Scroll to navigation

OPENSSL(1SSL) OpenSSL OPENSSL(1SSL)

NAZWA

openssl - program wiersza poleceń do biblioteki OpenSSL

SKŁADNIA

openssl polecenie [ opcje ... ] [ parametry ... ]

openssl no-XXX [ opcje ]

openssl -help | -version

OPIS

OpenSSL to zestaw narzędzi kryptograficznych implementujący protokoły sieciowe Secure Sockets Layer (SSL) i Transport Layer Security (TLS) oraz wymagane przez nie standardy kryptograficzne.

Program openssl to program wiersza poleceń przeznaczony do używania różnych funkcji kryptograficznych biblioteki crypto OpenSSL z poziomu powłoki. Można go używać do:

 o Tworzenia i zarządzania kluczami prywatnymi, publicznymi i ich
parametrami
 o Operacji kryptograficznych na kluczach publicznych
 o Wystawiania certyfikatów X.509, CSR oraz CRL
 o Obliczania skrótów wiadomości i kodów uwierzytelniania wiadomości
 o Szyfrowania i deszyfrowania
 o Testowania klientów i serwerów SSL/TLS
 o Obsługi poczty z podpisem S/MIME lub zaszyfrowanej
 o Generowania i weryfikowania żądań znaczników czasowych

PODSUMOWANIE POLECEŃ

Program openssl dostarcza wielu różnych poleceń (polecenie w rozdziale „SKŁADNIA” powyżej). Każde ma mnóstwo opcji i argumentów, pokazanych powyżej jako opcje i parametry.

Dostępna jest szczegółowa dokumentacja i przykłady użycia dla najpopularniejszych podpoleceń (np. openssl-x509(1)). Podpoleceniem openssl-list(1) można wypisać listę podpoleceń.

Polecenie no-XXX sprawdza obecność polecenia o podanej nazwie. Jeśli XXX nie jest dostępne, zwraca 0 (kod powodzenia) i wypisuje no-XXX; w przeciwnym razie zwraca 1 i wypisuje XXX. W obydwu przypadkach efekty są kierowane na standardowe wyjście i nic nie pojawia się na standardowym wyjściu błędów. Dodatkowe argumenty wiersza poleceń są zawsze ignorowane. Ponieważ każdy szyfr jest wywoływany przez polecenie o takiej samej nazwie jak on sam, łatwo sprawdzić dostępność szyfrów w openssl z poziomu powłoki. (no-XXX nie potrafi wykrywać pseudopoleceń takich jak quit, list, czy samego no-XXX).

Opcje konfiguracyjne

Wiele poleceń korzysta z zewnętrznego pliku konfiguracyjnego do kilku lub wszystkich argumentów i może posiadać opcję -config określającą taki plik. Domyślną nazwą pliku jest openssl.cnf w domyślnym miejscu przechowywania certyfikatów, który można sprawdzić poleceniem openssl-version(1) z opcją -d lub -a. Zmienna środowiskowa OPENSSL_CONF może posłużyć do określenia innego położenia pliku lub wyłączenia ładowania konfiguracji (podając pusty łańcuch).

Plik konfiguracyjny może być używany między innymi do ładowania modułów i określania parametrów do generowania certyfikatów oraz liczb losowych. Więcej szczegółów w podręczniku config(5).

