Merge branch 'vendor/OPENSSL'
[dragonfly.git] / secure / usr.bin / openssl / man / x509.1
1 .\" Automatically generated by Pod::Man 2.16 (Pod::Simple 3.05)
2 .\"
3 .\" Standard preamble:
4 .\" ========================================================================
5 .de Sh \" Subsection heading
6 .br
7 .if t .Sp
8 .ne 5
9 .PP
10 \fB\\$1\fR
11 .PP
12 ..
13 .de Sp \" Vertical space (when we can't use .PP)
14 .if t .sp .5v
15 .if n .sp
16 ..
17 .de Vb \" Begin verbatim text
18 .ft CW
19 .nf
20 .ne \\$1
21 ..
22 .de Ve \" End verbatim text
23 .ft R
24 .fi
25 ..
26 .\" Set up some character translations and predefined strings.  \*(-- will
27 .\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left
28 .\" double quote, and \*(R" will give a right double quote.  \*(C+ will
29 .\" give a nicer C++.  Capital omega is used to do unbreakable dashes and
30 .\" therefore won't be available.  \*(C` and \*(C' expand to `' in nroff,
31 .\" nothing in troff, for use with C<>.
32 .tr \(*W-
33 .ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p'
34 .ie n \{\
35 .    ds -- \(*W-
36 .    ds PI pi
37 .    if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch
38 .    if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\"  diablo 12 pitch
39 .    ds L" ""
40 .    ds R" ""
41 .    ds C` ""
42 .    ds C' ""
43 'br\}
44 .el\{\
45 .    ds -- \|\(em\|
46 .    ds PI \(*p
47 .    ds L" ``
48 .    ds R" ''
49 'br\}
50 .\"
51 .\" Escape single quotes in literal strings from groff's Unicode transform.
52 .ie \n(.g .ds Aq \(aq
53 .el       .ds Aq '
54 .\"
55 .\" If the F register is turned on, we'll generate index entries on stderr for
56 .\" titles (.TH), headers (.SH), subsections (.Sh), items (.Ip), and index
57 .\" entries marked with X<> in POD.  Of course, you'll have to process the
58 .\" output yourself in some meaningful fashion.
59 .ie \nF \{\
60 .    de IX
61 .    tm Index:\\$1\t\\n%\t"\\$2"
62 ..
63 .    nr % 0
64 .    rr F
65 .\}
66 .el \{\
67 .    de IX
68 ..
69 .\}
70 .\"
71 .\" Accent mark definitions (@(#)ms.acc 1.5 88/02/08 SMI; from UCB 4.2).
72 .\" Fear.  Run.  Save yourself.  No user-serviceable parts.
73 .    \" fudge factors for nroff and troff
74 .if n \{\
75 .    ds #H 0
76 .    ds #V .8m
77 .    ds #F .3m
78 .    ds #[ \f1
79 .    ds #] \fP
80 .\}
81 .if t \{\
82 .    ds #H ((1u-(\\\\n(.fu%2u))*.13m)
83 .    ds #V .6m
84 .    ds #F 0
85 .    ds #[ \&
86 .    ds #] \&
87 .\}
88 .    \" simple accents for nroff and troff
89 .if n \{\
90 .    ds ' \&
91 .    ds ` \&
92 .    ds ^ \&
93 .    ds , \&
94 .    ds ~ ~
95 .    ds /
96 .\}
97 .if t \{\
98 .    ds ' \\k:\h'-(\\n(.wu*8/10-\*(#H)'\'\h"|\\n:u"
99 .    ds ` \\k:\h'-(\\n(.wu*8/10-\*(#H)'\`\h'|\\n:u'
100 .    ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'^\h'|\\n:u'
101 .    ds , \\k:\h'-(\\n(.wu*8/10)',\h'|\\n:u'
102 .    ds ~ \\k:\h'-(\\n(.wu-\*(#H-.1m)'~\h'|\\n:u'
103 .    ds / \\k:\h'-(\\n(.wu*8/10-\*(#H)'\z\(sl\h'|\\n:u'
104 .\}
105 .    \" troff and (daisy-wheel) nroff accents
106 .ds : \\k:\h'-(\\n(.wu*8/10-\*(#H+.1m+\*(#F)'\v'-\*(#V'\z.\h'.2m+\*(#F'.\h'|\\n:u'\v'\*(#V'
107 .ds 8 \h'\*(#H'\(*b\h'-\*(#H'
108 .ds o \\k:\h'-(\\n(.wu+\w'\(de'u-\*(#H)/2u'\v'-.3n'\*(#[\z\(de\v'.3n'\h'|\\n:u'\*(#]
109 .ds d- \h'\*(#H'\(pd\h'-\w'~'u'\v'-.25m'\f2\(hy\fP\v'.25m'\h'-\*(#H'
110 .ds D- D\\k:\h'-\w'D'u'\v'-.11m'\z\(hy\v'.11m'\h'|\\n:u'
111 .ds th \*(#[\v'.3m'\s+1I\s-1\v'-.3m'\h'-(\w'I'u*2/3)'\s-1o\s+1\*(#]
112 .ds Th \*(#[\s+2I\s-2\h'-\w'I'u*3/5'\v'-.3m'o\v'.3m'\*(#]
113 .ds ae a\h'-(\w'a'u*4/10)'e
114 .ds Ae A\h'-(\w'A'u*4/10)'E
115 .    \" corrections for vroff
116 .if v .ds ~ \\k:\h'-(\\n(.wu*9/10-\*(#H)'\s-2\u~\d\s+2\h'|\\n:u'
117 .if v .ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'\v'-.4m'^\v'.4m'\h'|\\n:u'
118 .    \" for low resolution devices (crt and lpr)
119 .if \n(.H>23 .if \n(.V>19 \
120 \{\
121 .    ds : e
122 .    ds 8 ss
123 .    ds o a
124 .    ds d- d\h'-1'\(ga
125 .    ds D- D\h'-1'\(hy
126 .    ds th \o'bp'
127 .    ds Th \o'LP'
128 .    ds ae ae
129 .    ds Ae AE
130 .\}
131 .rm #[ #] #H #V #F C
132 .\" ========================================================================
133 .\"
134 .IX Title "X509 1"
135 .TH X509 1 "2010-02-27" "0.9.8m" "OpenSSL"
136 .\" For nroff, turn off justification.  Always turn off hyphenation; it makes
137 .\" way too many mistakes in technical documents.
