gnutls-cli(1)

Från Wiki.linux.se -Linux wikipedia på Svenska.
Hoppa till navigering Hoppa till sök

gnutls-cli(1)

NAMN

gnutls-cli – GnuTLS-klient

SYNOPSIS

gnutls-cli [-flaggor] [-flagga [värde]] [--alternativnamn[[=| ]värde]]
           [värdnamn]

Operander och alternativ kan blandas. De kommer att omordnas.

BESKRIVNING

Enkelt klientprogram för att upprätta en TLS-anslutning till en annan dator. Det upprättar en TLS-anslutning och vidarebefordrar data från standard in till den säkrade socketen och vice versa.

ALTERNATIV

-d num, --debug=num
Aktivera felsökning. Detta alternativ tar ett heltal som argument. Värdet för num är begränsat till intervallet 0 till 9999.
Anger felsökningsnivån.
-V, --verbose
Mer utförlig utdata.
--tofu, --no-tofu
Aktivera autentisering enligt ”trust on first use”. Formen no-tofu inaktiverar alternativet.
Detta alternativ kommer, utöver certifikatautentisering, att utföra autentisering baserad på tidigare sedda publika nycklar, en modell liknande SSH-autentisering. Observera att när tofu används blir PKI- och DANE-autentisering rådgivande för att hjälpa till i processen att acceptera den publika nyckeln.
--strict-tofu, --no-strict-tofu
Misslyckas med anslutningen om ett certifikat är okänt eller om ett känt certifikat har ändrats. Formen no-strict-tofu inaktiverar alternativet.
Detta alternativ utför autentisering som med --tofu; inga frågor ställs dock alls, varken för att acceptera ett okänt certifikat eller ett ändrat certifikat.
--dane, --no-dane
Aktivera DANE-certifikatverifiering, DNSSEC. Formen no-dane inaktiverar alternativet.
Detta alternativ kommer, utöver certifikatautentisering med betrodda CA:er, att verifiera servercertifikat med hjälp av DANE-information tillgänglig via DNSSEC.
--local-dns, --no-local-dns
Använd den lokala DNS-servern för DNSSEC-upplösning. Formen no-local-dns inaktiverar alternativet.
Detta alternativ använder den lokala DNS-servern för DNSSEC. Det är avstängt som standard eftersom många servrar inte tillåter DNSSEC.
--ca-verification, --no-ca-verification
Aktivera verifiering av CA-certifikat. Formen no-ca-verification inaktiverar alternativet. Detta alternativ är aktiverat som standard.
Detta alternativ kan användas för att aktivera eller inaktivera verifiering av CA-certifikat. Det är avsett att användas med --dane eller --tofu.
--ocsp, --no-ocsp
Aktivera OCSP-verifiering av certifikat. Formen no-ocsp inaktiverar alternativet.
Detta alternativ aktiverar verifiering av motpartens certifikat med OCSP.
-r, --resume
Upprätta en session och återuppta den.
Anslut, upprätta en session, återanslut och återuppta.
--earlydata=str
Skicka tidig data vid återupptagning från den angivna filen.
-e, --rehandshake
Upprätta en session och gör ny handskakning.
Anslut, upprätta en session och gör omedelbart en ny handskakning.
--sni-hostname=str
Serverns värdnamn för tillägget Server Name Indication.
Anger uttryckligen servernamnet som används i TLS-tillägget Server Name Indication. Det är användbart vid testning mot servrar som är uppsatta på ett annat DNS-namn än det avsedda. Om det inte anges används det givna värdnamnet. Även med detta alternativ använder servercertifikatverifieringen värdnamnet som skickas på huvudkommandoraden. Använd --verify-hostname för att ändra detta.
--verify-hostname=str
Serverns värdnamn som ska användas för validering.
Anger uttryckligen servernamnet som ska användas när serverns certifikat valideras.
-s, --starttls
Anslut, upprätta en okrypterad session och starta TLS.
TLS-sessionen initieras när EOF eller SIGALRM tas emot.
--app-proto
Detta är ett alias för alternativet --starttls-proto.
--starttls-proto=str
Applikationsprotokollet som ska användas för att hämta serverns certifikat, https, ftp, smtp, imap, ldap, xmpp, lmtp, pop3, nntp, sieve, postgres. Detta alternativ får inte användas tillsammans med starttls.
Anger applikationslagerprotokollet för STARTTLS. Om protokollet stöds går gnutls-cli vidare till TLS-förhandlingen.
--starttls-name=str
Värdnamnet som presenteras för applikationsprotokollet för STARTTLS, för smtp, xmpp, lmtp. Detta alternativ får inte användas tillsammans med starttls. Detta alternativ måste användas tillsammans med starttls-proto.