Polecenia standardowe

Analiza składni sekwencji ANS.1.
Zarządzanie ośrodkami certyfikacji (CA).
Opis zestawu dostępnych szyfrów.
Polecenie CMS (Cryptographic Message Syntax).
Zarządzanie listą unieważnionych certyfikatów (CRL).
Konwersja z CRL do PKCS#7.
Obliczanie skrótu wiadomości. Skróty wiadomości zostały zastąpione przez openssl-mac(1).
Tworzenie i zarządzanie parametrami Diffiego-Hellmana. Zastąpione przez genpkey(1) i pkeyparam(1).
Zarządzanie danymi DSA.
Tworzenie i zmienianie DSA. Zastąpione przez openssl-genpkey(1) i openssl-pkeyparam(1).
Przetwarzanie klucza EC (Elliptic curve - krzywych eliptycznych).
Tworzenie i zmienianie parametrów EC.
Szyfrowanie, odszyfrowywanie i kodowanie.
Informacja o silnikach (modułach ładowalnych) i zarządzanie nimi.
Konwersja numeru błędu na komunikat błędu.
Instalacja konfiguracji FIPS.
Tworzenie prywatnego klucza DSA na podstawie parametrów. Zastąpione openssl-genpkey(1) i openssl-pkey(1).
Tworzenie kluczy prywatnych lub parametrów.
Tworzenie klucza prywatnego RSA. Zastąpione przez openssl-genpkey(1).
Wyświetlenie informacji o opcjach polecenia.
Wyświetlenie różnych informacji wbudowanych w biblioteki OpenSSL.
Key Derivation Functions – funkcje wyprowadzania klucza.
Wypisanie algorytmów i funkcji.
Obliczanie Message Authentication Code – kodu uwierzytelniania wiadomości.
Tworzenie lub sprawdzanie sekwencji certyfikatów Netscape.
Polecenie protokołu stanu certyfikatu.
Generowanie skrótu hasła.
Zarządzanie danymi w formacie PKCS#12.
Zarządzanie danymi w formacie PKCS#7.
Polecenie konwersji klucza prywatnego w formacie PKCS#8.
Zarządzanie kluczami publicznymi i prywatnymi
Zarządzanie parametrami algorytmu klucza publicznego.
Polecenie operacji algorytmu kryptograficznego klucza publicznego.
Obliczanie liczb pierwszych.
Tworzenie pseudolosowych bajtów.
Tworzenie dowiązań symbolicznych do certyfikatów i plików CRL nazwanych według wartości skrótu.
Zarządzanie żądaniami podpisu certyfikatu PKCS#10 X.509 (CSR).
Zarządzanie kluczem RSA.
Polecenie do podpisywania, weryfikowania, szyfrowania i deszyfrowania RSA. Zastąpione przez openssl-pkeyutl(1).
Implementacja podstawowego klienta SSL/TLS mogącego nawiązywać przezroczyste połączenia z odległym serwerem na SSL/TLS. Służy jedynie do testowania i dostarcza tylko podstawowej funkcjonalności interfejsu, ale wewnętrznie korzysta z niemal pełnych możliwości biblioteki OpenSSL ssl.
Implementacja podstawowego serwera SSL/TLS przyjmującego połączenia od odległych klientów obsługujących SSL/TLS. Służy jedynie do testowania i dostarcza tylko podstawowej funkcjonalności interfejsu, ale wewnętrznie korzysta z niemal pełnych możliwości biblioteki OpenSSL ssl. Zawiera zarówno własny protokół wiersza poleceń do testowania funkcji SSL, jak i emuluje prosty serwer sieciowy SSL/TLS oparty na HTTP.
Licznik czasu połączenia SSL.
Zarządzanie danymi sesji SSL.
Przetwarzanie poczty S/MIME.
Mierzenie szybkości algorytmu.
Polecenie wypisywania i generowania SPKAC.
Zarządzanie plikiem haseł SRP. To polecenie jest przestarzałe.
Polecenie do wypisywania i wyświetlania certyfikatów, kluczy, CRL-i itp.
Polecenie Time Stamping Authority.
Weryfikacja certyfikatu X.509. Zob. też podręcznik openssl-verification-options(1).
Informacja o wersji OpenSSL.
Zarządzanie certyfikatami X.509.

Polecenia skrótu wiadomości

Skrót BLAKE2b-512
Skrót BLAKE2s-256
Skrót MD2
Skrót MD4
Skrót MD5
Skrót MDC2
Skrót RMD-160
Skrót SHA-1
Skrót SHA-2 224
Skrót SHA-2 256
Skrót SHA-2 384
Skrót SHA-2 512
Skrót SHA-3 224
Skrót SHA-3 256
Skrót SHA-3 384
Skrót SHA-3 512
Skrót KECCAK 224
Skrót KECCAK 256
Skrót KECCAK 384
Skrót KECCAK 512
Skrót SHA-3 SHAKE128
Skrót SHA-3 SHAKE256
Skrót SM3

Polecenia szyfrowania, odszyfrowywania i kodowania

Poniższe aliasy zapewniają wygodny dostęp do najpopularniejszych kodowań i szyfrów.

