avoid unnecessary newline
[gnutls.git] / doc / invoke-gnutls-cli.texi
blob07e2337a138d134d00940dc6179a0a9903cfe997
1 @node gnutls-cli Invocation
2 @section Invoking gnutls-cli
3 @pindex gnutls-cli
4 @cindex GnuTLS client
5 @ignore
6 #  -*- buffer-read-only: t -*- vi: set ro:
7
8 # DO NOT EDIT THIS FILE   (invoke-gnutls-cli.texi)
9
10 # It has been AutoGen-ed  November  1, 2012 at 03:48:00 PM by AutoGen 5.16
11 # From the definitions    ../src/cli-args.def
12 # and the template file   agtexi-cmd.tpl
13 @end ignore
16 Simple client program to set up a TLS connection to some other computer. 
17 It sets up a TLS connection and forwards data from the standard input to the secured socket and vice versa.
19 This section was generated by @strong{AutoGen},
20 using the @code{agtexi-cmd} template and the option descriptions for the @code{gnutls-cli} program.
21 This software is released under the GNU General Public License, version 3 or later.
24 @anchor{gnutls-cli usage}
25 @subheading gnutls-cli help/usage (-h)
26 @cindex gnutls-cli help
28 This is the automatically generated usage text for gnutls-cli.
29 The text printed is the same whether for the @code{help} option (-h) or the @code{more-help} option (-!).  @code{more-help} will print
30 the usage text by passing it through a pager program.
31 @code{more-help} is disabled on platforms without a working
32 @code{fork(2)} function.  The @code{PAGER} environment variable is
33 used to select the program, defaulting to @file{more}.  Both will exit
34 with a status code of 0.
36 @exampleindent 0
37 @example
38 gnutls-cli - GnuTLS client - Ver. @@VERSION@@
39 USAGE:  gnutls-cli [ -<flag> [<val>] | --<name>[@{=| @}<val>] ]... [hostname]
41    -d, --debug=num            Enable debugging.
42                                 - It must be in the range:
43                                   0 to 9999
44    -V, --verbose              More verbose output
45                                 - may appear multiple times
46        --tofu                 Enable trust on first use authentication
47                                 - disabled as --no-tofu
48        --dane                 Enable DANE certificate verification (DNSSEC)
49                                 - disabled as --no-dane
50        --local-dns            Use the local DNS server for DNSSEC resolving.
51                                 - disabled as --no-local-dns
52        --ca-verification      Disable CA certificate verification
53                                 - disabled as --no-ca-verification
54                                 - enabled by default
55        --ocsp                 Enable OCSP certificate verification
56                                 - disabled as --no-ocsp
57    -r, --resume               Establish a session and resume
58    -b, --heartbeat            Activate heartbeat support
59    -e, --rehandshake          Establish a session and rehandshake
60        --noticket             Don't accept session tickets
61        --ocsp-status-request  Enable OCSP status request
62                                 - disabled as --no-ocsp-status-request
63                                 - enabled by default
64    -s, --starttls             Connect, establish a plain session and start TLS.
65    -u, --udp                  Use DTLS (datagram TLS) over UDP
66        --mtu=num              Set MTU for datagram TLS
67                                 - It must be in the range:
68                                   0 to 17000
69        --srtp-profiles=str    Offer SRTP profiles
70        --crlf                 Send CR LF instead of LF
71        --x509fmtder           Use DER format for certificates to read from
72    -f, --fingerprint          Send the openpgp fingerprint, instead of the key
73        --disable-extensions   Disable all the TLS extensions
74        --print-cert           Print peer's certificate in PEM format
75        --recordsize=num       The maximum record size to advertize
76                                 - It must be in the range:
77                                   0 to 4096
78        --dh-bits=num          The minimum number of bits allowed for DH
79        --priority=str         Priorities string
80        --x509cafile=str       Certificate file or PKCS #11 URL to use
81        --x509crlfile=file     CRL file to use
82                                 - file must pre-exist
83        --pgpkeyfile=file      PGP Key file to use
84                                 - file must pre-exist
85        --pgpkeyring=file      PGP Key ring file to use
86                                 - file must pre-exist
87        --pgpcertfile=file     PGP Public Key (certificate) file to use
88                                 - file must pre-exist
89        --x509keyfile=str      X.509 key file or PKCS #11 URL to use
90        --x509certfile=str     X.509 Certificate file or PKCS #11 URL to use
91        --pgpsubkey=str        PGP subkey to use (hex or auto)
92        --srpusername=str      SRP username to use
93        --srppasswd=str        SRP password to use
94        --pskusername=str      PSK username to use
95        --pskkey=str           PSK key (in hex) to use
96    -p, --port=str             The port or service to connect to
97        --insecure             Don't abort program if server certificate can't be validated
98        --benchmark-ciphers    Benchmark individual ciphers
99        --benchmark-soft-ciphers  Benchmark individual software ciphers (no hw acceleration)
100        --benchmark-tls-kx     Benchmark TLS key exchange methods
101        --benchmark-tls-ciphers  Benchmark TLS ciphers
102    -l, --list                 Print a list of the supported algorithms and modes
103    -v, --version[=arg]        Output version information and exit
104    -h, --help                 Display extended usage information and exit
105    -!, --more-help            Extended usage information passed thru pager
107 Options are specified by doubled hyphens and their name or by a single
108 hyphen and the flag character.