Anger värdnamnet som presenteras för applikationsprotokollet för STARTTLS.
-u, --udp
Använd DTLS, datagram TLS, över UDP.
--mtu=num
Ange MTU för datagram-TLS. Detta alternativ tar ett heltal som argument. Värdet för num är begränsat till intervallet 0 till 17000.
--crlf
Skicka CR LF i stället för LF.
--fastopen
Aktivera TCP Fast Open.
--x509fmtder
Använd DER-format för certifikat som läses in.
--print-cert
Skriv ut motpartens certifikat i PEM-format.
--save-cert=str
Spara motpartens certifikatkedja i angiven fil i PEM-format.
--save-ocsp=str
Spara motpartens OCSP-statussvar i den angivna filen. Detta alternativ får inte användas tillsammans med save-ocsp-multi.
--save-ocsp-multi=str
Spara alla OCSP-svar som tillhandahålls av motparten i denna fil. Detta alternativ får inte användas tillsammans med save-ocsp.
Filen kommer att innehålla en lista av PEM-kodade OCSP-statussvar, om några tillhandahölls av motparten, med början på svaret för motpartens servercertifikat.
--save-server-trace=str
Spara serverns TLS-meddelandespårning i den angivna filen.
--save-client-trace=str
Spara klientens TLS-meddelandespårning i den angivna filen.
--dh-bits=num
Minsta antal bitar som tillåts för DH. Detta alternativ tar ett heltal som argument.
Detta alternativ anger minsta tillåtna antal bitar för en Diffie-Hellman-nyckelutväxling. Du kan vilja sänka standardvärdet om motparten skickar ett svagt primtal och du får ett anslutningsfel med oacceptabelt primtal.
--priority=str
Prioritetssträng.
TLS-algoritmer och protokoll att aktivera. Du kan använda fördefinierade uppsättningar av chiffersviter som PERFORMANCE, NORMAL, PFS, SECURE128, SECURE256. Standard är NORMAL.
Se GnuTLS-manualens avsnitt ”Priority strings” för mer information om tillåtna nyckelord.
--x509cafile=str
Certifikatfil eller PKCS #11-URL att använda.
--x509crlfile=file
CRL-fil att använda.
--x509keyfile=str
X.509-nyckelfil eller PKCS #11-URL att använda.
--x509certfile=str
X.509-certifikatfil eller PKCS #11-URL att använda. Detta alternativ måste användas tillsammans med x509keyfile.
--rawpkkeyfile=str
Privat nyckelfil, PKCS #8 eller PKCS #12, eller PKCS #11-URL att använda.
För att instruera programmet att förhandla råa publika nycklar måste motsvarande certifikattyper aktiveras via prioritetssträngarna, det vill säga CTYPE-CLI-* och CTYPE-SRV-*.
Se GnuTLS-manualens avsnitt ”Priority strings” för mer information om hur certifikattyper sätts.
--rawpkfile=str
Fil med rå publik nyckel att använda. Detta alternativ måste användas tillsammans med rawpkkeyfile.
För att instruera programmet att förhandla råa publika nycklar måste motsvarande certifikattyper aktiveras via prioritetssträngarna, det vill säga CTYPE-CLI-* och CTYPE-SRV-*.
Se GnuTLS-manualens avsnitt ”Priority strings” för mer information om hur certifikattyper sätts.
--srpusername=str
SRP-användarnamn att använda.
--srppasswd=str
SRP-lösenord att använda.
--pskusername=str
PSK-användarnamn att använda.
--pskkey=str
PSK-nyckel, i hex, att använda.
-p str, --port=str
Porten eller tjänsten att ansluta till.
--insecure
Avbryt inte programmet om servercertifikatet inte kan valideras.
--verify-allow-broken
Tillåt trasiga algoritmer, såsom MD5, vid certifikatverifiering.
--ranges
Använd längddöljande utfyllnad för att förhindra trafikanalys.
När det är möjligt, till exempel vid användning av CBC-chiffersviter, används längddöljande utfyllnad för att förhindra trafikanalys.
OBS: DETTA ALTERNATIV ÄR FÖRÅLDRAT
--benchmark-ciphers
Prestandatesta enskilda chiffer.
Som standard använder de testade chifferna lokala CPU-egenskaper för att förbättra prestandan. För att testa mot den rena mjukvaruimplementationen, sätt miljövariabeln GNUTLS_CPUID_OVERRIDE till 0x1.
--benchmark-tls-kx
Prestandatesta TLS-metoder för nyckelutväxling.
--benchmark-tls-ciphers
Prestandatesta TLS-chiffer.
Som standard använder de testade chifferna lokala CPU-egenskaper för att förbättra prestandan. För att testa mot den rena mjukvaruimplementationen, sätt miljövariabeln GNUTLS_CPUID_OVERRIDE till 0x1.
-l, --list
Skriv ut en lista över stödda algoritmer och lägen. Detta alternativ får inte användas tillsammans med port.