W zależności od sposobu skonfigurowania i zbudowania OpenSSL, nie wszystkie poniższe szyfry mogą być obecne. Więcej informacji w podręczniku openssl-enc(1).

Szyfr AES-128
Szyfr AES-192
Szyfr AES-256
Szyfr Aria-128
Szyfr Aria-192
Szyfr Aria-256
Kodowanie Base64
Szyfr Blowfish
Szyfr Camellia-128
Szyfr Camellia-192
Szyfr Camellia-256
Szyfr CAST
Szyfr CAST5
Szyfr Chacha20
Szyfr DES
Szyfr Triple-DES
Szyfr IDEA
Szyfr RC2
Szyfr RC4
Szyfr RC5
Szyfr SEED
Szyfr SM4

OPCJE

Dostępne opcje zależą od konkretnego polecenia. Niniejszy rozdział opisuje najczęstsze opcje z ich standardowym zachowaniem.

Opcje programu

Poniższe opcje można podać bez polecenia, aby uzyskać pomoc lub informacje o wersji.

Pokazuje zwięzłe podsumowanie wszystkich opcji. Więcej szczegółowych informacji dostarczy opcja -help danego polecenia. Przyjmuje również postać --help.
Pokazuje zwięzłe podsumowanie wersji programu openssl. Zob. openssl-version(1), aby uzyskać więcej informacji. Przyjmuje również postać --version.

Ogólne opcje

Jeśli opcja przyjmuje argument, podany jest również jego „typ”.
--
W ten sposób zamyka się listę opcji. Najbardziej przydatne, gdy jakiś parametr z nazwą pliku zaczyna się od minusa:

 openssl verify [flagi...] -- -cert1.pem...
    

Opcje formatu

Zob. podręcznik openssl-format-options(1).

Opcje hasła

Zob. podręcznik openssl-passphrase-options(1).

Opcja stanu losowości

Przed OpenSSL 1.1.1, częstą praktyką było przechowywanie informacji o stanie generatora liczb losowych w pliku, który był ładowany przy starcie i nadpisywany przy wyjściu. We współczesnych systemach operacyjnych zwykle nie jest to dłużej konieczne, ponieważ OpenSSL pobierze ziarno z zaufanego źródła entropii, zapewnionego przez system operacyjny. Poniższe opcje są wciąż obsługiwane w celu obsługi specjalnych platfor lub przypadków, które mogą ich wymagać.

Zwykle błędem jest używanie tego samego pliku z ziarnem więcej niż jednokrotnie, a każde zastosowanie -rand powinno być połączone z -writerand.

Plik lub pliki z danymi losowymi używanymi jako ziarno do generatora liczb losowych. Można podać wiele plików, rozdzielając je separatorem zależnym od używanego systemu operacyjnego. Separatorem jest: „;” w MS-Windows, „,” w OpenVMS i „:” we wszystkich pozostałych systemach. Innym sposobem podania wielu plików jest podanie tej opcji dla każdego pliku z osobna.
Zapisuje dane ziarna do podanego pliku przy wyjściu. Pliku można użyć przy kolejnym wywołaniu polecenia.

Opcje weryfikacji certyfikatu

Zob. podręcznik openssl-verification-options(1).

Opcje formatu nazwy

Zob. podręcznik openssl-namedisplay-options(1).

Opcje wersji TLS

Wiele poleceń używa SSL, TLS lub DTLS. Domyślnie polecenia używają TLS, a klienty informują o najniższej i najwyższej obsługiwanej przez nie wersji, po czym serwery wybierają najwyższą wersję oferowaną przez klienta, którą obsługuje również serwer.

Poniższych opcji można użyć, aby ograniczyć wersje protokołu, jakich będzie można użyć oraz aby wybrać, czy będzie stosowane TCP (SSL i TLS) czy UDP (DTLS). Proszę zauważyć, że nie wszystkie protokoły i opcje mogą być dostępne, w zależności od sposobu, w jaki zbudowano OpenSSL.