109 Operands and options may be intermixed.  They will be reordered.
113 Simple client program to set up a TLS connection to some other computer.  It
114 sets up a TLS connection and forwards data from the standard input to the
115 secured socket and vice versa.
117 please send bug reports to:  bug-gnutls@@gnu.org
118 @end example
119 @exampleindent 4
121 @anchor{gnutls-cli debug}
122 @subheading debug option (-d)
123 @cindex gnutls-cli-debug
125 This is the ``enable debugging.'' option.
126 This option takes an argument number.
127 Specifies the debug level.
128 @anchor{gnutls-cli tofu}
129 @subheading tofu option
130 @cindex gnutls-cli-tofu
132 This is the ``enable trust on first use authentication'' option.
133 This option will, in addition to certificate authentication, perform authentication based on previously seen public keys, a model similar to SSH authentication.
134 @anchor{gnutls-cli dane}
135 @subheading dane option
136 @cindex gnutls-cli-dane
138 This is the ``enable dane certificate verification (dnssec)'' option.
139 This option will, in addition to certificate authentication using 
140 the trusted CAs, verify the server certificates using on the DANE information
141 available via DNSSEC.
142 @anchor{gnutls-cli local-dns}
143 @subheading local-dns option
144 @cindex gnutls-cli-local-dns
146 This is the ``use the local dns server for dnssec resolving.'' option.
147 This option will use the local DNS server for DNSSEC.
148 This is disabled by default due to many servers not allowing DNSSEC.
149 @anchor{gnutls-cli ca-verification}
150 @subheading ca-verification option
151 @cindex gnutls-cli-ca-verification
153 This is the ``disable ca certificate verification'' option.
155 @noindent
156 This option has some usage constraints.  It:
157 @itemize @bullet
158 @item
159 is enabled by default.
160 @end itemize
162 This option will disable CA certificate verification. It is to be used with the --dane or --tofu options.
163 @anchor{gnutls-cli ocsp}
164 @subheading ocsp option
165 @cindex gnutls-cli-ocsp
167 This is the ``enable ocsp certificate verification'' option.
168 This option will enable verification of the peer's certificate using ocsp
169 @anchor{gnutls-cli resume}
170 @subheading resume option (-r)
171 @cindex gnutls-cli-resume
173 This is the ``establish a session and resume'' option.
174 Connect, establish a session, reconnect and resume.
175 @anchor{gnutls-cli rehandshake}
176 @subheading rehandshake option (-e)
177 @cindex gnutls-cli-rehandshake
179 This is the ``establish a session and rehandshake'' option.
180 Connect, establish a session and rehandshake immediately.
181 @anchor{gnutls-cli ocsp-status-request}
182 @subheading ocsp-status-request option
183 @cindex gnutls-cli-ocsp-status-request
185 This is the ``enable ocsp status request'' option.
187 @noindent
188 This option has some usage constraints.  It:
189 @itemize @bullet
190 @item
191 is enabled by default.
