Document supported digest functions
[openssl.git] / doc / man1 / openssl.pod
1 =pod
2
3 =head1 NAME
4
5 openssl - OpenSSL command line tool
6
7 =head1 SYNOPSIS
8
9 B<openssl>
10 I<command>
11 [ I<command_opts> ]
12 [ I<command_args> ]
13
14 B<openssl> B<list> [ B<standard-commands> | B<digest-commands> | B<cipher-commands> | B<cipher-algorithms> | B<digest-algorithms> | B<public-key-algorithms>]
15
16 B<openssl> B<no->I<XXX> [ I<arbitrary options> ]
17
18 =head1 DESCRIPTION
19
20 OpenSSL is a cryptography toolkit implementing the Secure Sockets Layer (SSL
21 v2/v3) and Transport Layer Security (TLS v1) network protocols and related
22 cryptography standards required by them.
23
24 The B<openssl> program is a command line tool for using the various
25 cryptography functions of OpenSSL's B<crypto> library from the shell.
26 It can be used for
27
28  o  Creation and management of private keys, public keys and parameters
29  o  Public key cryptographic operations
30  o  Creation of X.509 certificates, CSRs and CRLs
31  o  Calculation of Message Digests
32  o  Encryption and Decryption with Ciphers
33  o  SSL/TLS Client and Server Tests
34  o  Handling of S/MIME signed or encrypted mail
35  o  Time Stamp requests, generation and verification
36
37 =head1 COMMAND SUMMARY
38
39 The B<openssl> program provides a rich variety of commands (I<command> in the
40 SYNOPSIS above), each of which often has a wealth of options and arguments
41 (I<command_opts> and I<command_args> in the SYNOPSIS).
42
43 Many commands use an external configuration file for some or all of their
44 arguments and have a B<-config> option to specify that file.
45 The environment variable B<OPENSSL_CONF> can be used to specify
46 the location of the file.
47 If the environment variable is not specified, then the file is named
48 B<openssl.cnf> in the default certificate storage area, whose value
49 depends on the configuration flags specified when the OpenSSL
50 was built.
51
52 The list parameters B<standard-commands>, B<digest-commands>,
53 and B<cipher-commands> output a list (one entry per line) of the names
54 of all standard commands, message digest commands, or cipher commands,
55 respectively, that are available in the present B<openssl> utility.
56
57 The list parameters B<cipher-algorithms> and
58 B<digest-algorithms> list all cipher and message digest names, one entry per line. Aliases are listed as:
59
60  from => to
61
62 The list parameter B<public-key-algorithms> lists all supported public
63 key algorithms.