Skriv ut en lista över stödda algoritmer och lägen. Om en prioritetssträng anges visas endast de aktiverade chiffersviterna.
--priority-list
Skriv ut en lista över stödda prioritetssträngar.
Skriv ut en lista över stödda prioritetssträngar. Chiffersviterna som motsvarar varje prioritetssträng kan undersökas med -l -p.
--noticket
Tillåt inte sessionsbiljetter.
Inaktivera begäran om mottagning av sessionsbiljetter under TLS 1.2 eller tidigare.
--srtp-profiles=str
Erbjud SRTP-profiler.
--alpn=str
Protokoll på applikationslagret. Detta alternativ får användas obegränsat antal gånger.
Detta alternativ ställer in och aktiverar Application Layer Protocol Negotiation, ALPN, i TLS-protokollet.
--compress-cert=str
Komprimera certifikat. Detta alternativ får användas obegränsat antal gånger.
Detta alternativ anger en stödd komprimeringsmetod för certifikatkomprimering.
-b, --heartbeat
Aktivera stöd för heartbeat.
--recordsize=num
Den största poststorlek som ska annonseras. Detta alternativ tar ett heltal som argument. Värdet för num är begränsat till intervallet 0 till 4096.
--disable-sni
Skicka inte Server Name Indication, SNI.
--disable-extensions
Inaktivera alla TLS-tillägg.
Detta alternativ inaktiverar alla TLS-tillägg. Föråldrat alternativ. Använd prioritetssträngen.
OBS: DETTA ALTERNATIV ÄR FÖRÅLDRAT
--single-key-share
Skicka en enda key share under TLS 1.3.
Detta alternativ ändrar standardläget från att skicka flera key shares till att skicka en enda, den översta.
--post-handshake-auth
Aktivera autentisering efter handskakning under TLS 1.3.
Detta alternativ aktiverar autentisering efter handskakning när TLS 1.3 används.
--inline-commands
Infogade kommandon på formen ^<cmd>^.
Aktivera infogade kommandon på formen ^<cmd>^. De infogade kommandona förväntas ligga ensamma på en rad. Tillgängliga kommandon är: resume, rekey1 , lokal nyckelförnyelse, rekey , nyckelförnyelse på båda parter, och renegotiate.
--inline-commands-prefix=str
Ändra standardavgränsaren för infogade kommandon.
Ändra standardavgränsaren, ^, som används för infogade kommandon. Avgränsaren förväntas vara ett enda US-ASCII-tecken, oktetter 0 till 127. Detta alternativ är endast relevant om infogade kommandon aktiverats med inline-commands.
--provider=file
Ange PKCS #11-providerbiblioteket.
Detta åsidosätter standardalternativen i /etc/gnutls/pkcs11.conf.
--fips140-mode
Rapporterar status för FIPS140-2-läget i gnutls-biblioteket.
--list-config
Rapporterar bibliotekets konfiguration.
--logfile=str
Omdirigera informationsmeddelanden till en viss fil.
Omdirigera informationsmeddelanden till en viss fil. Filen kan också vara /dev/null för att göra gnutls-klienten tyst när den används i rörkopplade serveranslutningar där endast serverkommunikationen ska visas på standard ut.
--keymatexport=str
Etikett som används för export av nyckelmaterial.
--keymatexportsize=num
Storlek på det exporterade nyckelmaterialet. Detta alternativ tar ett heltal som argument.
--waitresumption
Blockera i väntan på återupptagningsdata under TLS 1.3.
Detta alternativ gör att klienten blockerar i väntan på återupptagningsdata under TLS 1.3. Alternativet har endast effekt när --resume används.
--ca-auto-retrieve, --no-ca-auto-retrieve
Aktivera automatisk hämtning av saknade CA-certifikat. Formen no-ca-auto-retrieve inaktiverar alternativet.
Detta alternativ aktiverar att klienten automatiskt hämtar saknade mellanliggande CA-certifikat i certifikatkedjan, baserat på tillägget Authority Information Access, AIA.
--attime=timestamp
Utför validering vid den angivna tidsstämpeln i stället för systemtiden.
timestamp är en tidpunkt kodad som Unix-tid eller som en läsbar tidssträng såsom ”29 Feb 2004”, ”2004-02-29”. Fullständig dokumentation finns på
https://www.gnu.org/software/coreutils/manual/html_node/Date-input-formats.html
eller lokalt via info '(coreutils) date invocation' .
-v arg, --version=arg
Skriv ut programmets version och avsluta. Standardläge är ”v”, en enkel version. Läget ”c” skriver ut upphovsrättsinformation och ”n” skriver ut hela upphovsrättsmeddelandet.
-h, --help
Visa användningsinformation och avsluta.
-!, --more-help
Skicka den utökade användningsinformationen genom en sidvisare.

