1樓:匿名使用者
如果通過測試已經確定所有對等應用程式均支援 tlsv1.2,那麼該應用程式可配置為僅支援 tlsv1.2,以實現最高階別的安全性。對於某些應用程式,這種該配置可能始終不可行。
2樓:匿名使用者
可以自己嘗試搭建一個虛擬的環境,比如apache這樣的比較簡單的,開啟ssl3.0和tls1.0的協議,然後用瀏覽器去訪問。自己搞個自簽名證書
如何使用openssl命令列檢視配置支援的協議
3樓:兄弟連教育北京總校
用途:s_client為一個ssl/tls客戶端程式,與s_server對應,它不僅能與s_server進行通訊,也能與任何使用ssl協議的其他服務程式進行通訊。
用法:[cpp] view plain copy
openssl s_client [-host host] [-port port] [-connect host:port] [-verify depth] [-cert filename]
[-certform der|pem] [-key filename] [-keyform der|pem] [-pass arg] [-capath directory] [-cafile filename]
[-reconnect][-pause] [-showcerts] [-debug] [-msg] [-state] [-nbio_test] [-nbio][-crlf] [-ign_eof] [-no_ign_eof]
[-quiet] [-ssl2] [-ssl3] [-tls1_1] [-tls1_2] [-tls1] [-dtls1] [-no_ssl2][-no_ssl3] [-no_tls1] [-no_tls1_1]
[-no_tls1_2] [-bugs] [-cipher cipherlist] [-starttls protocol] [-engine id] [-tl***tdebug] [-no_ticket]
[-sess_out filename] [-sess_in filename] [-rand file(s)]
選項說明:
-host host:設定服務地址。
-port port:設定服務埠,預設為4433。
-connect host:port:設定伺服器地址和埠號。如果沒有設定,則預設為本地主機以及埠號4433。
-verify depth:設定證書的驗證深度。記得ca也是分層次的吧?
如果對方的證書的簽名ca不是root ca,那麼你可以再去驗證給該ca的證書籤名的ca,一直到root ca. 目前的驗證操作即使這條ca鏈上的某一個證書驗證有問題也不會影響對更深層的ca的身份的驗證。所以整個ca鏈上的問題都可以檢查出來。
當然ca的驗證出問題並不會直接造成連線馬上斷開,好的應用程式可以讓你根據驗證結果決定下一步怎麼走。
-cert filename:使用的證書檔案。如果server不要求要證書,這個可以省略。
-certform der|pem:證書的格式,一般為der和pem。預設為pem格式。
-key filename:使用的證書私鑰檔案。
-keyform der|pem:證書私鑰檔案的格式,一般為der和pem。預設為pem格式。
-pass arg:私鑰保護口令**,比如:-pass file:pwd.txt,將私鑰保護口令存放在一個檔案中,通過此選項來指定,不需要使用者來輸入口令。
-capath directory:設定信任ca檔案所在路徑,此路徑中的ca檔名採用特殊的形式:***.
0,其中***為ca證書持有者的雜湊值,它通過x509 -hash命令獲得。
-cafile filename:某檔案,裡面是所有你信任的ca的證書的內容。當你要建立client的證書鏈的時候也需要用到這個檔案。
-reconnect:使用同樣的session-id連線同一個server五次,用來測試server的session緩衝功能是否有問題。
-pause:每當讀寫資料時,sleep 1秒。
-showcerts:顯示整條server的證書的ca的證書鏈。否則只顯示server的證書。
-debug:列印所有的除錯資訊。
-msg:用16進位制顯示所有的協議資料。
-state:列印ssl session的狀態, ssl也是一個協議,當然有狀態。
-nbio_test:檢查非阻塞socket的i/o運**況。
-nbio:使用非阻塞socket。
-crlf:把在終端輸入的換行回車轉化成/r/n送出去。
-ign_eof:當輸入檔案到達檔案尾的時候並不斷開連線。
-no_ign_eof:當輸入檔案到達檔案尾的時候斷開連線。
-quiet:不列印出session和證書的資訊。同時會開啟-ign_eof這個選項。
-ssl2、-ssl3、-tls1_1、-tls1_2、-tls1、-dtls1、-no_ssl2、-no_ssl3、-no_tls1、-no_tls1_1、-no_tls1_2:使用的協議狀態值。
-bugs:相容老版本服務端的中的bug。
-cipher cipherlist:由我們自己來決定選用什麼加密演算法,儘管是由server來決定使用什麼演算法列表,但它一般都會採用我們送過去的cipher列表裡的第一個cipher。
-starttls protocol:protocol可以為smtp或pop3,用於郵件安全傳輸。
-engine id:硬體引擎。
-tl***tdebug:列印tls協議中伺服器端接收到的額外資訊值。
