NOM¶
s_time - Programme d'analyse de performances SSL/TLS
SYNOPSIS¶
openssl s_time [
-connect
hôte:port] [
-www page] [
-cert
nom_fichier] [
-key nom_fichier] [
-CApath répertoire]
[
-CAfile nom_fichier] [
-reuse] [
-new] [
-verify
profondeur] [
-nbio] [
-time secondes] [
-ssl2]
[
-ssl3] [
-bugs] [
-cipher liste_algorithmes]
DESCRIPTION¶
La commande
s_time implémente un client générique SSL/TLS
qui se connecte à un hôte à distance en utilisant SSL/TLS. Elle
peut demander une page d'un serveur et inclure le temps de transfert de
l'information dans ses mesures de temps. Elle mesure le nombre de connections
dans un laps de temps donné, la quantité d'information
transférée (s'il y en a), et calcule le temps moyen utilisé
pour une connexion.
OPTIONS¶
- -connect hôte:port
- Ceci spécifie l'hôte et le port optionnel auquel
se connecter.
- -www page
- Ceci spécifie la page à obtenir sur le serveur.
La valeur de '/' correspond à la page index.htm[l]. Si ce
paramètre n'est pas spécifié, alors s_time
effectuera uniquement la poignée de main
(« handshake ») pour établir des connexions SSL
mais ne transférera pas d'information utile.
- -cert nom_certificat
- Le certificat à utiliser, s'il est requis par le
serveur. Par défaut, aucun certificat n'est utilisé. Le fichier
est au format PEM.
- -key fichier_clef
- Le fichier contenant la clé privée à
utiliser. S'il n'est pas spécifié alors le fichier du certificat
sera utilisé. Le fichier est au format PEM.
- -verify profondeur
- La profondeur de vérification à utiliser. Ceci
spécifie la taille maximale de la chaîne de certification du
serveur et active la vérification du certificat du serveur.
Actuellement l'opération de vérification continue après les
erreurs de façon à montrer tous les problèmes liés
à la chaîne de certification. Par conséquent, la connexion
n'échouera jamais à cause d'un échec de la
vérification du certificat du serveur.
- -CApath répertoire
- Le répertoire utilisé pour la vérification
du certificat du serveur. Ce répertoire doit être au format
« hash », voir verify pour plus d'informations.
Il est aussi utilisé pour construire la chaîne de certification
du client.
- -CAfile fichier
- Un fichier contenant des certificats de confiance
utilisés durant l'authentification du serveur et quand on essaie de
créer la chaîne de certification du client.
- -new
- Effectue la mesure du temps en utilisant un nouvel
identifiant de session pour chaque connexion. Si ni -new ni
-reuse ne sont spécifiées, elles sont toutes deux mises
par défaut et exécutées en séquence.
- -reuse
- Effectue la mesure du temps en utilisant le même
identifiant de session ; ceci peut être utilisé pour tester
le fonctionnement de la mise en cache des sessions. Si ni -new ni
-reuse ne sont spécifiées, elles sont toutes deux mises
par défaut et exécutées en séquence.
- -nbio
- Active les entrées-sorties non-bloquantes.
- -ssl2, -ssl3
- Ces options désactivent l'utilisation de certains
protocoles SSL ou TLS. Par défaut, la poignée de main initiale
utilise une méthode qui devrait être compatible avec tous les
serveurs et leur permet d'utiliser SSL v3, SSL v2 ou TLS comme
approprié. Le programme de test des performances n'est pas riche en
options pour utiliser ou non des protocoles comme le programme
s_client(1) et pourrait ne pas pouvoir se connecter à tous les
serveurs.
Malheureusement il y a beaucoup d'anciens serveurs en utilisation qui ne
gèrent pas cette technique et échoueront à la connexion.
Certains serveurs fonctionnent uniquement si TLS est désactivé
avec l'option -ssl3 ; d'autres ne gèrent que SSL v2 et
peuvent avoir besoin de l'option -ssl2.
- -bugs
- Il y a plusieurs bogues connus dans les
implémentations SSL et TLS. L'ajout de cette option permet de
contourner certains problèmes.
- -cipher liste_algorithmes
- Ceci permet de modifier la liste d'algorithmes envoyée
par le client. Bien que le serveur détermine quelle suite
d'algorithmes est utilisée, il devrait prendre le premier algorithme
supporté dans la liste envoyée par le client. Consultez la
commande ciphers(1) pour plus d'informations.
- -time secondes
- Spécifie pendant combien de temps (en secondes)
s_time doit établir des connexions et optionnellement
transférer des informations à partir d'un serveur. La
performance du serveur et du client ainsi que la vitesse du lien
déterminent le nombre de connexions que s_time peut
établir.
NOTES¶
s_client peut être utilisé pour mesurer la performance d'une
connexion SSL. La commande suivante est typiquement utilisée pour se
connecter à un serveur SSL HTTP (https utilise le port 443) et obtenir la
page par défaut :
openssl s_time -connect nom_serveur:443 -www / -CApath votre_rep -CAfile votre_fichier.pem -cipher algorithme_commun [-ssl3]
'algorithme_commun' est un algorithme sur lequel client et serveur peuvent
s'accorder, voir la commande
ciphers(1) pour plus de détails.
Il peut y avoir plusieurs raison à l'échec de la poignée de main,
s'il n'y a rien d'évident, comme l'absence de certificat de client, alors
les options
-bugs,
-ssl2 et
-ssl3 peuvent être
essayées au cas où il s'agirait d'un serveur bogué. En
particulier vous devriez essayer ces options
avant de soumettre un
rapport de bogue à une liste de diffusion OpenSSL.
Un problème fréquent lorsqu'on essaie de faire fonctionner un
certificat client est qu'un client web se plaint qu'il n'y a pas de certificat
ou qu'il fournit un choix parmi une liste vide. Normalement c'est parce que le
serveur n'envoie pas l'autorité de certification aux clients dans sa
« liste d'autorités de certification acceptables »
quand il requiert un certificat. En utilisant
s_client(1), la liste
d'autorités de certification peut être observée et
vérifiée. Cependant certains serveurs requiert uniquement
l'authentification du client après qu'une URL spécifique soit
demandée. Pour obtenir la liste dans ce cas, il est nécessaire
d'utiliser l'option
-prexit de
s_client(1) et d'envoyer une
requête HTTP pour une page appropriée.
Si un certificat est spécifié sur la ligne de commandes en utilisant
l'option
-cert, il ne sera pas utilisé à moins que le serveur
spécifié requiert un certificat client. Par conséquent, la
simple utilisation d'un certificat client sur la ligne de commandes ne
garantit pas que le certificat fonctionne.
BOGUES¶
Ce programme n'a pas toutes les options du programme
s_client(1) pour
activer ou désactiver des protocoles, vous ne pouvez pas mesurer les
performances de tous les protocoles avec tous les serveurs.
L'option
-verify devrait réellement quitter si la vérification
du serveur échoue.
VOIR AUSSI¶
s_client(1),
s_server(1),
ciphers(1)
TRADUCTION¶
Cette page de manuel a été traduite par Guillaume Quesnel en 2008 et
est maintenue par la liste <debian-l10n-french AT lists DOT debian DOT
org>. Veuillez signaler toute erreur de traduction par un rapport de bogue
sur le paquet manpages-fr-extra.