138 .if n .ad l
139 .nh
140 .SH "NAME"
141 x509 \- Certificate display and signing utility
143 .IX Header "SYNOPSIS"
144 \&\fBopenssl\fR \fBx509\fR
145 [\fB\-inform DER|PEM|NET\fR]
146 [\fB\-outform DER|PEM|NET\fR]
147 [\fB\-keyform DER|PEM\fR]
148 [\fB\-CAform DER|PEM\fR]
149 [\fB\-CAkeyform DER|PEM\fR]
150 [\fB\-in filename\fR]
151 [\fB\-out filename\fR]
152 [\fB\-serial\fR]
153 [\fB\-hash\fR]
154 [\fB\-subject_hash\fR]
155 [\fB\-issuer_hash\fR]
156 [\fB\-subject\fR]
157 [\fB\-issuer\fR]
158 [\fB\-nameopt option\fR]
159 [\fB\-email\fR]
160 [\fB\-startdate\fR]
161 [\fB\-enddate\fR]
162 [\fB\-purpose\fR]
163 [\fB\-dates\fR]
164 [\fB\-modulus\fR]
165 [\fB\-fingerprint\fR]
166 [\fB\-alias\fR]
167 [\fB\-noout\fR]
168 [\fB\-trustout\fR]
169 [\fB\-clrtrust\fR]
170 [\fB\-clrreject\fR]
171 [\fB\-addtrust arg\fR]
172 [\fB\-addreject arg\fR]
173 [\fB\-setalias arg\fR]
174 [\fB\-days arg\fR]
175 [\fB\-set_serial n\fR]
176 [\fB\-signkey filename\fR]
177 [\fB\-x509toreq\fR]
178 [\fB\-req\fR]
179 [\fB\-CA filename\fR]
180 [\fB\-CAkey filename\fR]
181 [\fB\-CAcreateserial\fR]
182 [\fB\-CAserial filename\fR]
183 [\fB\-text\fR]
184 [\fB\-C\fR]
185 [\fB\-md2|\-md5|\-sha1|\-mdc2\fR]
186 [\fB\-clrext\fR]
187 [\fB\-extfile filename\fR]
188 [\fB\-extensions section\fR]
189 [\fB\-engine id\fR]
191 .IX Header "DESCRIPTION"
192 The \fBx509\fR command is a multi purpose certificate utility. It can be
193 used to display certificate information, convert certificates to
194 various forms, sign certificate requests like a \*(L"mini \s-1CA\s0\*(R" or edit
195 certificate trust settings.
196 .PP
197 Since there are a large number of options they will split up into
198 various sections.
200 .IX Header "OPTIONS"
201 .Sh "\s-1INPUT\s0, \s-1OUTPUT\s0 \s-1AND\s0 \s-1GENERAL\s0 \s-1PURPOSE\s0 \s-1OPTIONS\s0"
203 .IP "\fB\-inform DER|PEM|NET\fR" 4
204 .IX Item "-inform DER|PEM|NET"
205 This specifies the input format normally the command will expect an X509
206 certificate but this can change if other options such as \fB\-req\fR are
207 present. The \s-1DER\s0 format is the \s-1DER\s0 encoding of the certificate and \s-1PEM\s0
208 is the base64 encoding of the \s-1DER\s0 encoding with header and footer lines
209 added. The \s-1NET\s0 option is an obscure Netscape server format that is now
210 obsolete.
211 .IP "\fB\-outform DER|PEM|NET\fR" 4
212 .IX Item "-outform DER|PEM|NET"
213 This specifies the output format, the options have the same meaning as the 
214 \&\fB\-inform\fR option.
215 .IP "\fB\-in filename\fR" 4
216 .IX Item "-in filename"
217 This specifies the input filename to read a certificate from or standard input
218 if this option is not specified.
219 .IP "\fB\-out filename\fR" 4
220 .IX Item "-out filename"
221 This specifies the output filename to write to or standard output by
222 default.
223 .IP "\fB\-md2|\-md5|\-sha1|\-mdc2\fR" 4
224 .IX Item "-md2|-md5|-sha1|-mdc2"
225 the digest to use. This affects any signing or display option that uses a message
226 digest, such as the \fB\-fingerprint\fR, \fB\-signkey\fR and \fB\-CA\fR options. If not
227 specified then \s-1SHA1\s0 is used. If the key being used to sign with is a \s-1DSA\s0 key
228 then this option has no effect: \s-1SHA1\s0 is always used with \s-1DSA\s0 keys.
229 .IP "\fB\-engine id\fR" 4
230 .IX Item "-engine id"
231 specifying an engine (by it's unique \fBid\fR string) will cause \fBreq\fR
232 to attempt to obtain a functional reference to the specified engine,
233 thus initialising it if needed. The engine will then be set as the default
234 for all available algorithms.
