TrustPort eSign PRO: příkazová řádka - práce nad soubory

Práce nad soubory je jedna z vlastností, která není v grafické verzi eSign PRO zahrnuta. Umožňuje uživateli provádět základní operace s vybraným souborem pomocí zadaného certifikátu, souboru s certifikáty nebo s klíčovým párem. Mezi tyto operace patří: podepsání souboru, zašifrování souboru, podepsání a zašifrování souboru, dešifrování a ověření souboru, vytvoření odděleného podpisu, přidání časového razítka, podepsání a přidání časového razítka, vytvoření odděleného podpisu a časového razítka, vytvoření časového razítka do souboru, vytvoření HASHe ze souboru.

Specifikování souboru

Lze provést pomocí přepínače -f název_souboru nebo --file=název_souboru, je možné uvést jak absolutní tak i relativní cestu.

Určení příjemce

Provádí se pomocí přepínače -r název_souboru nebo --recipient=název_souboru. Jako příjemce je možné zadat:

  • Soubor .CER , .BIN nebo .PEM obsahující certifikát příjemce.
  • Soubor .P7C nebo .P7B obsahující jeden nebo více certifikátů příjemce. Pozor!!! Pokud je v souboru více certifikátů, bude zašifrován pro každého z nich.
  • Soubor .P12 nebo .PFX obsahující kompletní klíčový pár. Pozor!!! U tohoto typu souboru je nutné zadat heslo pro přístup k privátnímu klíči a pokud je v souboru více certifikátů, bude zašifrován pro každého z nich.
  • Textový soubor obsahující na každém řádku zvlášť jméno souboru s certifikátem příjemce.

Příjemce se používá pouze při šifrování souboru (režim enc nebo sge).

Určení podepisujícího

Provedeme pomocí přepínače -s název_souboru nebo --signer=název_souboru. Jako podepisujícího je možné zadat pouze soubor obsahující kompletní klíčový pár, tj .P12 nebo .PFX .

Podepisujicí se používá při libovolném podepisování souboru (režimy sgn , sge , sgt , esg , est ) nebo jeho ověření (režim dec).

Určení módu (režimu programu)

Provedeme pomocí přepínače -m zkratka_módu nebo --mode=zkratka_módu. Módy mohou být:

  • sgn ... podepsání souboru,
  • enc ... zašifrování souboru,
  • sge ... podepsání a zašifrování souboru,
  • dec ... dešifrování a/nebo ověření souboru,
  • esg ... oddělený podpis,
  • tsa ... časová značka,
  • sgt ... podepsání s časovou značkou,
  • est ... oddělený podpis s časovou značkou,
  • tst ... vytvoření souboru s jeho časovou značkou,
  • hash ... vytvoření HASHe souboru.

Přesměrování výstupu

Pomocí přepínače -o výstupní_soubor nebo --output=výstupní_soubor lze přesměrovat výstup do zadaného souboru. Po provedení operace s daným souborem, je k názvu souboru přidána automaticky přípona daného typu (pouze pokud soubor již tuto příponu nemá na konci svého názvu).

Práce s hesly

Při práci se soubory .P12 můžete používat zadání hesla dvěmi způsoby. Pokud soubor nemá žádné heslo, je možné použít parametr --no-password. V opačném případě lze konkrétní heslo specifikovat parametrem --password=heslo, kde heslo je Vámi použité heslo k danému souboru. Pokud není použit ani jeden z těchto parametrů, jste vždy tázáni na heslo při použití daného souboru.

Příklady užití parametrů

Jednotlivé parametry jsou voleny tak, aby bylo možné bez nutnosti zadání módu provést tzv. implicitní akci, příklady:

  • esign -f soubor -r certifikát.cer
    provede automaticky zašifrování souboru (bez nutnosti uvedení parametru -m enc),
  • esign -f soubor -s "klíčový pár.p12" --password=P1x%_34r
    provede automaticky podepsání souboru (bez nutnosti uvedení parametru -m sgn) se zvoleným heslem k souboru .P12 ,
  • esign -f soubor -r certifikát.cer -s "klíčový pár.p12" -o výstup
    provede automaticky podepsání a zašifrování souboru (bez nutnosti uvedení parametru -m sge) a výstup je uložen do souboru výstup,
  • esign -f soubor.enc -s "klíčový pár.p12" -m dec
    provede odšifrování souboru, je nezbytné uvést parametr -m dec, jinak se automaticky soubor podepíše!
  • esign -f soubor -s "klíčový pár.p12" -m esg
    provede vytvoření odděleného podpisu souboru, je nezbytné uvést parametr -m esg, jinak se automaticky soubor podepíše!