Opcje te wymagają lub wyłączają korzystanie z podanych protokołów SSL lub TLS. Gdy wymagana jest określona wersja TLS, tylko ona zostanie zaoferowana lub zaakceptowana. Można podać tylko jeden protokół i nie można go łączyć z żadną z opcji no_. Opcje no_* nie działają z poleceniami s_time i ciphers, lecz działają z poleceniami s_client i s_server.
Opcje te nakazują stosowanie DTLS zamiast TLS. Z -dtls, klienty będą negocjować dowolną obsługiwaną wersję protokołu DTLS. Aby obsługiwać wyłącznie DTLS1.0 lub DTLS1.2, należy zastosować, odpowiednio, -dtls1 lub -dtls1_2.

Opcje silnika

Ładuje silnik o identyfikatorze id i używa wszystkich metod przez niego implementowanych (algorytmów, przechowywania kluczy itp.), o ile nie podano inaczej w dokumentacji danego polecenia, albo nie jest tak skonfigurowany, zgodnie z opisem „Konfiguracja silnika” w config(5).

Silnik zostanie użyty do identyfikatorów kluczy podanych opcją -key i podobnymi opcjami, gdy poda się opcję taką jak -keyform engine.

Specjalnym przypadkiem jest silnik „loader_attic”, który jest przeznaczony do wewnętrznych testów OpenSSL i obsługuje ładowanie kluczy, parametrów, certyfikatów i CRL-i z plików. Gdy korzysta się z tego silnika, pliki z takimi poświadczeniami są odczytywane poprzez ten silnik. Korzystanie z postaci „file:” jest opcjonalne, wystarczy sam plik (ścieżka).

Opcje określające klucze, takie jak -key i podobne, mogą korzystać z podstawowej postaci URI ładowania kluczy silnika OpenSSL „org.openssl.engine:”, aby pobierać klucze prywatne i publiczne. Składnia URI jest następująca, w uproszczonej postaci:

 org.openssl.engine:{id-silnika}:{id-klucza}

Gdzie „{id-silnika}” jest identyfikatorem/nazwą silnika a „{id-klucza}” jest identyfikatorem klucza akceptowanym przez silnik. Na przykład, gdy używa się silnika, które łączy się z implementacją PKCS#11, podstawowe URI klucza wyglądałoby mniej więcej tak (przy okazji jest to przykład silnika PKCS#11, będącego częścią OpenSC):

 -key org.openssl.engine:pkcs11:label_jakis-klucz-prywatny

Jako trzecia możliwość, silniki i dostawcy zapewniający swoje własne OSSL_STORE_LOADER(3), nie wymagają „org.openssl.engine:”. W przypadku implementacji PKCS#11, która zaimplementowała taki mechanizm ładujący, URI PKCS#11, zgodne z definicją z RFC 7512, powinno dać się stosować bezpośrednio:

 -key pkcs11:object=jakis-klucz-prywatny;pin-value=1234

Opcje dostawcy

Ładuje i inicjuje dostawcę identyfikowanego nazwą. Nazwa może być również ścieżką do modułu dostawcy. W takim przypadku, nazwą dostawcy będzie podana ścieżka, a nie sama nazwa modułu dostawcy. Interpretacja ścieżek względnych zależy od platformy. Skonfigurowana ścieżka „MODULESDIR”, zmienna środowiskowa OPENSSL_MODULES lub ścieżka podana przez -provider-path jest dołączana przed ścieżkami względnymi. Więcej szczegółów w podręczniku provider(7).
Określa ścieżkę przeszukiwania, pod którą wyszukiwani są dostawcy. Równoważnie można ustawić zmienną środowiskową OPENSSL_MODULES.
Ustawia parametr konfiguracyjny klucz na wartość wartość u dostawcy nazwa (opcjonalne); jeśli nie poda się nazwy, to ustawienie zostanie zastosowane do wszystkich dostawców. Opcję można podać wielokrotnie, aby ustawić wiele parametrów. Opcje określające ładowanie dostawców innych niż domyślni, powinny poprzedzać niniejszą opcję, jeśli mają się stosować do mających być załadowanych dostawców. Parametry wpływające tylko na inicjowanie dostawców muszą być, obecnie, ustawione w pliku konfiguracyjnym, jedynie parametry, które są odpytywane jako potrzebne później, będą odnosiły skutek za pomocą opisywanego interfejsu. Obsługiwane są tylko parametry z wartościami łańcuchów UTF8. Obsługiwane parametry opisano w dokumentacji danych dostawców i powiązanych algorytmów.
Określa klauzulę zapytań o właściwości do użycia przy pobieraniu algorytmów od załadowanych dostawców. Więcej informacji w podręczniku property(7)

ŚRODOWISKO

Biblioteki OpenSSL mogą przyjmować pewne parametry konfiguracyjne ze środowiska.