235 .Sh "\s-1DISPLAY\s0 \s-1OPTIONS\s0"
236 .IX Subsection "DISPLAY OPTIONS"
237 Note: the \fB\-alias\fR and \fB\-purpose\fR options are also display options
238 but are described in the \fB\s-1TRUST\s0 \s-1SETTINGS\s0\fR section.
239 .IP "\fB\-text\fR" 4
240 .IX Item "-text"
241 prints out the certificate in text form. Full details are output including the
242 public key, signature algorithms, issuer and subject names, serial number
243 any extensions present and any trust settings.
244 .IP "\fB\-certopt option\fR" 4
245 .IX Item "-certopt option"
246 customise the output format used with \fB\-text\fR. The \fBoption\fR argument can be
247 a single option or multiple options separated by commas. The \fB\-certopt\fR switch
248 may be also be used more than once to set multiple options. See the \fB\s-1TEXT\s0 \s-1OPTIONS\s0\fR
249 section for more information.
250 .IP "\fB\-noout\fR" 4
251 .IX Item "-noout"
252 this option prevents output of the encoded version of the request.
253 .IP "\fB\-modulus\fR" 4
254 .IX Item "-modulus"
255 this option prints out the value of the modulus of the public key
256 contained in the certificate.
257 .IP "\fB\-serial\fR" 4
258 .IX Item "-serial"
259 outputs the certificate serial number.
260 .IP "\fB\-subject_hash\fR" 4
261 .IX Item "-subject_hash"
262 outputs the \*(L"hash\*(R" of the certificate subject name. This is used in OpenSSL to
263 form an index to allow certificates in a directory to be looked up by subject
264 name.
265 .IP "\fB\-issuer_hash\fR" 4
266 .IX Item "-issuer_hash"
267 outputs the \*(L"hash\*(R" of the certificate issuer name.
268 .IP "\fB\-hash\fR" 4
269 .IX Item "-hash"
270 synonym for \*(L"\-subject_hash\*(R" for backward compatibility reasons.
271 .IP "\fB\-subject\fR" 4
272 .IX Item "-subject"
273 outputs the subject name.
274 .IP "\fB\-issuer\fR" 4
275 .IX Item "-issuer"
276 outputs the issuer name.
277 .IP "\fB\-nameopt option\fR" 4
278 .IX Item "-nameopt option"
279 option which determines how the subject or issuer names are displayed. The
280 \&\fBoption\fR argument can be a single option or multiple options separated by
281 commas.  Alternatively the \fB\-nameopt\fR switch may be used more than once to
282 set multiple options. See the \fB\s-1NAME\s0 \s-1OPTIONS\s0\fR section for more information.
283 .IP "\fB\-email\fR" 4
284 .IX Item "-email"
285 outputs the email address(es) if any.
286 .IP "\fB\-startdate\fR" 4
287 .IX Item "-startdate"
288 prints out the start date of the certificate, that is the notBefore date.
289 .IP "\fB\-enddate\fR" 4
290 .IX Item "-enddate"
291 prints out the expiry date of the certificate, that is the notAfter date.
292 .IP "\fB\-dates\fR" 4
293 .IX Item "-dates"
294 prints out the start and expiry dates of a certificate.
295 .IP "\fB\-fingerprint\fR" 4
296 .IX Item "-fingerprint"
297 prints out the digest of the \s-1DER\s0 encoded version of the whole certificate
298 (see digest options).
299 .IP "\fB\-C\fR" 4
300 .IX Item "-C"
301 this outputs the certificate in the form of a C source file.
302 .Sh "\s-1TRUST\s0 \s-1SETTINGS\s0"
303 .IX Subsection "TRUST SETTINGS"
304 Please note these options are currently experimental and may well change.
305 .PP
306 A \fBtrusted certificate\fR is an ordinary certificate which has several
307 additional pieces of information attached to it such as the permitted
308 and prohibited uses of the certificate and an \*(L"alias\*(R".
309 .PP
310 Normally when a certificate is being verified at least one certificate
311 must be \*(L"trusted\*(R". By default a trusted certificate must be stored
312 locally and must be a root \s-1CA:\s0 any certificate chain ending in this \s-1CA\s0
313 is then usable for any purpose.
314 .PP
315 Trust settings currently are only used with a root \s-1CA\s0. They allow a finer
316 control over the purposes the root \s-1CA\s0 can be used for. For example a \s-1CA\s0
317 may be trusted for \s-1SSL\s0 client but not \s-1SSL\s0 server use.
318 .PP
319 See the description of the \fBverify\fR utility for more information on the
320 meaning of trust settings.
321 .PP
322 Future versions of OpenSSL will recognize trust settings on any
323 certificate: not just root CAs.
324 .IP "\fB\-trustout\fR" 4
325 .IX Item "-trustout"
326 this causes \fBx509\fR to output a \fBtrusted\fR certificate. An ordinary
327 or trusted certificate can be input but by default an ordinary
328 certificate is output and any trust settings are discarded. With the
329 \&\fB\-trustout\fR option a trusted certificate is output. A trusted
330 certificate is automatically output if any trust settings are modified.
331 .IP "\fB\-setalias arg\fR" 4
332 .IX Item "-setalias arg"
333 sets the alias of the certificate. This will allow the certificate
334 to be referred to using a nickname for example \*(L"Steve's Certificate\*(R".
335 .IP "\fB\-alias\fR" 4
336 .IX Item "-alias"
337 outputs the certificate alias, if any.
338 .IP "\fB\-clrtrust\fR" 4
339 .IX Item "-clrtrust"
340 clears all the permitted or trusted uses of the certificate.