Práce s časovým razítkem

K souboru, který je podepsán (režim sgn) nebo obsahuje oddělený podpis (režim esg), je možné přidat časové razítko. K tomu je ovšem potřeba zadat adresu autority časové značky parametrem -I adresa:port nebo --timestampauthority=adresa:port a pomocí parametru --TSAcertif=certifikát určit příslušný certifikát autority časové značky.

Příklad esign -f soubor.sgn -m tsa -I "http://time.trustport.cz:8000/" --TSAcertif=TSAcertifikát.cer .

Tyto operace je ovšem možné provést i najednou a to určením režimu sgt nebo esg s příslušnými parametry.

Příklad esign -f soubor -m est -s "klíčový pár.p12" -I "http://time.trustport.cz:8000/" --TSAcertif=TSAcertifikát.cer .

Novou operací je možnost vyrobení pouze časového razítka s HASHem nějakého souboru pomocí režimu -m tst. Je opět nezbytné uvést parametry autority časové značky.

Příklad esign -f soubor -m tst -I "http://time.trustport.cz:8000/" --TSAcertif=TSAcertifikát.cer .

Takový soubor je možné ověřit parametrem -m dec.

Příklad výstupu takového souboru: 

        Details about created Time Stamp: C:\esign.txt.tst 
        Signature verified Signature time: 13.9.2004 8:18:49 
        Hash algorithm: SHA-1 
        Hash: 475d6e86651a595cddb3a6c6b518c4f71bf0a9ec 
        Policy (OIDS): 1.3.6.1.4.1.4022.1.2.2.1 
        Serial number: b688478e48e0196480

Vytvoření HASHe souboru

Další novou operací je možnost vyrobení pouze HASHe nějakého souboru, který není nutné nějakým způsobem podepisovat jako u odděleného podpisu. Takový HASH nám může sloužit pro ověření zachování obsahu nějakého souboru. Tuto operaci můžete provést pomocí parametru --filehash. Je nezbytné uvést soubor, ze kterého chcete vyrobit takovýto HASH. Pomocí parametru -n je možné specifikovat algoritmus použitý při vytváření tohoto HASHe (bez nutnosti uvedení parametru -m hash).

Příklad esign -f soubor -m hash -n MD-5.

Pokud chcete takovýto soubor ověřit, je nutné použít parametr -m dec. K tomu, aby tato operace proběhla opravdu správně, je potřeba použít v případě jiného původního souboru pomocí parametru --originalfile=jméno_souboru zvolit správný soubor. Pokud jste použili parametr -n, je nezbytné jej i zde zadat a to se stejnou hodnotou.

Příklad esign -f data.doc.hash --originalfile data_záloha.doc -m dec -n MD-5 .

Příklad takového HASHe v souboru: 

        475d6e86651a595cddb3a6c6b518c4f71bf0a9ec

Určení typu algoritmu

U vytváření HASHe nebo jeho ověřování je rovněž možné určit typ algoritmu, kterým chcete HASH vytvořit. To lze provést parametrem -n typ nebo --signalgorithm=typ, kde typ může nabývat hodnot SHA-1, RIPEMD-160 nebo MD-5.

Zobrazení obsahu souboru

Parametrem -d nebo --details lze vypsat informace o souboru. Tento parametr umožňuje zobrazovat informace o souborech typu .CER , .BIN , .PEM , .P7C , .P7B , .P12 nebo .PFX . Je ovšem nezbytné uvést název takového souboru, v opačném případě se předpokládá, že chcete vypisovat obsah nějakého objektu z úložiště.

Příklad vypsání obsahu souboru: esign -d -f "můj klíčový pár.p12".

Změna hesla u souboru s klíčovým párem

Parametrem -p nebo --changep12password lze změnit heslo u souboru typu .P12, který je nutné určit pomocí parametru -f jméno souboru. Při změně hesla můžete použít i parametry --password=heslo, --no-password pro zadání stávajícího hesla a --newpassword=heslo pro zadání nového hesla.

Příklad změny hesla v souboru esign -p -f soubor.p12 --password=p13^Jl[0 --newpassword=KuI_[98%^

Související odkazy

Hlavní stránka
Příkazová řádka
Práce s úložišťmi
Práce nad tokeny a čipovými kartami
Práce s LDAP a hybridními úložištmi


Copyright © 2010, TrustPort, a.s., Všechna práva vyhrazena.