-no_ticket:不支援rfc4507bis會話型別。
-sess_out filename:輸出ssl會話資訊值到filename中。
-sess_in filename:從filename中獲取ssl session值。
-rand file(s):指定隨機數種子檔案,多個檔案間用分隔符分開,windows用「;」,openvms用「,「,其他系統用「:」。
連線選項:
如果一個確認的連線到ssl伺服器,並顯示了從伺服器端接收到了的資料,任何操作都被髮送到伺服器。當互動(這意味著沒有給出b<-quiet> 、b<-ign_eof>這兩個選項)的時候,如果命令列b,被設定則session有可能會被重啟。如果設定的是命令列b或到達了檔案的結尾,連線將會被斷開。
注意:s_client可用於除錯ssl伺服器端。為了連線一個ssl http伺服器,命令如下:
openssl s_client -connect servername:443
一旦和某個ssl server建立連線之後,所有從server得到的資料都會被列印出來,所有你在終端上輸入的東西也會被送給server. 這是人機互動式的。這時候不能設定-quiet和 -ign_eof這倆個選項。
如果輸入的某行開頭字母是r,那麼在這裡session會重啟, 如果輸入的某行開頭是q,那麼連線會被斷開。你完成整個輸入之後連線也會被斷開。
如果連線成功,你可以用http的指令,比如"get /"什麼的去獲得網頁了。
如果握手失敗,原因可能有以下幾種:
1. server需要驗證你的證書,但你沒有證書。
2. 如果肯定不是原因1,那麼就慢慢一個一個set以下幾個選項:-bugs, -ssl2, -ssl3, -tls1,-no_ssl2,-no_ssl3, -no_dtls。
3. 這可能是因為對方的server處理ssl有bug。
有的時候,client會報錯:沒有證書可以使用,或者供選擇的證書列表是空的。這一般是因為server沒有把給你簽名的ca的名字列進它自己認為可以信任的ca列表,你可以用檢查一下server的信任ca列表。
有的http server只在 client給出了一個url之後才驗證client的證書,這中情況下要設定 -prexit這個選項,並且送給server一個頁面請求。
即使使用-cert指明使用的證書,如果server不要求驗證client的證書,那麼該證書也不會被驗證。所以不要以為在命令列里加了-cert 的引數又連線成功就代表你的證書沒有問題。
如果驗證server的證書有問題,就可以設定-showcerts來看看server的證書的ca鏈了。
自從sslv23客戶端hello不能夠包含壓縮方法或擴充套件僅僅會被支援。
bugs:
因為該專案有很多選項,好多用的是老的技術,c**的s_client很難去讀取為什麼會被關閉。一個典型的ssl客戶端專案將會更加簡單的。
如果伺服器驗證失敗,b<-verify>將會退出。
b<-prexit>選項是一個很小的空間。當一個session重啟後,我們必須報告。
怎麼檢視tls的版本 linux
4樓:匿名使用者
如果是centos或者redhat,用yum來管理的,用yum info gnutls 檢視
如果是debian,ubuntu這類以dpkg包管理的,用dpkg -l|grep gnutls
5樓:匿名使用者
gnutls-serv -v
為什麼要使用tlsv1.2和system ssl
6樓:緣lai如茨
因為tlsv1.2是國際通用的安全套接字協議,具有很高的安全性,特點如下:
1、雜湊協商。客戶端和伺服器可以協商將用作內建功能的任何雜湊演算法,並且已經將預設的密碼對 md5/sha-1 替換為 sha-256。
2、證書雜湊或簽名控制。可以將證書申請人配置為僅接受證書路徑中指定的雜湊或簽名演算法對。
3、符合 suite b 的密碼套件。已經新增了兩個密碼套件,以便使用 tls 符合 suite b:
tls_ecdhe_ecdsa_with_aes_128_gcm_sha256
tls_ecdhe_ecdsa_with_aes_256_gcm_sha384
如何檢視顯示卡的位寬,如何檢視顯示卡的位寬。。。用什麼軟體。。
視訊記憶體位寬是視訊記憶體在一個時鐘週期內所能傳送資料的位數,位數越大則瞬間所能傳輸的資料量越大,這是視訊記憶體的重要引數之一。目前市場上的視訊記憶體位寬有64位 128位和256位三種,人們習慣上叫的64位顯示卡 128位顯示卡和256位顯示卡就是指其相應的視訊記憶體位寬。視訊記憶體位寬越高,效能...
用啥軟體測試cpu穩定性,用啥軟體測試CPU穩定性
用cpu z啊!裡面的數值都是會馬上重新整理的!這樣你就知道你的cpu穩不穩定了!要是cpu穩定的話,它裡面是數值的變化不會太大!有什麼比較好用的,用來測試cpu穩定性的軟體 知名的硬體測試工具aida64中就有拷機工具啦。可通過100 的跑負荷,檢測系統的溫度狀態及穩定性啦。現在測試cpu效能一般...
怎樣測試電腦的fps值,如何檢視電腦FPS值
如果是桌面的話,跟顯示器是同步的,一般顯示器都是59 60重新整理率,如果在遊戲時候要看fps的話,有可能就需要藉助第三方軟體了,隨便給你說幾個吧,遊戲加加,fraps,如果你是n卡的話,可以下個gfe 可以用專業的軟體來測試的。看看專業軟體跑到多少以後心裡就有數了。有叫顯示卡測試軟體叫3dmark...