Следующий: , Пред: , Вверх: Вызов DIRMNGR   [Содержание][Указатель]


3.2 Сводка параметров

Заметьте, что все длинные параметры за исключением --options и --homedir можно размещать в файле настроек без начальных символов «–».

--options файл

Читает настройки из заданного файла вместо исходного файла настроек пользователя. Исходный файл настроек под названием dirmngr.conf находится в домашнем каталоге.

--homedir каталог

Установить заданный домашний каталог. Этот параметр действует только в командной строке. Исходным является каталог .gnupg непосредственно в домашнем каталоге пользователя, если не установлена переменная среды GNUPGHOME; в последнем случае используется значение этой переменной. В этом каталоге хранятся всевозможные данные.

-v
--verbose

Выводить во время работы дополнительную информацию. Уровень подробности можно повышать, вводя параметр несколько раз, например, -vv.

--log-file файл

Дописывать протокол работы в указанный файл. Это очень полезно, когда нужно понять, что же программа делает. Укажите socket://, если нужно протоколировать в сокет.

--debug-level уровень

Выбрать уровень отладки для исследования проблем. Аргумент может быть числом либо ключевым словом:

none

Никаких отладочных сообщений. Соответствует значениям, меньшим 1.

basic

Некоторые простые отладочные сообщения. Соответствует значениям от 1 до 2.

advanced

Более подробные отладочные сообщения. Соответствует значениям от 3 до 5.

expert

Еще более подробные сообщения. Соответствует значениям от 6 до 8.

guru

Все отладочные сообщения, какие только есть. Соответствует значениям, большим 8.

Как сообщения связаны с конкретными признаками отладки, не документируется и может меняться с выходом новых версий программы. Однако их тщательно выбирают, чтобы помочь в отладке.

--debug признаки

Установить флаги отладки. Этот параметр полезен только для отладки, его поведение может изменяться с каждым новым выпуском. Все флаги суммируются по логическому ИЛИ, их можно записывать в синтаксисе Си (напр., 0x0042) или в виде названий флагов, разделенных запятыми. Получить список поддерживаемых флагов можно, задав слово «help».

--debug-all

То же, что --debug=0xffffffff

--gnutls-debug уровень

Включить отладку GNUTLS на заданном уровне.

--debug-wait n

При работе в серверном режиме подождать указанное число секунд перед входом в цикл обработки и выводить идентификатор процесса. За это время можно подключить отладчик.

--disable-check-own-socket

На некоторых платформах dirmngr может обнаруживать удаление файла его сокета и самостоятельно завершаться. Этот параметр отключает эту самопроверку в целях отладки.

-s
--sh
-c
--csh

Форматировать выходную информацию в режиме демона для применения в стандартном интерпретаторе Борна и Си-образном соответственно. По умолчанию выставляется по переменной среды SHELL, в большинстве случаев этого достаточно.

--force

Если задан этот параметр, принудительно загружаются просроченные списки отозванных сертификатов. Это полезно только для отладки.

--use-tor

Этот параметр переводит dirmngr и тем самым GnuPG в «режим Tor», в котором все сетевые соединения проходят через Tor (сеть анонимности). В этом режиме отключаются определенные функции.

--standard-resolver

Этот параметр указывает, что нужно пользоваться стандартными системными программами определения DNS. Он полезен главным образом для отладки. Заметьте, что под Windows стандартные программы определения не применяются вообще, и запрос к DNS возвращает ошибку «Не реализовано», если используется эта функция.

--recursive-resolver

Когда возможно, пользоваться рекурсивной программой определения, а не заглушкой.

--resolver-timeout n

Установить предельное время ожидания программы определения DNS равным n секунд. Исходное значение — 30.

--connect-timeout n
--connect-quick-timeout n

Установить предельное время ожидания для соединений HTTP и общих соединений TCP равным n секунд. Параметр --connect-quick-timeout используется, когда определенные команды Assuan применяются с параметром --quick; оно добавляется к значению обычного времени ожидания. Исходные значения — 15 и 2. Обратите внимание, что времена задаются на каждую попытку; программа подключения пытается соединиться со всеми перечисленными адресами сервера.