341 .IP "\fB\-clrreject\fR" 4
342 .IX Item "-clrreject"
343 clears all the prohibited or rejected uses of the certificate.
344 .IP "\fB\-addtrust arg\fR" 4
345 .IX Item "-addtrust arg"
346 adds a trusted certificate use. Any object name can be used here
347 but currently only \fBclientAuth\fR (\s-1SSL\s0 client use), \fBserverAuth\fR
348 (\s-1SSL\s0 server use) and \fBemailProtection\fR (S/MIME email) are used.
349 Other OpenSSL applications may define additional uses.
350 .IP "\fB\-addreject arg\fR" 4
351 .IX Item "-addreject arg"
352 adds a prohibited use. It accepts the same values as the \fB\-addtrust\fR
353 option.
354 .IP "\fB\-purpose\fR" 4
355 .IX Item "-purpose"
356 this option performs tests on the certificate extensions and outputs
357 the results. For a more complete description see the \fB\s-1CERTIFICATE\s0
358 \&\s-1EXTENSIONS\s0\fR section.
359 .Sh "\s-1SIGNING\s0 \s-1OPTIONS\s0"
360 .IX Subsection "SIGNING OPTIONS"
361 The \fBx509\fR utility can be used to sign certificates and requests: it
362 can thus behave like a \*(L"mini \s-1CA\s0\*(R".
363 .IP "\fB\-signkey filename\fR" 4
364 .IX Item "-signkey filename"
365 this option causes the input file to be self signed using the supplied
366 private key.
367 .Sp
368 If the input file is a certificate it sets the issuer name to the
369 subject name (i.e.  makes it self signed) changes the public key to the
370 supplied value and changes the start and end dates. The start date is
371 set to the current time and the end date is set to a value determined
372 by the \fB\-days\fR option. Any certificate extensions are retained unless
373 the \fB\-clrext\fR option is supplied.
374 .Sp
375 If the input is a certificate request then a self signed certificate
376 is created using the supplied private key using the subject name in
377 the request.
378 .IP "\fB\-clrext\fR" 4
379 .IX Item "-clrext"
380 delete any extensions from a certificate. This option is used when a
381 certificate is being created from another certificate (for example with
382 the \fB\-signkey\fR or the \fB\-CA\fR options). Normally all extensions are
383 retained.
384 .IP "\fB\-keyform PEM|DER\fR" 4
385 .IX Item "-keyform PEM|DER"
386 specifies the format (\s-1DER\s0 or \s-1PEM\s0) of the private key file used in the
387 \&\fB\-signkey\fR option.
388 .IP "\fB\-days arg\fR" 4
389 .IX Item "-days arg"
390 specifies the number of days to make a certificate valid for. The default
391 is 30 days.
392 .IP "\fB\-x509toreq\fR" 4
393 .IX Item "-x509toreq"
394 converts a certificate into a certificate request. The \fB\-signkey\fR option
395 is used to pass the required private key.
396 .IP "\fB\-req\fR" 4
397 .IX Item "-req"
398 by default a certificate is expected on input. With this option a
399 certificate request is expected instead.
400 .IP "\fB\-set_serial n\fR" 4
401 .IX Item "-set_serial n"
402 specifies the serial number to use. This option can be used with either
403 the \fB\-signkey\fR or \fB\-CA\fR options. If used in conjunction with the \fB\-CA\fR
404 option the serial number file (as specified by the \fB\-CAserial\fR or
405 \&\fB\-CAcreateserial\fR options) is not used.
406 .Sp
407 The serial number can be decimal or hex (if preceded by \fB0x\fR). Negative
408 serial numbers can also be specified but their use is not recommended.
409 .IP "\fB\-CA filename\fR" 4
410 .IX Item "-CA filename"
411 specifies the \s-1CA\s0 certificate to be used for signing. When this option is
412 present \fBx509\fR behaves like a \*(L"mini \s-1CA\s0\*(R". The input file is signed by this
413 \&\s-1CA\s0 using this option: that is its issuer name is set to the subject name
414 of the \s-1CA\s0 and it is digitally signed using the CAs private key.
415 .Sp
416 This option is normally combined with the \fB\-req\fR option. Without the
417 \&\fB\-req\fR option the input is a certificate which must be self signed.
418 .IP "\fB\-CAkey filename\fR" 4
419 .IX Item "-CAkey filename"
420 sets the \s-1CA\s0 private key to sign a certificate with. If this option is
421 not specified then it is assumed that the \s-1CA\s0 private key is present in
422 the \s-1CA\s0 certificate file.
423 .IP "\fB\-CAserial filename\fR" 4
424 .IX Item "-CAserial filename"
425 sets the \s-1CA\s0 serial number file to use.
426 .Sp
427 When the \fB\-CA\fR option is used to sign a certificate it uses a serial
428 number specified in a file. This file consist of one line containing
429 an even number of hex digits with the serial number to use. After each
430 use the serial number is incremented and written out to the file again.
431 .Sp
432 The default filename consists of the \s-1CA\s0 certificate file base name with
433 \&\*(L".srl\*(R" appended. For example if the \s-1CA\s0 certificate file is called 
434 \&\*(L"mycacert.pem\*(R" it expects to find a serial number file called \*(L"\*(R".
435 .IP "\fB\-CAcreateserial\fR" 4
436 .IX Item "-CAcreateserial"
437 with this option the \s-1CA\s0 serial number file is created if it does not exist:
438 it will contain the serial number \*(L"02\*(R" and the certificate being signed will
439 have the 1 as its serial number. Normally if the \fB\-CA\fR option is specified
440 and the serial number file does not exist it is an error.
