9.8 Программа-клиент Dirmngr

Программа dirmngr-client представляет простое средство обращения к работающему dirmngr и проверки, отозван ли сертификат — либо перечислением в соответствующем списке отозванных сертификатов, либо по протоколу OCSP. Если dirmngr не работает, будут запускаться новые экземпляры, но в целом это не хорошо, потому что связано с огромной потерей производительности.

Обычно это средство запускают с помощью командной строки

dirmngr-client сертификат

или

dirmngr-client <сертификат

Где сертификат содержит закодированные по DER (двоичные) сертификаты X.509, которые нужно проверить. Командой возвращается значение:

0

Рассматриваемый сертификат достоверен, т.е. есть действительный список отозванных сертификатов, в котором он не перечислен, или запрос по OCSP показал, что сертификат достоверен.

1

Сертификат отозван

2 (и другие значения)

При проверке сертификата отзыва произошла ошибка. Сообщение с более подробной информацией выводится в стандартный поток ошибок. Скорее всего, это отсутствующий или просроченный список отозванных сертификатов или проблема с сетью.

dirmngr-client можно вызывать со следующими параметрами:

--version

Вывести версию программы и лицензионные сведения. Эту команду нельзя сокращать (напр., как --versio).

--help, -h

Вывести подсказку по наиболее полезным параметрам командной строки. Эту команду нельзя сокращать (напр., как --hel).

--quiet, -q

Сократить вывод, подавив все информационные сообщения.

-v

--verbose

Выводить во время работы дополнительную информацию. Уровень подробности можно повышать, вводя параметр несколько раз, например, ‘-vv’.

--pem

Считать, что данный сертификат поступает в формате PEM (текстовом).

--ocsp

Проводить проверку по протоколу OCSP, не учитывая никаких списков отозванных сертификатов.

--force-default-responder

При проверке по протоколу OCSP принудительно пользоваться исходным ответчиком OCSP. Не пользоваться ответчиком, заданным в сертификате.

--ping

Проверить, работает ли демон dirmngr.

--cache-cert

Поместить данный сертификат в буфер работающего dirmngr. Это полезно в основном для отладки.

--validate

Проверить данный сертификат с помощью внутренней процедуры dirmngr. Это полезно в основном для отладки.

--load-crl

Команда ожидает список имен файлов, хранящих списки отозванных сертификатов в кодировке DER. С параметром --url ожидаются URL вместо имен файлов, они будут загружаться прямо из заданного адреса. Все списки отозванных сертификатов будут проверяться и загружаться в буфер dirmngr.

--lookup

Взять оставшиеся аргументы и выполнить команду поиска над каждым из них. Результаты кодируются в base-64 (без заголовочных строк). Этим можно пользоваться для извлечения сертификатов с сервера. Однако формат данных на выходе не очень удобен, когда возвращается более одного сертификата.

--url

-u

Задать URL в качестве аргумента в командах lookup и load-crl.

--local

-l

Ограничить команду lookup поиском в локальном буфере.

--squid-mode

Выполнить dirmngr-client в режиме вспомогательной программы для параметра Squid external_acl_type.