--allow-version-check

Разрешить соединяться с https://versions.gnupg.org, чтобы получить список текущих версий программ. Если задан этот параметр, список извлекается, если нет локальной копии или она старше 5-7 дней. Подробности см. в описании параметра --query-swdb команды gpgconf. Заметьте, что независимо от этого параметра проверку версий можно провести командой:

       gpg-connect-agent --dirmngr 'loadswdb --force' /bye
--keyserver сервер

Использовать сервер в качестве сервера ключей. Это сервер, с которым соединяется gpg, чтобы получать, отправлять, искать ключи. Аргумент сервер представляет URI: «схема:[//]имясервера[:порт]». Схема является типом сервера ключей: «hkp» — серверы ключей HTTP (или совместимые), «ldap» — серверы ключей LDAP, «mailto» — почтовый сервер ключей Graff. Обратите внимание, что в вашей конкретной установке GnuPG могут быть и другие типы серверов ключей. Названия схем нечувствительны к регистру символов. После имени сервера могут идти необязательные параметры настройки. Они задаются, как в параметре --keyserver-options gpg, но применяются к этому конкретному серверу.

Большинство серверов ключей синхронизируются друг с другом, так что обычно нет надобности высылать ключи больше чем на один сервер. Сервер hkp://keys.gnupg.net пользуется циклическим DNS, чтобы выдавать при каждом обращении новый сервер ключей.

Если в настройках есть ровно два сервера ключей и только один из них является скрытой службой Tor (.onion), dirmngr выбирает сервер ключей в зависимости от того, работает ли Tor на локальной машине. Это проверяется при каждом новом подключении.

Если сервер ключей не задан в явном виде, dirmngr использует встроенное исходное значение, hkps://hkps.pool.sks-keyservers.net.

--nameserver адрес IP

В «режиме Tor» dirmngr пользуется публичной службой для определения имен DNS через Tor. Если основная служба, т.е. 8.8.8.8, не должна применяться, этим параметром можно задать другую. Обратите внимание, что должен задаваться числовой адрес IP (IPv6 или IPv4) и что проверка ошибок для него не производится.

--disable-ipv4
--disable-ipv6

Отключить пользование всеми адресами IPv4 или IPv6.

--disable-ldap

Полностью отключить пользование LDAP.

--disable-http

Полностью отключить пользование HTTP.

--ignore-http-dp

При поиске расположения списка отозванных сертификатов сертификат, который следует проверить, обычно содержит так называемые записи точек распространения списка отозванных сертификатов, представляющие собой URL для доступа к списку. Используется первая найденная точка распространения. Этим параметром все записи со схемой HTTP при поиске подходящей точки распространения пропускаются.

--ignore-ldap-dp

То же, что --ignore-http-dp, но пропускает записи со схемой LDAP. Эти два параметра можно сочетать друг с другом, что приведет к полному игнорированию точек распространения.

--ignore-ocsp-service-url

Игнорировать все URL OCSP, содержащиеся в сертификате. В результате принудительно используется основной ответчик.

--honor-http-proxy

Если установлена переменная среды http_proxy, использовать ее значение для доступа к серверам HTTP.

--http-proxy машина[:порт]

Задать прокси-сервер для доступа по HTTP. Этот параметр отменяет переменную среды http_proxy независимо от того, задан ли параметр --honor-http-proxy.

--ldap-proxy машина[:порт]

Задать прокси-сервер для доступа по LDAP. Если не задан порт, используется порт 389 (стандартный порт LDAP). Этот параметр отменяет любой указанный порт и машину в URL LDAP, а также используется, если машина и порт в URL не указаны.

--only-ldap-proxy

Не пользоваться ничем, кроме «прокси-сервера» LDAP, настроенного параметром --ldap-proxy. Обычно dirmngr пытается пользоваться другим настроенным сервером LDAP, если подключиться через «прокси-сервер» не удается.

--ldapserverlist-file файл

Считывать список серверов LDAP для сверки сертификатов и списков отозванных сертификатов из указанного файла, а не основного списка серверов LDAP пользователя. Основной список пользователя находится в файле dirmngr_ldapservers.conf.

В этом файле серверы LDAP записаны по одному в строке в формате:

ИМЯ СЕРВЕРА:ПОРТ:ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ:БАЗА ПОИСКА

Строки, начинающиеся с «#», представляют комментарий.

Обратите внимание, что все вводимые строки, как обычно, ожидаются в кодировке UTF-8. Очевидно, это приведет к проблемам, если пароль первоначально был в кодировке Latin-1. Тут есть только одно решение — поместить такой пароль в двоичном виде в файл (т.е. символы за пределами ASCII не будут читаться)1.