EXEMPEL

Ansluta med PSK-autentisering

För att ansluta till en server med PSK-autentisering måste du aktivera valet av PSK med en prioriteringsparameter för chiffer, som i exemplet nedan. 

$ ./gnutls-cli -p 5556 localhost --pskusername psk_identity \
    --pskkey 88f3824b3e5659f52d00e959bacab954b6540344 \
    --priority NORMAL:-KX-ALL:+ECDHE-PSK:+DHE-PSK:+PSK
Resolving 'localhost'...
Connecting to '127.0.0.1:5556'...
- PSK authentication.
- Version: TLS1.1
- Key Exchange: PSK
- Cipher: AES-128-CBC
- MAC: SHA1
- Compression: NULL
- Handshake was completed

- Simple Client Mode:

Genom att behålla parametern --pskusername och ta bort parametern --pskkey kommer programmet endast att fråga efter lösenordet under handskakningen.

Ansluta med autentisering via rå publik nyckel

För att ansluta till en server med autentisering via rå publik nyckel måste du aktivera möjligheten att förhandla råa publika nycklar via prioritetssträngarna, som i exemplet nedan. 

$ ./gnutls-cli -p 5556 localhost \
    --priority NORMAL:-CTYPE-CLI-ALL:+CTYPE-CLI-RAWPK \
    --rawpkkeyfile cli.key.pem \
    --rawpkfile cli.rawpk.pem
Processed 1 client raw public key pair...
Resolving 'localhost'...
Connecting to '127.0.0.1:5556'...
- Successfully sent 1 certificate(s) to server.
- Server has requested a certificate.
- Certificate type: X.509
- Got a certificate list of 1 certificates.
- Certificate[0] info:
 - skipped
- Description: (TLS1.3-Raw Public Key-X.509)-(ECDHE-SECP256R1)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
- Options:
- Handshake was completed

- Simple Client Mode:

Ansluta till STARTTLS-tjänster

Du kan också använda klienten för att ansluta till tjänster som har stöd för STARTTLS. 

