TrustPort eSign PRO: příkazová řádka - práce nad úložištěm na disku

Pomocí tohoto módu pracujete přímo s úložištěm na disku. Lze použít všechny parametry, které se používají při práci nad soubory, s vyjímkou parametrů -r a -s, které se používají vždy pouze v kombinaci s externím souborem. Jako jednoduchý příklad uveďme podepsání souboru nad úložištěm s přesměrováním výstupu do jiného (nestandartního) souboru: esign -f file -m sgn -o výstup.sgn .

Určení módu (režimu programu)

Provedeme rovněž pomocí přepínače -m zkratka_módu nebo --mode=zkratka_módu . Módy mohou být:

  • sgn ... podepsání souboru,
  • enc ... zašifrování souboru,
  • sge ... podepsání a zašifrování souboru,
  • dec ... dešifrování a/nebo ověření souboru,
  • esg ... oddělený podpis
  • tsa ... Time Stamp - časové razítko (jen na podepsaných souborech),
  • sgt ... podepsání souboru a přidání časového razítka,
  • tst ... vytvoření souboru s jeho časovou značkou.

Určení typu úložiště

Pokud chcete specifikovat typ úložiště, lze to provést pomocí přepínače -c typ_úložiště nebo --choosestorage=typ_úložiště , kde typ_úložiště je jednou z následujících variant:

Určení úložiště

Lze provést specifikováním parametru -l název_úložiště nebo --localstorage=název_úložiště na příkazové řádce. Pokud se nejedná o lokální úložiště, je potřeba zadat i parametr určující jeho typ. Pokud není vybráno žádné úložiště, použije se úložiště implicitní. Pozor! V případě více úložišť není možné implicitní úložiště v žádném případě ovlivnit pomocí preferovaného úložiště v konfiguraci. Jestliže máte program esign.exe v adresáři C:\Program Files\TrustPort eSign PRO\bin, potom je uloženo na cestě: C:\Program Files\TrustPort eSign PRO\storage, tj. vždy v adresáři ..\storage k danému programu. Umístění tohoto úložiště nelze v žádném případě měnit! Po instalaci produktu je toto úložiště označováno jako Default local . Pokud chcete používat v jakékoliv funkci programu jiné úložiště, použijte k tomu tento parametr.

Příklad zašifrování souboru nad lokálním úložištěm esign -f soubor.txt -l úložiště -c local -m enc .

Přidání úložiště

Pomocí zadání parametru -A název_úložiště nebo --addstorage=název_úložiště je možné přidávat úložiště. Pokud uvedete pouze tento parametr, je automaticky vygenerována cesta pro nové lokální úložiště.

Pomocí parametru --storagepath=cesta můžete zadat cestu k takovému lokálnímu úložišti, např. esign -A "mé_nové_úložiště" --storagepath=c:\úložiště\nové_úložiště .

Smazání úložiště

Pokud již některé úložiště není potřeba, je možné je odstranit. Při rušení je možné si vybrat, jestli chcete obsah úložiště i fyzicky smazat z disku. K smazání se použije parametr -D název_úložiště nebo --deletestorage=název_úložiště , např. esign -D "mé_nové_úložiště" . Protože vždy existuje implicitní lokální úložiště, bude toto úložiště vytvořeno při dalším spuštění eSign PRO s operací nad úložištěm. Při rušení je možné si parametrem --forcedelete vybrat, že chcete obsah úložiště i fyzicky smazat z disku.

Vypsání obsahu úložiště

Pokud potřebujete vypsat obsah úložiště, použijte k tomu parametr --storagecontent , např. esign -l "mé úložiště" --storagecontent .

Importování souboru do úložiště

Do úložiště je možné naimportovat objekty z podporovaného typu souboru, tj. .CER , .BIN nebo .PEM obsahující certifikát příjemce, soubor .P7C nebo .P7B obsahující jeden nebo více certifikátů příjemce, soubor .P12 nebo .PFX klíčovým párem a soubor typu .CRL se seznamem odvolaných certifikátů. Pokud se naimportuje CRL, je toto CRL automaticky aplikováno na dané úložiště. Parametr pro importování je -i -f název_souboru nebo --import --file=název_souboru , např. esign -i -f klíčový_pár.p12 --no-password .

