项在下面详细描述,
所有选项都可以在前面 - 关闭该选项。 通常只会使用前四个。
=over 4
=item B<compat>
use the old format.
使用旧的格式。
=item B<RFC2253>
displays names compatible with RFC2253 equivalent to B<esc_2253>, B<esc_ctrl>,
B<esc_msb>, B<utf8>, B<dump_nostr>, B<dump_unknown>, B<dump_der>,
B<sep_comma_plus>, B<dn_rev> and B<sname>.
显示与esc2253esc_ctrlesc_msbutf8dump_nostrdump_unknowndump_dersep_comma_plus
dn_rev和sname等效的RFC2253兼容的名称。
=item B<oneline>
a oneline format which is more readable than RFC2253. It is equivalent to
@@ -467,22 +614,31 @@ specifying the B<esc_2253>, B<esc_ctrl>, B<esc_msb>, B<utf8>, B<dump_nostr>,
B<dump_der>, B<use_quote>, B<sep_comma_plus_space>, B<space_eq> and B<sname>
options. This is the I<default> of no name options are given explicitly.
一种比RFC2253更可读的在线格式。 相当于指定esc_2253esc_ctrlesc_msbutf8dump_nostr
dump_deruse_quotesep_comma_plus_spacespace_eq和sname选项。 这是默认的,没有明确给出名称选项。
=item B<multiline>
a multiline format. It is equivalent B<esc_ctrl>, B<esc_msb>, B<sep_multiline>,
B<space_eq>, B<lname> and B<align>.
多行格式。 它等效于esc_ctrlesc_msbsep_multilinespace_eqlname和align。
=item B<esc_2253>
escape the "special" characters required by RFC2253 in a field. That is
B<,+"E<lt>E<gt>;>. Additionally B<#> is escaped at the beginning of a string
and a space character at the beginning or end of a string.
在一个字段中转义RFC2253所需的“特殊”字符。 也就是说,+“<>;另外#在字符串的开始处转义,在字符串的开头或结尾放置一个空格。
=item B<esc_2254>
escape the "special" characters required by RFC2254 in a field. That is
the B<NUL> character as well as and B<()*>.
在一个字段中转义RFC2254所需的“特殊”字符。 那就是NUL字符以及*。
=item B<esc_ctrl>
escape control characters. That is those with ASCII values less than
@@ -490,16 +646,22 @@ escape control characters. That is those with ASCII values less than
RFC2253 \XX notation (where XX are two hex digits representing the
character value).
转义控制字符。 那是ASCII值小于0x20空格和删除0x7f字符的那些。 它们使用RFC2253 \ XX符号进行转义其中XX是表示字符值的两个十六进制数字
=item B<esc_msb>
escape characters with the MSB set, that is with ASCII values larger than
127.
转义字符与MSB集合即ASCII值大于127。
=item B<use_quote>
escapes some characters by surrounding the whole string with B<"> characters,
without the option all escaping is done with the B<\> character.
通过围绕整个字符串以“字符”转义一些字符,而没有选项,所有的转义都是用\字符完成的。
=item B<utf8>
convert all strings to UTF8 format first. This is required by RFC2253. If
@@ -511,6 +673,11 @@ using the format \UXXXX for 16 bits and \WXXXXXXXX for 32 bits.
Also if this option is off any UTF8Strings will be converted to their
character form first.
首先将所有字符串转换为UTF8格式。 这是RFC2253所要求的。 如果您足够有足够的UTF8兼容终端
则使用此选项而不是设置esc_msb可能会导致多字节国际字符的正确显示。 此选项不存在,
则大于0xff的多字节字符将使用格式\ UXXXX16位和\ WXXXXXXXX32位来表示。 此外,
如果此选项关闭任何UTF8Strings将首先转换为其字符形式。
=item B<ignore_type>
this option does not attempt to interpret multibyte characters in any
@@ -518,11 +685,16 @@ way. That is their content octets are merely dumped as though one octet
represents each character. This is useful for diagnostic purposes but
will result in rather odd looking output.
此选项不会以任何方式尝试解释多字节字符。 这就是他们的内容八位字节只是被转储,
就像一个八位位组代表每个字符一样。 这对于诊断目的是有用的,但会导致相当奇怪的输出。
=item B<show_type>
show the type of the ASN1 character string. The type precedes the
field contents. For example "BMPSTRING: Hello World".
显示ASN1字符串的类型。 该类型位于字段内容之前。 例如“BMPSTRINGHello World”。
=item B<dump_der>
when this option is set any fields that need to be hexdumped will
@@ -530,21 +702,31 @@ be dumped using the DER encoding of the field. Otherwise just the
content octets will be displayed. Both options use the RFC2253
B<#XXXX...> format.
当设置此选项时需要使用hexdumped的任何字段将使用字段的DER编码进行转储。
否则只会显示内容八位字节。 两种选项都使用RFC2253 #XXXX ...格式
=item B<dump_nostr>
dump non character string types (for example OCTET STRING) if this
option is not set then non character string types will be displayed
as though each content octet represents a single character.
转储非字符串类型例如OCTET STRING如果未设置此选项
则将显示非字符串类型,因为每个内容字节表示单个字符。
=item B<dump_all>
dump all fields. This option when used with B<dump_der> allows the
DER encoding of the structure to be unambiguously determined.
转储所有字段。 当与dump_der一起使用时该选项允许明确地确定结构的DER编码。
=item B<dump_unknown>
dump any field whose OID is not recognised by GmSSL.
转储GmSSL不识别其OID的任何字段。
=item B<sep_comma_plus>, B<sep_comma_plus_space>, B<sep_semi_plus_space>,
B<sep_multiline>
@@ -557,12 +739,18 @@ the RDN separator and a spaced B<+> for the AVA separator. It also
indents the fields by four characters. If no field separator is specified
then B<sep_comma_plus_space> is used by default.
这些选项决定了字段分隔符。 第一个字符在RDN之间而第二个是多个AVA之间多个AVA非常罕见并且不鼓励使用它们
以“空格”结尾的选项还会在分隔符之后放置一个空格,使其更易于阅读。 sep_multiline对RDN分隔符使用换行字符
并为AVA分隔符使用间隔的+。 它还将字段缩小四个字符。 如果没有指定字段分隔符则默认使用sep_comma_plus_space。
=item B<dn_rev>
reverse the fields of the DN. This is required by RFC2253. As a side
effect this also reverses the order of multiple AVAs but this is
permissible.
反转DN的字段。 这是RFC2253所要求的。 作为副作用这也反转了多个AVA的顺序但这是允许的。
=item B<nofname>, B<sname>, B<lname>, B<oid>
these options alter how the field name is displayed. B<nofname> does
@@ -571,16 +759,24 @@ not display the field at all. B<sname> uses the "short name" form
B<oid> represents the OID in numerical form and is useful for
diagnostic purpose.
这些选项会改变字段名称的显示方式。 nofname根本不显示字段。
sname使用“短名称”表单例如用于commonName的CN
lname使用长格式。 oid以数字形式表示OID可用于诊断目的。
=item B<align>
align field values for a more readable output. Only usable with
B<sep_multiline>.
调整字段值以获得更可读的输出。 仅适用于sep_multiline。
=item B<space_eq>
places spaces round the B<=> character which follows the field
name.
在字段名后面的=字符上放置空格。
=back
=head2 Text Options