$ gnutls-cli --starttls-proto smtp --port 25 localhost

Lista chiffersviter i en prioritetssträng

För att lista chiffersviterna i en prioritetssträng: 

$ ./gnutls-cli --priority SECURE192 -l
Cipher suites for SECURE192
TLS_ECDHE_ECDSA_AES_256_CBC_SHA384         0xc0, 0x24  TLS1.2
TLS_ECDHE_ECDSA_AES_256_GCM_SHA384         0xc0, 0x2e  TLS1.2
TLS_ECDHE_RSA_AES_256_GCM_SHA384           0xc0, 0x30  TLS1.2
TLS_DHE_RSA_AES_256_CBC_SHA256             0x00, 0x6b  TLS1.2
TLS_DHE_DSS_AES_256_CBC_SHA256             0x00, 0x6a  TLS1.2
TLS_RSA_AES_256_CBC_SHA256                 0x00, 0x3d  TLS1.2

Certificate types: CTYPE-X.509
Protocols: VERS-TLS1.2, VERS-TLS1.1, VERS-TLS1.0, VERS-SSL3.0, VERS-DTLS1.0
Compression: COMP-NULL
Elliptic curves: CURVE-SECP384R1, CURVE-SECP521R1
PK-signatures: SIGN-RSA-SHA384, SIGN-ECDSA-SHA384, SIGN-RSA-SHA512, SIGN-ECDSA-SHA512

Ansluta med en PKCS #11-token

För att ansluta till en server med ett certifikat och en privat nyckel som finns i en PKCS #11-token behöver du ersätta PKCS #11-URL:erna i parametrarna x509certfile och x509keyfile.

Dessa kan hittas med ”p11tool --list-tokens”, därefter genom att lista alla objekt i den aktuella tokenen och använda rätt URL. 

$ p11tool --list-tokens

Token 0:
     URL: pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test
     Label: Test
     Manufacturer: EnterSafe
     Model: PKCS15
     Serial: 1234

$ p11tool --login --list-certs "pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test"

Object 0:
     URL: pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test;object=client;type=cert
     Type: X.509 Certificate
     Label: client
     ID: 2a:97:0d:58:d1:51:3c:23:07:ae:4e:0d:72:26:03:7d:99:06:02:6a

$ MYCERT="pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test;object=client;type=cert"
$ MYKEY="pkcs11:model=PKCS15;manufacturer=MyMan;serial=1234;token=Test;object=client;type=private"
$ export MYCERT MYKEY

$ gnutls-cli www.example.com --x509keyfile $MYKEY --x509certfile $MYCERT

Observera att den privata nyckeln endast skiljer sig från certifikatet i typen.

AVSLUTNINGSSTATUS

Ett av följande avslutningsvärden returneras:

0, EXIT_SUCCESS
Programmet kördes framgångsrikt.
1, EXIT_FAILURE
Åtgärden misslyckades eller kommandosyntaxen var inte giltig.

SE ÄVEN

gnutls-cli-debug(1), gnutls-serv(1)

FÖRFATTARE

UPPHOVSRÄTT

Copyright © 2020–2023 Free Software Foundation, och andra, alla rättigheter förbehållna. Detta program ges ut under villkoren i GNU General Public License, version 3 eller senare.

FEL

Skicka felrapporter till: bugs@gnutls.org

KOLOFON

Den här sidan är en del av projektet GnuTLS, GnuTLS Transport Layer Security Library. Information om projektet finns på ⟨http://www.gnutls.org/⟩. Om du har en felrapport för denna manualsida, skicka den till bugs@gnutls.org. Denna sida hämtades från tar-arkivet som hämtades från ⟨https://www.gnupg.org/ftp/gcrypt/gnutls/⟩ den 2026-01-16. Om du upptäcker renderingsproblem i denna HTML-version av sidan, eller om du anser att det finns en bättre eller mer uppdaterad källa för sidan, eller om du har rättelser eller förbättringar till informationen i denna KOLOFON, vilket inte är en del av den ursprungliga manualsidan, skicka e-post till man-pages@man7.org.

Sidslut

Orginalhemsidan på Engelska https://man7.org/linux/man-pages/man1/gnutls-cli.1.html Det här är en maskinöversättning av Linux man sidor till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till PC Service som har sponsrat Linux.se med webbhotell.

Hämtad från "https://wiki.linux.se/index.php?title=gnutls-cli(1)&oldid=9071"