--ldaptimeout секунды

Указать число секунд, в течение которых нужно ждать ответа на запрос LDAP. Исходное значение в настоящее время равно 100. Значение 0 эквивалентно бесконечности.

--add-servers

Добавлять все серверы, которые dirmngr обнаруживает при проверке сертификатов по спискам отозванных сертификатов, во внутренний список серверов для запросов сертификатов и списков отозванных сертификатов.

Этот параметр полезен, когда пытаются проверить сертификат с точкой распространения списка отозванных сертификатов, указывающей на сервер, который еще не перечислен в ldapserverlist. Программа dirmngr всегда будет обращаться к этому серверу и пытаться получить список отозванных сертификатов, но весьма вероятно, что сертификат, которым подписан список отозванных сертификатов, находится на том же сервере. Так что если dirmngr не добавит этот новый сервер в список, то без параметра --add-servers проверить подпись на списке отозванных сертификатов часто будет невозможно.

Обратите внимание: в текущей версии dirmngr этот параметр в исходном состоянии выключен.

--allow-ocsp

Этот параметр включает поддержку OCSP по требованию программы-клиента.

В исходном состоянии запросы OCSP отклоняются, потому что они могут нарушить приватность пользователя; например, можно отследить время, в которое пользователь читает сообщение почты.

--ocsp-responder url

Использовать заданный URL как основной ответчик OCSP, если сертификат не содержит сведений о назначенном ответчике. Обратите внимание, что --ocsp-signer тоже должен указывать на достоверный сертификат.

--ocsp-signer отп|файл

Пользоваться сертификатом с указанным отпечатком для проверки ответов основного ответчика OCSP. Вместо отпечатка можно также задать имя файла, в этом случае ожидается, что ответ будет подписан одним из указанных в этом файле сертификатов. Действуют обычные для имен файлов подстановки: тильда в начале с последующей косой чертой заменяются на содержимое переменной HOME, если в начале нет косой черты, имя представляет относительный путь до файла из домашнего каталога. Чтобы гарантировать, что поиск файла будет производиться в домашнем каталоге, либо начинайте имя с «./», либо пользуйтесь именем, которое содержит точку.

Если ответ подписан сертификатом, заданным этими отпечатками, дальнейшая проверка достоверности этого сертификата не проводится.

Содержимое файла представляет список отпечатков SHA-1 по одному на строке, с необязательными двоеточиями между байтами. Пустые строки, а также строки, начинающиеся со знака «#», игнорируются.

--ocsp-max-clock-skew n

Количество секунд, на которое могут быть сдвинуты часы ответчика OCSP относительно локальных часов. Исходное значение равно 600 (10 минут).

--ocsp-max-period n

Максимальное количество секунд, в течение которых ответ считается действительным после времени, заданного в поле thisUpdate. Исходное значение равно 7776000 (90 дней).

--ocsp-current-period n

Количество секунд, в течение которых ответ считается действительным после времени, заданного в NEXT_UPDATE. Исходное значение равно 10800 (3 часа).

--max-replies n

Не возвращать по одному запросу более n записей. Исходное значение равно 10.

--ignore-cert-extension oid

Добавить oid к списку игнорируемых расширений сертификатов. Аргумент должен представлять десятичные числа, разделенные точками, например, 2.5.29.3. Этот параметр можно задавать несколько раз. Расширения сертификата, совпадающие с перечисленными OID и помеченные как критичные, будут считаться обработанными, так что сертификат не будет отбракован из-за неизвестного критичного расширения. Пользуйтесь этим параметром с осторожностью, потому что расширения обычно не помечаются как критичные без причины.

--hkp-cacert файл

Пользоваться корневыми сертификатами из указанного файла для проверки сертификатов TLS, используемых с hkps (доступом к серверу ключей по TLS). Для файлов в формате PEM ожидается суффикс .pem. Этот параметр можно задавать несколько раз для добавления дополнительных корневых сертификатов. Поддерживается подстановка тильды.

Если директива hkp-cacert отсутствует, dirmngr выбирает по своему усмотрению: когда данный сервер ключей представляет собой специальное объединение hkps.pool.sks-keyservers.net, используется групповой корневой сертификат этого объединения. В противном случае используются системные удостоверяющие центры.


Footnotes

(1)

Для оболочек могло бы быть полезно средство gpgconf, поскольку оно позволяет редактировать этот файл настроек с помощью строк, экранированных процентом.


Следующий: , Пред: , Вверх: Вызов DIRMNGR   [Содержание][Указатель]