Следующий: Настройки dirmngr, Пред: Команды dirmngr, Вверх: Вызов DIRMNGR [Содержание][Указатель]
Заметьте, что все длинные параметры за исключением --options и --homedir можно размещать в файле настроек без начальных символов «–».
--options файл
Читает настройки из заданного файла вместо исходного файла настроек пользователя. Исходный файл настроек под названием dirmngr.conf находится в домашнем каталоге.
--homedir каталог
Установить заданный домашний каталог. Этот параметр действует только в
командной строке. Исходным является каталог .gnupg непосредственно в
домашнем каталоге пользователя, если не установлена переменная среды
GNUPGHOME
; в последнем случае используется значение этой
переменной. В этом каталоге хранятся всевозможные данные.
-v
--verbose
Выводить во время работы дополнительную информацию. Уровень подробности можно повышать, вводя параметр несколько раз, например, -vv.
--log-file файл
Дописывать протокол работы в указанный файл. Это очень полезно, когда нужно понять, что же программа делает. Укажите socket://, если нужно протоколировать в сокет.
--debug-level уровень
Выбрать уровень отладки для исследования проблем. Аргумент может быть числом либо ключевым словом:
none
Никаких отладочных сообщений. Соответствует значениям, меньшим 1.
basic
Некоторые простые отладочные сообщения. Соответствует значениям от 1 до 2.
advanced
Более подробные отладочные сообщения. Соответствует значениям от 3 до 5.
expert
Еще более подробные сообщения. Соответствует значениям от 6 до 8.
guru
Все отладочные сообщения, какие только есть. Соответствует значениям, большим 8.
Как сообщения связаны с конкретными признаками отладки, не документируется и может меняться с выходом новых версий программы. Однако их тщательно выбирают, чтобы помочь в отладке.
--debug признаки
Установить флаги отладки. Этот параметр полезен только для отладки, его поведение может изменяться с каждым новым выпуском. Все флаги суммируются по логическому ИЛИ, их можно записывать в синтаксисе Си (напр., 0x0042) или в виде названий флагов, разделенных запятыми. Получить список поддерживаемых флагов можно, задав слово «help».
--debug-all
То же, что --debug=0xffffffff
--gnutls-debug уровень
Включить отладку GNUTLS на заданном уровне.
--debug-wait n
При работе в серверном режиме подождать указанное число секунд перед входом в цикл обработки и выводить идентификатор процесса. За это время можно подключить отладчик.
--disable-check-own-socket
На некоторых платформах dirmngr
может обнаруживать удаление файла
его сокета и самостоятельно завершаться. Этот параметр отключает эту
самопроверку в целях отладки.
-s
--sh
-c
--csh
Форматировать выходную информацию в режиме демона для применения в
стандартном интерпретаторе Борна и Си-образном соответственно. По умолчанию
выставляется по переменной среды SHELL
, в большинстве случаев этого
достаточно.
--force
Если задан этот параметр, принудительно загружаются просроченные списки отозванных сертификатов. Это полезно только для отладки.
--use-tor
Этот параметр переводит dirmngr
и тем самым GnuPG в «режим Tor», в
котором все сетевые соединения проходят через Tor (сеть анонимности). В этом
режиме отключаются определенные функции.
--standard-resolver
Этот параметр указывает, что нужно пользоваться стандартными системными программами определения DNS. Он полезен главным образом для отладки. Заметьте, что под Windows стандартные программы определения не применяются вообще, и запрос к DNS возвращает ошибку «Не реализовано», если используется эта функция.
--recursive-resolver
Когда возможно, пользоваться рекурсивной программой определения, а не заглушкой.
--resolver-timeout n
Установить предельное время ожидания программы определения DNS равным n секунд. Исходное значение — 30.
--connect-timeout n
--connect-quick-timeout n
Установить предельное время ожидания для соединений HTTP и общих соединений TCP равным n секунд. Параметр --connect-quick-timeout используется, когда определенные команды Assuan применяются с параметром --quick; оно добавляется к значению обычного времени ожидания. Исходные значения — 15 и 2. Обратите внимание, что времена задаются на каждую попытку; программа подключения пытается соединиться со всеми перечисленными адресами сервера.