441 .IP "\fB\-extfile filename\fR" 4
442 .IX Item "-extfile filename"
443 file containing certificate extensions to use. If not specified then
444 no extensions are added to the certificate.
445 .IP "\fB\-extensions section\fR" 4
446 .IX Item "-extensions section"
447 the section to add certificate extensions from. If this option is not
448 specified then the extensions should either be contained in the unnamed
449 (default) section or the default section should contain a variable called
450 \&\*(L"extensions\*(R" which contains the section to use.
451 .Sh "\s-1NAME\s0 \s-1OPTIONS\s0"
452 .IX Subsection "NAME OPTIONS"
453 The \fBnameopt\fR command line switch determines how the subject and issuer
454 names are displayed. If no \fBnameopt\fR switch is present the default \*(L"oneline\*(R"
455 format is used which is compatible with previous versions of OpenSSL.
456 Each option is described in detail below, all options can be preceded by
457 a \fB\-\fR to turn the option off. Only the first four will normally be used.
458 .IP "\fBcompat\fR" 4
459 .IX Item "compat"
460 use the old format. This is equivalent to specifying no name options at all.
461 .IP "\fB\s-1RFC2253\s0\fR" 4
462 .IX Item "RFC2253"
463 displays names compatible with \s-1RFC2253\s0 equivalent to \fBesc_2253\fR, \fBesc_ctrl\fR,
464 \&\fBesc_msb\fR, \fButf8\fR, \fBdump_nostr\fR, \fBdump_unknown\fR, \fBdump_der\fR,
465 \&\fBsep_comma_plus\fR, \fBdn_rev\fR and \fBsname\fR.
466 .IP "\fBoneline\fR" 4
467 .IX Item "oneline"
468 a oneline format which is more readable than \s-1RFC2253\s0. It is equivalent to
469 specifying the  \fBesc_2253\fR, \fBesc_ctrl\fR, \fBesc_msb\fR, \fButf8\fR, \fBdump_nostr\fR,
470 \&\fBdump_der\fR, \fBuse_quote\fR, \fBsep_comma_plus_space\fR, \fBspace_eq\fR and \fBsname\fR
471 options.
472 .IP "\fBmultiline\fR" 4
473 .IX Item "multiline"
474 a multiline format. It is equivalent \fBesc_ctrl\fR, \fBesc_msb\fR, \fBsep_multiline\fR,
475 \&\fBspace_eq\fR, \fBlname\fR and \fBalign\fR.
476 .IP "\fBesc_2253\fR" 4
477 .IX Item "esc_2253"
478 escape the \*(L"special\*(R" characters required by \s-1RFC2253\s0 in a field That is
479 \&\fB,+"<>;\fR. Additionally \fB#\fR is escaped at the beginning of a string
480 and a space character at the beginning or end of a string.
481 .IP "\fBesc_ctrl\fR" 4
482 .IX Item "esc_ctrl"
483 escape control characters. That is those with \s-1ASCII\s0 values less than
484 0x20 (space) and the delete (0x7f) character. They are escaped using the
485 \&\s-1RFC2253\s0 \eXX notation (where \s-1XX\s0 are two hex digits representing the
486 character value).
487 .IP "\fBesc_msb\fR" 4
488 .IX Item "esc_msb"
489 escape characters with the \s-1MSB\s0 set, that is with \s-1ASCII\s0 values larger than
490 127.
491 .IP "\fBuse_quote\fR" 4
492 .IX Item "use_quote"
493 escapes some characters by surrounding the whole string with \fB"\fR characters,
494 without the option all escaping is done with the \fB\e\fR character.
495 .IP "\fButf8\fR" 4
496 .IX Item "utf8"
497 convert all strings to \s-1UTF8\s0 format first. This is required by \s-1RFC2253\s0. If
498 you are lucky enough to have a \s-1UTF8\s0 compatible terminal then the use
499 of this option (and \fBnot\fR setting \fBesc_msb\fR) may result in the correct
500 display of multibyte (international) characters. Is this option is not
501 present then multibyte characters larger than 0xff will be represented
502 using the format \eUXXXX for 16 bits and \eWXXXXXXXX for 32 bits.
503 Also if this option is off any UTF8Strings will be converted to their
504 character form first.
505 .IP "\fBno_type\fR" 4
506 .IX Item "no_type"
507 this option does not attempt to interpret multibyte characters in any
508 way. That is their content octets are merely dumped as though one octet
509 represents each character. This is useful for diagnostic purposes but
510 will result in rather odd looking output.
511 .IP "\fBshow_type\fR" 4
512 .IX Item "show_type"
513 show the type of the \s-1ASN1\s0 character string. The type precedes the
514 field contents. For example \*(L"\s-1BMPSTRING:\s0 Hello World\*(R".
515 .IP "\fBdump_der\fR" 4
516 .IX Item "dump_der"
517 when this option is set any fields that need to be hexdumped will
518 be dumped using the \s-1DER\s0 encoding of the field. Otherwise just the
519 content octets will be displayed. Both options use the \s-1RFC2253\s0
520 \&\fB#XXXX...\fR format.
521 .IP "\fBdump_nostr\fR" 4
522 .IX Item "dump_nostr"
523 dump non character string types (for example \s-1OCTET\s0 \s-1STRING\s0) if this
524 option is not set then non character string types will be displayed
525 as though each content octet represents a single character.
526 .IP "\fBdump_all\fR" 4
527 .IX Item "dump_all"
528 dump all fields. This option when used with \fBdump_der\fR allows the
529 \&\s-1DER\s0 encoding of the structure to be unambiguously determined.
530 .IP "\fBdump_unknown\fR" 4
531 .IX Item "dump_unknown"
532 dump any field whose \s-1OID\s0 is not recognised by OpenSSL.