64
65 The command B<no->I<XXX> tests whether a command of the
66 specified name is available.  If no command named I<XXX> exists, it
67 returns 0 (success) and prints B<no->I<XXX>; otherwise it returns 1
68 and prints I<XXX>.  In both cases, the output goes to B<stdout> and
69 nothing is printed to B<stderr>.  Additional command line arguments
70 are always ignored.  Since for each cipher there is a command of the
71 same name, this provides an easy way for shell scripts to test for the
72 availability of ciphers in the B<openssl> program.  (B<no->I<XXX> is
73 not able to detect pseudo-commands such as B<quit>,
74 B<list>, or B<no->I<XXX> itself.)
75
76 =head2 Standard Commands
77
78 =over 4
79
80 =item L<B<asn1parse>|asn1parse(1)>
81
82 Parse an ASN.1 sequence.
83
84 =item L<B<ca>|ca(1)>
85
86 Certificate Authority (CA) Management.
87
88 =item L<B<ciphers>|ciphers(1)>
89
90 Cipher Suite Description Determination.
91
92 =item L<B<cms>|cms(1)>
93
94 CMS (Cryptographic Message Syntax) utility.
95
96 =item L<B<crl>|crl(1)>
97
98 Certificate Revocation List (CRL) Management.
99
100 =item L<B<crl2pkcs7>|crl2pkcs7(1)>
101
102 CRL to PKCS#7 Conversion.
103
104 =item L<B<dgst>|dgst(1)>
105
106 Message Digest Calculation.
107
108 =item B<dh>
109
110 Diffie-Hellman Parameter Management.
111 Obsoleted by L<B<dhparam>|dhparam(1)>.
112
113 =item L<B<dhparam>|dhparam(1)>
114
115 Generation and Management of Diffie-Hellman Parameters. Superseded by
116 L<B<genpkey>|genpkey(1)> and L<B<pkeyparam>|pkeyparam(1)>.
117
118 =item L<B<dsa>|dsa(1)>
119
120 DSA Data Management.
121
122 =item L<B<dsaparam>|dsaparam(1)>
123
124 DSA Parameter Generation and Management. Superseded by
125 L<B<genpkey>|genpkey(1)> and L<B<pkeyparam>|pkeyparam(1)>.
126
127 =item L<B<ec>|ec(1)>
128
129 EC (Elliptic curve) key processing.
130
131 =item L<B<ecparam>|ecparam(1)>
132
133 EC parameter manipulation and generation.
134
135 =item L<B<enc>|enc(1)>
136
137 Encoding with Ciphers.
138
139 =item L<B<engine>|engine(1)>
140
141 Engine (loadable module) information and manipulation.
142
143 =item L<B<errstr>|errstr(1)>
144
145 Error Number to Error String Conversion.
146
147 =item B<gendh>
148
149 Generation of Diffie-Hellman Parameters.
150 Obsoleted by L<B<dhparam>|dhparam(1)>.
151
152 =item L<B<gendsa>|gendsa(1)>
153
154 Generation of DSA Private Key from Parameters. Superseded by
155 L<B<genpkey>|genpkey(1)> and L<B<pkey>|pkey(1)>.
156
157 =item L<B<genpkey>|genpkey(1)>
158
159 Generation of Private Key or Parameters.
160
161 =item L<B<genrsa>|genrsa(1)>
162
163 Generation of RSA Private Key. Superseded by L<B<genpkey>|genpkey(1)>.
164
165 =item L<B<nseq>|nseq(1)>
166
167 Create or examine a Netscape certificate sequence.
168
169 =item L<B<ocsp>|ocsp(1)>
170
171 Online Certificate Status Protocol utility.
172
173 =item L<B<passwd>|passwd(1)>
174
175 Generation of hashed passwords.
176
177 =item L<B<pkcs12>|pkcs12(1)>
178
179 PKCS#12 Data Management.
180
181 =item L<B<pkcs7>|pkcs7(1)>
182
183 PKCS#7 Data Management.
184
185 =item L<B<pkcs8>|pkcs8(1)>
186
187 PKCS#8 format private key conversion tool.
188
189 =item L<B<pkey>|pkey(1)>
190
191 Public and private key management.
192
193 =item L<B<pkeyparam>|pkeyparam(1)>
194
195 Public key algorithm parameter management.
196
197 =item L<B<pkeyutl>|pkeyutl(1)>
198
199 Public key algorithm cryptographic operation utility.
200
201 =item L<B<prime>|prime(1)>
202
203 Compute prime numbers.
204
205 =item L<B<rand>|rand(1)>
206
207 Generate pseudo-random bytes.
208
209 =item L<B<rehash>|rehash(1)>
210
211 Create symbolic links to certificate and CRL files named by the hash values.
212
213 =item L<B<req>|req(1)>
214
215 PKCS#10 X.509 Certificate Signing Request (CSR) Management.
216
217 =item L<B<rsa>|rsa(1)>
218
219 RSA key management.
220
221
222 =item L<B<rsautl>|rsautl(1)>
223
224 RSA utility for signing, verification, encryption, and decryption. Superseded
225 by  L<B<pkeyutl>|pkeyutl(1)>.
226
227 =item L<B<s_client>|s_client(1)>
228
229 This implements a generic SSL/TLS client which can establish a transparent
230 connection to a remote server speaking SSL/TLS. It's intended for testing
231 purposes only and provides only rudimentary interface functionality but
232 internally uses mostly all functionality of the OpenSSL B<ssl> library.