--allow-version-check
Разрешить соединяться с https://versions.gnupg.org
, чтобы получить
список текущих версий программ. Если задан этот параметр, список
извлекается, если нет локальной копии или она старше 5-7 дней. Подробности
см. в описании параметра --query-swdb команды
gpgconf
. Заметьте, что независимо от этого параметра проверку
версий можно провести командой:
gpg-connect-agent --dirmngr 'loadswdb --force' /bye
--keyserver сервер
Использовать сервер в качестве сервера ключей. Это сервер, с которым
соединяется gpg
, чтобы получать, отправлять, искать
ключи. Аргумент сервер представляет URI:
«схема:[//]имясервера[:порт]». Схема является типом сервера ключей: «hkp» —
серверы ключей HTTP (или совместимые), «ldap» — серверы ключей LDAP,
«mailto» — почтовый сервер ключей Graff. Обратите внимание, что в вашей
конкретной установке GnuPG могут быть и другие типы серверов
ключей. Названия схем нечувствительны к регистру символов. После имени
сервера могут идти необязательные параметры настройки. Они задаются, как в
параметре --keyserver-options gpg
, но применяются к этому
конкретному серверу.
Большинство серверов ключей синхронизируются друг с другом, так что обычно
нет надобности высылать ключи больше чем на один сервер. Сервер
hkp://keys.gnupg.net
пользуется циклическим DNS, чтобы выдавать при
каждом обращении новый сервер ключей.
Если в настройках есть ровно два сервера ключей и только один из них
является скрытой службой Tor (.onion), dirmngr
выбирает сервер
ключей в зависимости от того, работает ли Tor на локальной машине. Это
проверяется при каждом новом подключении.
Если сервер ключей не задан в явном виде, dirmngr
использует
встроенное исходное значение, hkps://hkps.pool.sks-keyservers.net.
--nameserver адрес IP
В «режиме Tor» dirmngr
пользуется публичной службой для
определения имен DNS через Tor. Если основная служба, т.е. 8.8.8.8
,
не должна применяться, этим параметром можно задать другую. Обратите
внимание, что должен задаваться числовой адрес IP (IPv6 или IPv4) и что
проверка ошибок для него не производится.
--disable-ipv4
--disable-ipv6
Отключить пользование всеми адресами IPv4 или IPv6.
--disable-ldap
Полностью отключить пользование LDAP.
--disable-http
Полностью отключить пользование HTTP.
--ignore-http-dp
При поиске расположения списка отозванных сертификатов сертификат, который следует проверить, обычно содержит так называемые записи точек распространения списка отозванных сертификатов, представляющие собой URL для доступа к списку. Используется первая найденная точка распространения. Этим параметром все записи со схемой HTTP при поиске подходящей точки распространения пропускаются.
--ignore-ldap-dp
То же, что --ignore-http-dp, но пропускает записи со схемой LDAP. Эти два параметра можно сочетать друг с другом, что приведет к полному игнорированию точек распространения.
--ignore-ocsp-service-url
Игнорировать все URL OCSP, содержащиеся в сертификате. В результате принудительно используется основной ответчик.
--honor-http-proxy
Если установлена переменная среды http_proxy
, использовать ее значение
для доступа к серверам HTTP.
--http-proxy машина[:порт]
Задать прокси-сервер для доступа по HTTP. Этот параметр отменяет переменную
среды http_proxy
независимо от того, задан ли параметр
--honor-http-proxy.
--ldap-proxy машина[:порт]
Задать прокси-сервер для доступа по LDAP. Если не задан порт, используется порт 389 (стандартный порт LDAP). Этот параметр отменяет любой указанный порт и машину в URL LDAP, а также используется, если машина и порт в URL не указаны.
--only-ldap-proxy
Не пользоваться ничем, кроме «прокси-сервера» LDAP, настроенного параметром
--ldap-proxy. Обычно dirmngr
пытается пользоваться другим
настроенным сервером LDAP, если подключиться через «прокси-сервер» не
удается.
--ldapserverlist-file файл
Считывать список серверов LDAP для сверки сертификатов и списков отозванных сертификатов из указанного файла, а не основного списка серверов LDAP пользователя. Основной список пользователя находится в файле dirmngr_ldapservers.conf.
В этом файле серверы LDAP записаны по одному в строке в формате:
ИМЯ СЕРВЕРА:ПОРТ:ИМЯ ПОЛЬЗОВАТЕЛЯ:ПАРОЛЬ:БАЗА ПОИСКА
Строки, начинающиеся с «#», представляют комментарий.
Обратите внимание, что все вводимые строки, как обычно, ожидаются в кодировке UTF-8. Очевидно, это приведет к проблемам, если пароль первоначально был в кодировке Latin-1. Тут есть только одно решение — поместить такой пароль в двоичном виде в файл (т.е. символы за пределами ASCII не будут читаться)1.