533 .IP "\fBsep_comma_plus\fR, \fBsep_comma_plus_space\fR, \fBsep_semi_plus_space\fR, \fBsep_multiline\fR" 4
534 .IX Item "sep_comma_plus, sep_comma_plus_space, sep_semi_plus_space, sep_multiline"
535 these options determine the field separators. The first character is
536 between RDNs and the second between multiple AVAs (multiple AVAs are
537 very rare and their use is discouraged). The options ending in
538 \&\*(L"space\*(R" additionally place a space after the separator to make it
539 more readable. The \fBsep_multiline\fR uses a linefeed character for
540 the \s-1RDN\s0 separator and a spaced \fB+\fR for the \s-1AVA\s0 separator. It also
541 indents the fields by four characters.
542 .IP "\fBdn_rev\fR" 4
543 .IX Item "dn_rev"
544 reverse the fields of the \s-1DN\s0. This is required by \s-1RFC2253\s0. As a side
545 effect this also reverses the order of multiple AVAs but this is
546 permissible.
547 .IP "\fBnofname\fR, \fBsname\fR, \fBlname\fR, \fBoid\fR" 4
548 .IX Item "nofname, sname, lname, oid"
549 these options alter how the field name is displayed. \fBnofname\fR does
550 not display the field at all. \fBsname\fR uses the \*(L"short name\*(R" form
551 (\s-1CN\s0 for commonName for example). \fBlname\fR uses the long form.
552 \&\fBoid\fR represents the \s-1OID\s0 in numerical form and is useful for
553 diagnostic purpose.
554 .IP "\fBalign\fR" 4
555 .IX Item "align"
556 align field values for a more readable output. Only usable with
557 \&\fBsep_multiline\fR.
558 .IP "\fBspace_eq\fR" 4
559 .IX Item "space_eq"
560 places spaces round the \fB=\fR character which follows the field
561 name.
562 .Sh "\s-1TEXT\s0 \s-1OPTIONS\s0"
563 .IX Subsection "TEXT OPTIONS"
564 As well as customising the name output format, it is also possible to
565 customise the actual fields printed using the \fBcertopt\fR options when
566 the \fBtext\fR option is present. The default behaviour is to print all fields.
567 .IP "\fBcompatible\fR" 4
568 .IX Item "compatible"
569 use the old format. This is equivalent to specifying no output options at all.
570 .IP "\fBno_header\fR" 4
571 .IX Item "no_header"
572 don't print header information: that is the lines saying \*(L"Certificate\*(R" and \*(L"Data\*(R".
573 .IP "\fBno_version\fR" 4
574 .IX Item "no_version"
575 don't print out the version number.
576 .IP "\fBno_serial\fR" 4
577 .IX Item "no_serial"
578 don't print out the serial number.
579 .IP "\fBno_signame\fR" 4
580 .IX Item "no_signame"
581 don't print out the signature algorithm used.
582 .IP "\fBno_validity\fR" 4
583 .IX Item "no_validity"
584 don't print the validity, that is the \fBnotBefore\fR and \fBnotAfter\fR fields.
585 .IP "\fBno_subject\fR" 4
586 .IX Item "no_subject"
587 don't print out the subject name.
588 .IP "\fBno_issuer\fR" 4
589 .IX Item "no_issuer"
590 don't print out the issuer name.
591 .IP "\fBno_pubkey\fR" 4
592 .IX Item "no_pubkey"
593 don't print out the public key.
594 .IP "\fBno_sigdump\fR" 4
595 .IX Item "no_sigdump"
596 don't give a hexadecimal dump of the certificate signature.
597 .IP "\fBno_aux\fR" 4
598 .IX Item "no_aux"
599 don't print out certificate trust information.
600 .IP "\fBno_extensions\fR" 4
601 .IX Item "no_extensions"
602 don't print out any X509V3 extensions.
603 .IP "\fBext_default\fR" 4
604 .IX Item "ext_default"
605 retain default extension behaviour: attempt to print out unsupported certificate extensions.
606 .IP "\fBext_error\fR" 4
607 .IX Item "ext_error"
608 print an error message for unsupported certificate extensions.
609 .IP "\fBext_parse\fR" 4
610 .IX Item "ext_parse"
611 \&\s-1ASN1\s0 parse unsupported extensions.
612 .IP "\fBext_dump\fR" 4
613 .IX Item "ext_dump"
614 hex dump unsupported extensions.
615 .IP "\fBca_default\fR" 4
616 .IX Item "ca_default"
617 the value used by the \fBca\fR utility, equivalent to \fBno_issuer\fR, \fBno_pubkey\fR, \fBno_header\fR,
618 \&\fBno_version\fR, \fBno_sigdump\fR and \fBno_signame\fR.
620 .IX Header "EXAMPLES"
621 Note: in these examples the '\e' means the example should be all on one
622 line.
