7fca9cbdbd681d45900b3aef48e0c2a71b4dcbab
[openssl.git] / doc / apps / s_client.pod
1
2 =pod
3
4 =head1 NAME
5
6 s_client - SSL/TLS client program
7
8 =head1 SYNOPSIS
9
10 B<openssl> B<s_client>
11 [B<-connect> host:port>]
12 [B<-verify depth>]
13 [B<-cert filename>]
14 [B<-key filename>]
15 [B<-CApath directory>]
16 [B<-CAfile filename>]
17 [B<-reconnect>]
18 [B<-pause>]
19 [B<-showcerts>]
20 [B<-debug>]
21 [B<-msg>]
22 [B<-nbio_test>]
23 [B<-state>]
24 [B<-nbio>]
25 [B<-crlf>]
26 [B<-ign_eof>]
27 [B<-quiet>]
28 [B<-ssl2>]
29 [B<-ssl3>]
30 [B<-tls1>]
31 [B<-no_ssl2>]
32 [B<-no_ssl3>]
33 [B<-no_tls1>]
34 [B<-bugs>]
35 [B<-cipher cipherlist>]
36 [B<-engine id>]
37 [B<-rand file(s)>]
38
39 =head1 DESCRIPTION
40
41 The B<s_client> command implements a generic SSL/TLS client which connects
42 to a remote host using SSL/TLS. It is a I<very> useful diagnostic tool for
43 SSL servers.
44
45 =head1 OPTIONS
46
47 =over 4
48
49 =item B<-connect host:port>
50
51 This specifies the host and optional port to connect to. If not specified
52 then an attempt is made to connect to the local host on port 4433.
53
54 =item B<-cert certname>
55
56 The certificate to use, if one is requested by the server. The default is
57 not to use a certificate.
58
59 =item B<-key keyfile>
60
61 The private key to use. If not specified then the certificate file will
62 be used.
63
64 =item B<-verify depth>
65
66 The verify depth to use. This specifies the maximum length of the
67 server certificate chain and turns on server certificate verification.
68 Currently the verify operation continues after errors so all the problems
69 with a certificate chain can be seen. As a side effect the connection
70 will never fail due to a server certificate verify failure.
71
72 =item B<-CApath directory>
73
74 The directory to use for server certificate verification. This directory
75 must be in "hash format", see B<verify> for more information. These are
76 also used when building the client certificate chain.
77
78 =item B<-CAfile file>
79
80 A file containing trusted certificates to use during server authentication
81 and to use when attempting to build the client certificate chain.
82
83 =item B<-reconnect>
84
85 reconnects to the same server 5 times using the same session ID, this can
86 be used as a test that session caching is working.
87
88 =item B<-pause>
89
90 pauses 1 second between each read and write call.
91
92 =item B<-showcerts>
93
94 display the whole server certificate chain: normally only the server
95 certificate itself is displayed.
96
97 =item B<-prexit>
98
99 print session information when the program exits. This will always attempt
100 to print out information even if the connection fails. Normally information
101 will only be printed out once if the connection succeeds. This option is useful
102 because the cipher in use may be renegotiated or the connection may fail
103 because a client certificate is required or is requested only after an
104 attempt is made to access a certain URL. Note: the output produced by this
105 option is not always accurate because a connection might never have been
106 established.
107
108 =item B<-state>
109
110 prints out the SSL session states.
111
112 =item B<-debug>
113
114 print extensive debugging information including a hex dump of all traffic.
115
116 =item B<-msg>
117
118 show all protocol messages with hex dump.
119
120 =item B<-nbio_test>
121
122 tests non-blocking I/O
123
124 =item B<-nbio>
125
126 turns on non-blocking I/O
127
128 =item B<-crlf>
129
130 this option translated a line feed from the terminal into CR+LF as required
131 by some servers.
132
133 =item B<-ign_eof>
134
135 inhibit shutting down the connection when end of file is reached in the
136 input.
137
138 =item B<-quiet>
139
140 inhibit printing of session and certificate information.  This implicitly
141 turns on B<-ign_eof> as well.