--ldaptimeout секунды
Указать число секунд, в течение которых нужно ждать ответа на запрос LDAP. Исходное значение в настоящее время равно 100. Значение 0 эквивалентно бесконечности.
--add-servers
Добавлять все серверы, которые dirmngr
обнаруживает при проверке
сертификатов по спискам отозванных сертификатов, во внутренний список
серверов для запросов сертификатов и списков отозванных сертификатов.
Этот параметр полезен, когда пытаются проверить сертификат с точкой
распространения списка отозванных сертификатов, указывающей на сервер,
который еще не перечислен в ldapserverlist. Программа dirmngr
всегда будет обращаться к этому серверу и пытаться получить список
отозванных сертификатов, но весьма вероятно, что сертификат, которым
подписан список отозванных сертификатов, находится на том же сервере. Так
что если dirmngr
не добавит этот новый сервер в список, то без
параметра --add-servers проверить подпись на списке отозванных
сертификатов часто будет невозможно.
Обратите внимание: в текущей версии dirmngr
этот параметр в
исходном состоянии выключен.
--allow-ocsp
Этот параметр включает поддержку OCSP по требованию программы-клиента.
В исходном состоянии запросы OCSP отклоняются, потому что они могут нарушить приватность пользователя; например, можно отследить время, в которое пользователь читает сообщение почты.
--ocsp-responder url
Использовать заданный URL как основной ответчик OCSP, если сертификат не содержит сведений о назначенном ответчике. Обратите внимание, что --ocsp-signer тоже должен указывать на достоверный сертификат.
--ocsp-signer отп|файл
Пользоваться сертификатом с указанным отпечатком для проверки ответов основного ответчика OCSP. Вместо отпечатка можно также задать имя файла, в этом случае ожидается, что ответ будет подписан одним из указанных в этом файле сертификатов. Действуют обычные для имен файлов подстановки: тильда в начале с последующей косой чертой заменяются на содержимое переменной HOME, если в начале нет косой черты, имя представляет относительный путь до файла из домашнего каталога. Чтобы гарантировать, что поиск файла будет производиться в домашнем каталоге, либо начинайте имя с «./», либо пользуйтесь именем, которое содержит точку.
Если ответ подписан сертификатом, заданным этими отпечатками, дальнейшая проверка достоверности этого сертификата не проводится.
Содержимое файла представляет список отпечатков SHA-1 по одному на строке, с необязательными двоеточиями между байтами. Пустые строки, а также строки, начинающиеся со знака «#», игнорируются.
--ocsp-max-clock-skew n
Количество секунд, на которое могут быть сдвинуты часы ответчика OCSP относительно локальных часов. Исходное значение равно 600 (10 минут).
--ocsp-max-period n
Максимальное количество секунд, в течение которых ответ считается действительным после времени, заданного в поле thisUpdate. Исходное значение равно 7776000 (90 дней).
--ocsp-current-period n
Количество секунд, в течение которых ответ считается действительным после времени, заданного в NEXT_UPDATE. Исходное значение равно 10800 (3 часа).
--max-replies n
Не возвращать по одному запросу более n записей. Исходное значение равно 10.
--ignore-cert-extension oid
Добавить oid к списку игнорируемых расширений сертификатов. Аргумент
должен представлять десятичные числа, разделенные точками, например,
2.5.29.3
. Этот параметр можно задавать несколько раз. Расширения
сертификата, совпадающие с перечисленными OID и помеченные как критичные,
будут считаться обработанными, так что сертификат не будет отбракован из-за
неизвестного критичного расширения. Пользуйтесь этим параметром с
осторожностью, потому что расширения обычно не помечаются как критичные без
причины.
--hkp-cacert файл
Пользоваться корневыми сертификатами из указанного файла для проверки
сертификатов TLS, используемых с hkps
(доступом к серверу ключей по
TLS). Для файлов в формате PEM ожидается суффикс .pem. Этот параметр
можно задавать несколько раз для добавления дополнительных корневых
сертификатов. Поддерживается подстановка тильды.
Если директива hkp-cacert
отсутствует, dirmngr
выбирает по
своему усмотрению: когда данный сервер ключей представляет собой специальное
объединение hkps.pool.sks-keyservers.net
, используется групповой
корневой сертификат этого объединения. В противном случае используются
системные удостоверяющие центры.
Для оболочек могло бы быть полезно
средство gpgconf
, поскольку оно позволяет редактировать этот файл
настроек с помощью строк, экранированных процентом.
Следующий: Настройки dirmngr, Пред: Команды dirmngr, Вверх: Вызов DIRMNGR [Содержание][Указатель]