623 .PP
624 Display the contents of a certificate:
625 .PP
626 .Vb 1
627 \& openssl x509 \-in cert.pem \-noout \-text
628 .Ve
629 .PP
630 Display the certificate serial number:
631 .PP
632 .Vb 1
633 \& openssl x509 \-in cert.pem \-noout \-serial
634 .Ve
635 .PP
636 Display the certificate subject name:
637 .PP
638 .Vb 1
639 \& openssl x509 \-in cert.pem \-noout \-subject
640 .Ve
641 .PP
642 Display the certificate subject name in \s-1RFC2253\s0 form:
643 .PP
644 .Vb 1
645 \& openssl x509 \-in cert.pem \-noout \-subject \-nameopt RFC2253
646 .Ve
647 .PP
648 Display the certificate subject name in oneline form on a terminal
649 supporting \s-1UTF8:\s0
650 .PP
651 .Vb 1
652 \& openssl x509 \-in cert.pem \-noout \-subject \-nameopt oneline,\-esc_msb
653 .Ve
654 .PP
655 Display the certificate \s-1MD5\s0 fingerprint:
656 .PP
657 .Vb 1
658 \& openssl x509 \-in cert.pem \-noout \-fingerprint
659 .Ve
660 .PP
661 Display the certificate \s-1SHA1\s0 fingerprint:
662 .PP
663 .Vb 1
664 \& openssl x509 \-sha1 \-in cert.pem \-noout \-fingerprint
665 .Ve
666 .PP
667 Convert a certificate from \s-1PEM\s0 to \s-1DER\s0 format:
668 .PP
669 .Vb 1
670 \& openssl x509 \-in cert.pem \-inform PEM \-out cert.der \-outform DER
671 .Ve
672 .PP
673 Convert a certificate to a certificate request:
674 .PP
675 .Vb 1
676 \& openssl x509 \-x509toreq \-in cert.pem \-out req.pem \-signkey key.pem
677 .Ve
678 .PP
679 Convert a certificate request into a self signed certificate using
680 extensions for a \s-1CA:\s0
681 .PP
682 .Vb 2
683 \& openssl x509 \-req \-in careq.pem \-extfile openssl.cnf \-extensions v3_ca \e
684 \&        \-signkey key.pem \-out cacert.pem
685 .Ve
686 .PP
687 Sign a certificate request using the \s-1CA\s0 certificate above and add user
688 certificate extensions:
689 .PP
690 .Vb 2
691 \& openssl x509 \-req \-in req.pem \-extfile openssl.cnf \-extensions v3_usr \e
692 \&        \-CA cacert.pem \-CAkey key.pem \-CAcreateserial
693 .Ve
694 .PP
695 Set a certificate to be trusted for \s-1SSL\s0 client use and change set its alias to
696 \&\*(L"Steve's Class 1 \s-1CA\s0\*(R"
697 .PP
698 .Vb 2
699 \& openssl x509 \-in cert.pem \-addtrust clientAuth \e
700 \&        \-setalias "Steve\*(Aqs Class 1 CA" \-out trust.pem
701 .Ve
702 .SH "NOTES"
703 .IX Header "NOTES"
704 The \s-1PEM\s0 format uses the header and footer lines:
705 .PP
706 .Vb 2
707 \& \-\-\-\-\-BEGIN CERTIFICATE\-\-\-\-\-
708 \& \-\-\-\-\-END CERTIFICATE\-\-\-\-\-
709 .Ve
710 .PP
711 it will also handle files containing:
712 .PP
713 .Vb 2
714 \& \-\-\-\-\-BEGIN X509 CERTIFICATE\-\-\-\-\-
715 \& \-\-\-\-\-END X509 CERTIFICATE\-\-\-\-\-
716 .Ve
717 .PP
718 Trusted certificates have the lines
719 .PP
720 .Vb 2
721 \& \-\-\-\-\-BEGIN TRUSTED CERTIFICATE\-\-\-\-\-
722 \& \-\-\-\-\-END TRUSTED CERTIFICATE\-\-\-\-\-
723 .Ve
724 .PP
725 The conversion to \s-1UTF8\s0 format used with the name options assumes that
726 T61Strings use the \s-1ISO8859\-1\s0 character set. This is wrong but Netscape
727 and \s-1MSIE\s0 do this as do many certificates. So although this is incorrect
728 it is more likely to display the majority of certificates correctly.
729 .PP
730 The \fB\-fingerprint\fR option takes the digest of the \s-1DER\s0 encoded certificate.
731 This is commonly called a \*(L"fingerprint\*(R". Because of the nature of message
732 digests the fingerprint of a certificate is unique to that certificate and
733 two certificates with the same fingerprint can be considered to be the same.
734 .PP
735 The Netscape fingerprint uses \s-1MD5\s0 whereas \s-1MSIE\s0 uses \s-1SHA1\s0.
736 .PP
737 The \fB\-email\fR option searches the subject name and the subject alternative
738 name extension. Only unique email addresses will be printed out: it will
739 not print the same address more than once.
742 The \fB\-purpose\fR option checks the certificate extensions and determines
743 what the certificate can be used for. The actual checks done are rather
744 complex and include various hacks and workarounds to handle broken
745 certificates and software.
746 .PP
747 The same code is used when verifying untrusted certificates in chains
748 so this section is useful if a chain is rejected by the verify code.
749 .PP
750 The basicConstraints extension \s-1CA\s0 flag is used to determine whether the
751 certificate can be used as a \s-1CA\s0. If the \s-1CA\s0 flag is true then it is a \s-1CA\s0,
752 if the \s-1CA\s0 flag is false then it is not a \s-1CA\s0. \fBAll\fR CAs should have the
753 \&\s-1CA\s0 flag set to true.
754 .PP
755 If the basicConstraints extension is absent then the certificate is
756 considered to be a \*(L"possible \s-1CA\s0\*(R" other extensions are checked according
757 to the intended use of the certificate. A warning is given in this case
758 because the certificate should really not be regarded as a \s-1CA:\s0 however
759 it is allowed to be a \s-1CA\s0 to work around some broken software.
760 .PP
761 If the certificate is a V1 certificate (and thus has no extensions) and
762 it is self signed it is also assumed to be a \s-1CA\s0 but a warning is again
763 given: this is to work around the problem of Verisign roots which are V1
764 self signed certificates.