Informacje o wszystkich zmiennych środowiskowych używanych przez biblioteki OpsnSSL, takie jak OPENSSL_CONF, OPENSSL_MODULES i OPENSSL_TRACE, znajdują się w podręczniku openssl-env(7).

Informacje o sposobach stosowania zmiennych środowiskowych w konfiguracji, opisano w rozdziale „środowisko” w podręczniku config(5).

Informacje o określonych poleceniach opisano w podręcznikach openssl-engine(1), openssl-rehash(1) i tsget(1).

Informacje o odpytywaniu lub podawaniu flag architektury procesora opisano w podręcznikach OPENSSL_ia32cap(3), OPENSSL_s390xcap(3) i OPENSSL_riscvcap(3).

ZOBACZ TAKŻE

openssl-asn1parse(1), openssl-ca(1), openssl-ciphers(1), openssl-cms(1), openssl-crl(1), openssl-crl2pkcs7(1), openssl-dgst(1), openssl-dhparam(1), openssl-dsa(1), openssl-dsaparam(1), openssl-ec(1), openssl-ecparam(1), openssl-enc(1), openssl-engine(1), openssl-errstr(1), openssl-gendsa(1), openssl-genpkey(1), openssl-genrsa(1), openssl-kdf(1), openssl-list(1), openssl-mac(1), openssl-nseq(1), openssl-ocsp(1), openssl-passwd(1), openssl-pkcs12(1), openssl-pkcs7(1), openssl-pkcs8(1), openssl-pkey(1), openssl-pkeyparam(1), openssl-pkeyutl(1), openssl-prime(1), openssl-rand(1), openssl-rehash(1), openssl-req(1), openssl-rsa(1), openssl-rsautl(1), openssl-s_client(1), openssl-s_server(1), openssl-s_time(1), openssl-sess_id(1), openssl-smime(1), openssl-speed(1), openssl-spkac(1), openssl-srp(1), openssl-storeutl(1), openssl-ts(1), openssl-verify(1), openssl-version(1), openssl-x509(1), config(5), crypto(7), openssl-env(7). ssl(7), x509v3_config(5)

HISTORIA

Opcje list -XXX-algorytmy dodano w OpenSSL 1.0.0; informacje o dostępności innych poleceń opisano w poszczególnych podręcznikach systemowych.

Opcja -issuer_checks została uznana za przestarzałą według stanu na OpenSSL 1.1.0 i jest po cichu ignorowana.

Opcje -xcertform i -xkeyform są przestarzałe od OpenSSL 3.0 i nie odnoszą skutku.

Tryb interaktywny, który można było przywołać uruchamiając „openssl” bez żadnych argumentów, usunięto w OpenSSL 3.0; obecnie uruchomienie programu bez argumentów odpowiada podaniu „openssl help”.

PRAWA AUTORSKIE

Copyright 2000-2025 The OpenSSL Project Authors. Wszystkie prawa zastrzeżone.

Licencjonowane na warunkach licencji Apache License 2.0 („Licencja”) Korzystanie dozwolone tylko w zgodzie z Licencją. Jej kopia jest dostępna w pliku LICENSE w źródłach lub na stronie <https://www.openssl.org/source/license.html>.

TŁUMACZENIE

Autorami polskiego tłumaczenia niniejszej strony podręcznika są: Daniel Koć <kocio@linuxnews.pl>, Robert Luberda <robert@debian.org> i Michał Kułach <michal.kulach@gmail.com>

Niniejsze tłumaczenie jest wolną dokumentacją. Bliższe informacje o warunkach licencji można uzyskać zapoznając się z GNU General Public License w wersji 3 lub nowszej. Nie przyjmuje się ŻADNEJ ODPOWIEDZIALNOŚCI.

Błędy w tłumaczeniu strony podręcznika prosimy zgłaszać na adres listy dyskusyjnej manpages-pl-list@lists.sourceforge.net.

8 kwietnia 2025 r. 3.5.0