233
234 =item L<B<s_server>|s_server(1)>
235
236 This implements a generic SSL/TLS server which accepts connections from remote
237 clients speaking SSL/TLS. It's intended for testing purposes only and provides
238 only rudimentary interface functionality but internally uses mostly all
239 functionality of the OpenSSL B<ssl> library.  It provides both an own command
240 line oriented protocol for testing SSL functions and a simple HTTP response
241 facility to emulate an SSL/TLS-aware webserver.
242
243 =item L<B<s_time>|s_time(1)>
244
245 SSL Connection Timer.
246
247 =item L<B<sess_id>|sess_id(1)>
248
249 SSL Session Data Management.
250
251 =item L<B<smime>|smime(1)>
252
253 S/MIME mail processing.
254
255 =item L<B<speed>|speed(1)>
256
257 Algorithm Speed Measurement.
258
259 =item L<B<spkac>|spkac(1)>
260
261 SPKAC printing and generating utility.
262
263 =item L<B<srp>|srp(1)>
264
265 Maintain SRP password file.
266
267 =item L<B<storeutl>|storeutl(1)>
268
269 Utility to list and display certificates, keys, CRLs, etc.
270
271 =item L<B<ts>|ts(1)>
272
273 Time Stamping Authority tool (client/server).
274
275 =item L<B<verify>|verify(1)>
276
277 X.509 Certificate Verification.
278
279 =item L<B<version>|version(1)>
280
281 OpenSSL Version Information.
282
283 =item L<B<x509>|x509(1)>
284
285 X.509 Certificate Data Management.
286
287 =back
288
289 =head2 Message Digest Commands
290
291 =over 4
292
293 =item B<blake2b512>
294
295 BLAKE2b-512 Digest
296
297 =item B<blake2s256>
298
299 BLAKE2s-256 Digest
300
301 =item B<md2>
302
303 MD2 Digest
304
305 =item B<md4>
306
307 MD4 Digest
308
309 =item B<md5>
310
311 MD5 Digest
312
313 =item B<mdc2>
314
315 MDC2 Digest
316
317 =item B<rmd160>
318
319 RMD-160 Digest
320
321 =item B<sha1>
322
323 SHA-1 Digest
324
325 =item B<sha224>
326
327 SHA-2 224 Digest
328
329 =item B<sha256>
330
331 SHA-2 256 Digest
332
333 =item B<sha384>
334
335 SHA-2 384 Digest
336
337 =item B<sha512>
338
339 SHA-2 512 Digest
340
341 =item B<sha3-224>
342
343 SHA-3 224 Digest
344
345 =item B<sha3-256>
346
347 SHA-3 256 Digest
348
349 =item B<sha3-384>
350
351 SHA-3 384 Digest
352
353 =item B<sha3-512>
354
355 SHA-3 512 Digest
356
357 =item B<shake128>
358
359 SHA-3 SHAKE128 Digest
360
361 =item B<shake256>
362
363 SHA-3 SHAKE256 Digest
364
365 =item B<sm3>
366
367 SM3 Digest
368
369 =back
370
371 =head2 Encoding and Cipher Commands
372
373 =over 4
374
375 =item B<base64>
376
377 Base64 Encoding
378
379 =item B<bf bf-cbc bf-cfb bf-ecb bf-ofb>
380
381 Blowfish Cipher
382
383 =item B<cast cast-cbc>
384
385 CAST Cipher
386
387 =item B<cast5-cbc cast5-cfb cast5-ecb cast5-ofb>
388
389 CAST5 Cipher
390
391 =item B<des des-cbc des-cfb des-ecb des-ede des-ede-cbc des-ede-cfb des-ede-ofb des-ofb>