765 .PP
766 If the keyUsage extension is present then additional restraints are
767 made on the uses of the certificate. A \s-1CA\s0 certificate \fBmust\fR have the
768 keyCertSign bit set if the keyUsage extension is present.
769 .PP
770 The extended key usage extension places additional restrictions on the
771 certificate uses. If this extension is present (whether critical or not)
772 the key can only be used for the purposes specified.
773 .PP
774 A complete description of each test is given below. The comments about
775 basicConstraints and keyUsage and V1 certificates above apply to \fBall\fR
776 \&\s-1CA\s0 certificates.
777 .IP "\fB\s-1SSL\s0 Client\fR" 4
778 .IX Item "SSL Client"
779 The extended key usage extension must be absent or include the \*(L"web client
780 authentication\*(R" \s-1OID\s0.  keyUsage must be absent or it must have the
781 digitalSignature bit set. Netscape certificate type must be absent or it must
782 have the \s-1SSL\s0 client bit set.
783 .IP "\fB\s-1SSL\s0 Client \s-1CA\s0\fR" 4
784 .IX Item "SSL Client CA"
785 The extended key usage extension must be absent or include the \*(L"web client
786 authentication\*(R" \s-1OID\s0. Netscape certificate type must be absent or it must have
787 the \s-1SSL\s0 \s-1CA\s0 bit set: this is used as a work around if the basicConstraints
788 extension is absent.
789 .IP "\fB\s-1SSL\s0 Server\fR" 4
790 .IX Item "SSL Server"
791 The extended key usage extension must be absent or include the \*(L"web server
792 authentication\*(R" and/or one of the \s-1SGC\s0 OIDs.  keyUsage must be absent or it
793 must have the digitalSignature, the keyEncipherment set or both bits set.
794 Netscape certificate type must be absent or have the \s-1SSL\s0 server bit set.
795 .IP "\fB\s-1SSL\s0 Server \s-1CA\s0\fR" 4
796 .IX Item "SSL Server CA"
797 The extended key usage extension must be absent or include the \*(L"web server
798 authentication\*(R" and/or one of the \s-1SGC\s0 OIDs.  Netscape certificate type must
799 be absent or the \s-1SSL\s0 \s-1CA\s0 bit must be set: this is used as a work around if the
800 basicConstraints extension is absent.
801 .IP "\fBNetscape \s-1SSL\s0 Server\fR" 4
802 .IX Item "Netscape SSL Server"
803 For Netscape \s-1SSL\s0 clients to connect to an \s-1SSL\s0 server it must have the
804 keyEncipherment bit set if the keyUsage extension is present. This isn't
805 always valid because some cipher suites use the key for digital signing.
806 Otherwise it is the same as a normal \s-1SSL\s0 server.
807 .IP "\fBCommon S/MIME Client Tests\fR" 4
808 .IX Item "Common S/MIME Client Tests"
809 The extended key usage extension must be absent or include the \*(L"email
810 protection\*(R" \s-1OID\s0. Netscape certificate type must be absent or should have the
811 S/MIME bit set. If the S/MIME bit is not set in netscape certificate type
812 then the \s-1SSL\s0 client bit is tolerated as an alternative but a warning is shown:
813 this is because some Verisign certificates don't set the S/MIME bit.
814 .IP "\fBS/MIME Signing\fR" 4
815 .IX Item "S/MIME Signing"
816 In addition to the common S/MIME client tests the digitalSignature bit must
817 be set if the keyUsage extension is present.
818 .IP "\fBS/MIME Encryption\fR" 4
819 .IX Item "S/MIME Encryption"
820 In addition to the common S/MIME tests the keyEncipherment bit must be set
821 if the keyUsage extension is present.
822 .IP "\fBS/MIME \s-1CA\s0\fR" 4
823 .IX Item "S/MIME CA"
824 The extended key usage extension must be absent or include the \*(L"email
825 protection\*(R" \s-1OID\s0. Netscape certificate type must be absent or must have the
826 S/MIME \s-1CA\s0 bit set: this is used as a work around if the basicConstraints
827 extension is absent.
828 .IP "\fB\s-1CRL\s0 Signing\fR" 4
829 .IX Item "CRL Signing"
830 The keyUsage extension must be absent or it must have the \s-1CRL\s0 signing bit
831 set.
832 .IP "\fB\s-1CRL\s0 Signing \s-1CA\s0\fR" 4
833 .IX Item "CRL Signing CA"
834 The normal \s-1CA\s0 tests apply. Except in this case the basicConstraints extension
835 must be present.
836 .SH "BUGS"
837 .IX Header "BUGS"
838 Extensions in certificates are not transferred to certificate requests and
839 vice versa.
840 .PP
841 It is possible to produce invalid certificates or requests by specifying the
842 wrong private key or using inconsistent options in some cases: these should
843 be checked.
844 .PP
845 There should be options to explicitly set such things as start and end
846 dates rather than an offset from the current time.
847 .PP
848 The code to implement the verify behaviour described in the \fB\s-1TRUST\s0 \s-1SETTINGS\s0\fR
849 is currently being developed. It thus describes the intended behaviour rather
850 than the current behaviour. It is hoped that it will represent reality in
851 OpenSSL 0.9.5 and later.
852 .SH "SEE ALSO"
853 .IX Header "SEE ALSO"
854 \&\fIreq\fR\|(1), \fIca\fR\|(1), \fIgenrsa\fR\|(1),
855 \&\fIgendsa\fR\|(1), \fIverify\fR\|(1)
857 .IX Header "HISTORY"
858 Before OpenSSL 0.9.8, the default digest for \s-1RSA\s0 keys was \s-1MD5\s0.