192 @end itemize
194 The client will indicate to the server in a TLS extension that it wants a OCSP status request.
195 @anchor{gnutls-cli starttls}
196 @subheading starttls option (-s)
197 @cindex gnutls-cli-starttls
199 This is the ``connect, establish a plain session and start tls.'' option.
200 The TLS session will be initiated when EOF or a SIGALRM is received.
201 @anchor{gnutls-cli disable-extensions}
202 @subheading disable-extensions option
203 @cindex gnutls-cli-disable-extensions
205 This is the ``disable all the tls extensions'' option.
206 This option disables all TLS extensions. Deprecated option. Use the priority string.
207 @anchor{gnutls-cli dh-bits}
208 @subheading dh-bits option
209 @cindex gnutls-cli-dh-bits
211 This is the ``the minimum number of bits allowed for dh'' option.
212 This option takes an argument number.
213 This option sets the minimum number of bits allowed for a Diffie-Hellman key exchange. You may want to lower the default value if the peer sends a weak prime and you get an connection error with unacceptable prime.
214 @anchor{gnutls-cli priority}
215 @subheading priority option
216 @cindex gnutls-cli-priority
218 This is the ``priorities string'' option.
219 This option takes an argument string.
220 TLS algorithms and protocols to enable. You can
221 use predefined sets of ciphersuites such as PERFORMANCE,
222 NORMAL, SECURE128, SECURE256.
224 Check  the  GnuTLS  manual  on  section  ``Priority strings'' for more
225 information on allowed keywords
226 @anchor{gnutls-cli list}
227 @subheading list option (-l)
228 @cindex gnutls-cli-list
230 This is the ``print a list of the supported algorithms and modes'' option.
231 Print a list of the supported algorithms and modes. If a priority string is given then only the enabled ciphersuites are shown.
232 @anchor{gnutls-cli exit status}
233 @subheading gnutls-cli exit status
235 One of the following exit values will be returned:
236 @table @samp
237 @item 0 (EXIT_SUCCESS)
238 Successful program execution.
239 @item 1 (EXIT_FAILURE)
240 The operation failed or the command syntax was not valid.
241 @end table
242 @anchor{gnutls-cli See Also}
243 @subheading gnutls-cli See Also
244 gnutls-cli-debug(1), gnutls-serv(1)
246 @anchor{gnutls-cli Examples}
247 @subheading gnutls-cli Examples
248 @subheading Connecting using PSK authentication
249 To connect to a server using PSK authentication, you need to enable the choice of PSK by using a cipher priority parameter such as in the example below. 
250 @example
251 $ ./gnutls-cli -p 5556 localhost --pskusername psk_identity \
252     --pskkey 88f3824b3e5659f52d00e959bacab954b6540344 \
253     --priority NORMAL:-KX-ALL:+ECDHE-PSK:+DHE-PSK:+PSK
254 Resolving 'localhost'...
255 Connecting to '127.0.0.1:5556'...
256 - PSK authentication.
257 - Version: TLS1.1
258 - Key Exchange: PSK
259 - Cipher: AES-128-CBC
260 - MAC: SHA1
261 - Compression: NULL
262 - Handshake was completed
263     
264 - Simple Client Mode:
265 @end example
266 By keeping the --pskusername parameter and removing the --pskkey parameter, it will query only for the password during the handshake. 
268 @subheading Listing ciphersuites in a priority string
269 To list the ciphersuites in a priority string:
270 @example
271 $ ./gnutls-cli --priority SECURE192 -l
272 Cipher suites for SECURE192
273 TLS_ECDHE_ECDSA_AES_256_CBC_SHA384         0xc0, 0x24   TLS1.2
274 TLS_ECDHE_ECDSA_AES_256_GCM_SHA384         0xc0, 0x2e   TLS1.2
275 TLS_ECDHE_RSA_AES_256_GCM_SHA384           0xc0, 0x30   TLS1.2
276 TLS_DHE_RSA_AES_256_CBC_SHA256             0x00, 0x6b   TLS1.2
277 TLS_DHE_DSS_AES_256_CBC_SHA256             0x00, 0x6a   TLS1.2
278 TLS_RSA_AES_256_CBC_SHA256                 0x00, 0x3d   TLS1.2
280 Certificate types: CTYPE-X.509
281 Protocols: VERS-TLS1.2, VERS-TLS1.1, VERS-TLS1.0, VERS-SSL3.0, VERS-DTLS1.0
282 Compression: COMP-NULL
283 Elliptic curves: CURVE-SECP384R1, CURVE-SECP521R1
284 PK-signatures: SIGN-RSA-SHA384, SIGN-ECDSA-SHA384, SIGN-RSA-SHA512, SIGN-ECDSA-SHA512
285 @end example