142
143 =item B<-ssl2>, B<-ssl3>, B<-tls1>, B<-no_ssl2>, B<-no_ssl3>, B<-no_tls1>
144
145 these options disable the use of certain SSL or TLS protocols. By default
146 the initial handshake uses a method which should be compatible with all
147 servers and permit them to use SSL v3, SSL v2 or TLS as appropriate.
148
149 Unfortunately there are a lot of ancient and broken servers in use which
150 cannot handle this technique and will fail to connect. Some servers only
151 work if TLS is turned off with the B<-no_tls> option others will only
152 support SSL v2 and may need the B<-ssl2> option.
153
154 =item B<-bugs>
155
156 there are several known bug in SSL and TLS implementations. Adding this
157 option enables various workarounds.
158
159 =item B<-cipher cipherlist>
160
161 this allows the cipher list sent by the client to be modified. Although
162 the server determines which cipher suite is used it should take the first
163 supported cipher in the list sent by the client. See the B<ciphers>
164 command for more information.
165
166 =item B<-engine id>
167
168 specifying an engine (by it's unique B<id> string) will cause B<s_client>
169 to attempt to obtain a functional reference to the specified engine,
170 thus initialising it if needed. The engine will then be set as the default
171 for all available algorithms.
172
173 =item B<-rand file(s)>
174
175 a file or files containing random data used to seed the random number
176 generator, or an EGD socket (see L<RAND_egd(3)|RAND_egd(3)>).
177 Multiple files can be specified separated by a OS-dependent character.
178 The separator is B<;> for MS-Windows, B<,> for OpenVMS, and B<:> for
179 all others.
180
181 =back
182
183 =head1 CONNECTED COMMANDS
184
185 If a connection is established with an SSL server then any data received
186 from the server is displayed and any key presses will be sent to the
187 server. When used interactively (which means neither B<-quiet> nor B<-ign_eof>
188 have been given), the session will be renegotiated if the line begins with an
189 B<R>, and if the line begins with a B<Q> or if end of file is reached, the
190 connection will be closed down.
191
192 =head1 NOTES
193
194 B<s_client> can be used to debug SSL servers. To connect to an SSL HTTP
195 server the command:
196
197  openssl s_client -connect servername:443
198
199 would typically be used (https uses port 443). If the connection succeeds
200 then an HTTP command can be given such as "GET /" to retrieve a web page.
201
202 If the handshake fails then there are several possible causes, if it is
203 nothing obvious like no client certificate then the B<-bugs>, B<-ssl2>,
204 B<-ssl3>, B<-tls1>, B<-no_ssl2>, B<-no_ssl3>, B<-no_tls1> can be tried
205 in case it is a buggy server. In particular you should play with these
206 options B<before> submitting a bug report to an OpenSSL mailing list.
207
208 A frequent problem when attempting to get client certificates working
209 is that a web client complains it has no certificates or gives an empty
210 list to choose from. This is normally because the server is not sending
211 the clients certificate authority in its "acceptable CA list" when it
212 requests a certificate. By using B<s_client> the CA list can be viewed
213 and checked. However some servers only request client authentication
214 after a specific URL is requested. To obtain the list in this case it
215 is necessary to use the B<-prexit> command and send an HTTP request
216 for an appropriate page.
217
218 If a certificate is specified on the command line using the B<-cert>
219 option it will not be used unless the server specifically requests
220 a client certificate. Therefor merely including a client certificate
221 on the command line is no guarantee that the certificate works.
222
223 If there are problems verifying a server certificate then the
224 B<-showcerts> option can be used to show the whole chain.
225
226 =head1 BUGS
227
228 Because this program has a lot of options and also because some of
229 the techniques used are rather old, the C source of s_client is rather
230 hard to read and not a model of how things should be done. A typical
231 SSL client program would be much simpler.
232
233 The B<-verify> option should really exit if the server verification
234 fails.
235
236 The B<-prexit> option is a bit of a hack. We should really report
237 information whenever a session is renegotiated.
238
239 =head1 SEE ALSO
240
241 L<sess_id(1)|sess_id(1)>, L<s_server(1)|s_server(1)>, L<ciphers(1)|ciphers(1)>
242
243 =cut