392
393 DES Cipher
394
395 =item B<des3 desx des-ede3 des-ede3-cbc des-ede3-cfb des-ede3-ofb>
396
397 Triple-DES Cipher
398
399 =item B<idea idea-cbc idea-cfb idea-ecb idea-ofb>
400
401 IDEA Cipher
402
403 =item B<rc2 rc2-cbc rc2-cfb rc2-ecb rc2-ofb>
404
405 RC2 Cipher
406
407 =item B<rc4>
408
409 RC4 Cipher
410
411 =item B<rc5 rc5-cbc rc5-cfb rc5-ecb rc5-ofb>
412
413 RC5 Cipher
414
415 =back
416
417 =head1 OPTIONS
418
419 Details of which options are available depend on the specific command.
420 This section describes some common options with common behavior.
421
422 =head2 Common Options
423
424 =over 4
425
426 =item B<-help>
427
428 Provides a terse summary of all options.
429
430 =back
431
432 =head2 Pass Phrase Options
433
434 Several commands accept password arguments, typically using B<-passin>
435 and B<-passout> for input and output passwords respectively. These allow
436 the password to be obtained from a variety of sources. Both of these
437 options take a single argument whose format is described below. If no
438 password argument is given and a password is required then the user is
439 prompted to enter one: this will typically be read from the current
440 terminal with echoing turned off.
441
442 =over 4
443
444 =item B<pass:password>
445
446 The actual password is B<password>. Since the password is visible
447 to utilities (like 'ps' under Unix) this form should only be used
448 where security is not important.
449
450 =item B<env:var>
451
452 Obtain the password from the environment variable B<var>. Since
453 the environment of other processes is visible on certain platforms
454 (e.g. ps under certain Unix OSes) this option should be used with caution.
455
456 =item B<file:pathname>
457
458 The first line of B<pathname> is the password. If the same B<pathname>
459 argument is supplied to B<-passin> and B<-passout> arguments then the first
460 line will be used for the input password and the next line for the output
461 password. B<pathname> need not refer to a regular file: it could for example
462 refer to a device or named pipe.
463
464 =item B<fd:number>
465
466 Read the password from the file descriptor B<number>. This can be used to
467 send the data via a pipe for example.
468
469 =item B<stdin>
470
471 Read the password from standard input.
472
473 =back
474
475 =head1 SEE ALSO
476
477 L<asn1parse(1)>, L<ca(1)>, L<ciphers(1)>, L<cms(1)>, L<config(5)>,
478 L<crl(1)>, L<crl2pkcs7(1)>, L<dgst(1)>,
479 L<dhparam(1)>, L<dsa(1)>, L<dsaparam(1)>,
480 L<ec(1)>, L<ecparam(1)>,
481 L<enc(1)>, L<engine(1)>, L<errstr(1)>, L<gendsa(1)>, L<genpkey(1)>,
482 L<genrsa(1)>, L<nseq(1)>, L<ocsp(1)>,
483 L<passwd(1)>,
484 L<pkcs12(1)>, L<pkcs7(1)>, L<pkcs8(1)>,
485 L<pkey(1)>, L<pkeyparam(1)>, L<pkeyutl(1)>, L<prime(1)>,
486 L<rand(1)>, L<rehash(1)>, L<req(1)>, L<rsa(1)>,
487 L<rsautl(1)>, L<s_client(1)>,
488 L<s_server(1)>, L<s_time(1)>, L<sess_id(1)>,
489 L<smime(1)>, L<speed(1)>, L<spkac(1)>, L<srp(1)>, L<storeutl(1)>,
490 L<ts(1)>,
491 L<verify(1)>, L<version(1)>, L<x509(1)>,
492 L<crypto(7)>, L<ssl(7)>, L<x509v3_config(5)>
493
494 =head1 HISTORY
495
496 The B<list->I<XXX>B<-algorithms> pseudo-commands were added in OpenSSL 1.0.0;
497 For notes on the availability of other commands, see their individual
498 manual pages.
499
500 =head1 COPYRIGHT
501
502 Copyright 2000-2018 The OpenSSL Project Authors. All Rights Reserved.
503
504 Licensed under the OpenSSL license (the "License").  You may not use
505 this file except in compliance with the License.  You can obtain a copy
506 in the file LICENSE in the source distribution or at
507 L<https://www.openssl.org/source/license.html>.
508
509 =cut