Při importování lze použít parametry pro označení aliasu klíče ( -K název nebo --keyalias=název ), certifikátu ( -E název nebo --certifalias=název ) a CRL ( --crlalias=název ).

Aplikování CRL

Pokud chcete přímo zavolat funkci aplikovat CRL, použijte parametr -a nebo --applyCRL . Jestliže budou nalezeny certifikáty, které jsou odvolány, budete o této informaci informování a máte možnost je i smazat. Tato funkce se může hodit v případě, že jste např. naimportovali nový certifikát do úložiště až po importování CRL a je dostupná pouze nad lokálnimi úložištmi.

Kontrola platnosti objektů v úložišti

Pokud chcete ověřit platnost objektů v úložišti, použijte parametr --verifysigns . Tato operace zjistí a nastaví platnost u všech certifikátů. V případě, že máte v úložišti nějaká CRL, zjistí a nastaví i jejich plastnost a následně aplikuje obsah těchto CRL na všechny certifikáty v úložišti. Jestliže budou nalezeny certifikáty, které jsou odvolány, budete o této informaci informování a máte možnost je i smazat.

Při kontrole platnosti se nastavuje položka Validity v certifikátu.

Exportování do souboru

Z úložiště je možné exportovat objekty do souborů různých typů. Jeden certifikát je možné vyexportovat do souboru typu .CER , .BIN nebo .PEM . Jeden nebo více certifikátů lze exportovat do souboru .P7C nebo .P7B . Klíčový pár vyexportujete do souboru typu .P12 nebo .PFX , který je chráněný heslem. Exportování lze provést parametrem -e -f soubor nebo --export --file=soubor , kde parametr soubor určuje název souboru, do kterého chcete vyexportovat objekt(y). Před exportováním je možné určit typ výsledného souboru pomocí přepínače -T typ nebo --filetype=typ , kde typ určuje typ výstupního souboru. U souboru lze určit i interní formát souboru. Implicitně se používá binární formát souboru, ale je možné určit i BASE64 nebo BASE64 s hlavičkami (trailers) pomocí přepínače -F typ_souboru nebo --filetype=typ_souboru .

Příklad vyexportování klíčového páru do souboru klíčový pár.p12 ve formátu BASE64 s hlavičkami esign -e -f "klíčový pár.p12" -T p12 -F TRAIL .

Užší výběr lze opět specifikovat pomocí pamametru -O vzorek nebo --object=vzorek . Při exportování klíčového páru se u certifikátů přidává automaticky kompletní certifikační cesta.

Zobrazení informací o objektu

Parametrem -d nebo --details lze vypsat informace o objektu. Pomocí parametru -O vzorek lze přesněji specifikovat o jaký objekt máte zájem a parametrem -T typ jaký typ objektu chcete prohlížet (privátní klíč, certifikát, CRL). Např. esign -d -O DSA -l úložiště -T key .

Generování klíčového páru nebo žádosti o certifikát

Pomocí parametru -g nebo --generate lze vygenerovat nový objekt. U generování můžete dále určit spoustu parametrů, kterými lze ovlivnit výsledný klíčový pár případně žádost o certifikát, například lze uvést název privátního klíče a certifikátu, algoritmus privátního klíče, způsob generování,… Např. esign -g -K alias_klíče -E alias_certifikátu -k 1024 -b DSA .

Název nového objektu

U generovaného objektu lze specifikovat jeho jméno. U privátního klíče se jedná o parametr -K alias_klíče nebo --keyalias=alias_klíče , u certifikátu se jedná o parametr -E alias_certifikátu nebo --certalias=alias_certifikátu . U CLR slouží k určení jména parametr --crlalias=alias_CRL . Nově zadávaná jména musí být unikátní v určeném úložišti.

Podporované algoritmy

Pomocí parametru --storageinfo lze získat informace o podporovaných algoritmech. Pokud není specifikován pameter -c typ_úložiště nebo --choosestorage=typ_úložiště , operace proběhne nad lokálním úložištěm.

Určení typu algoritmu

Při generování je rovněž možné určit algoritmus veřejného klíče -b typ nebo --pubkeyalgorithm=typ , kde typ může nabývat hodnot RSA, ELLIPTIC, DSA nebo DH. Dále je možné určit algoritmus používaný při podpisu a to parametrem -n typ nebo --signalgorithm=typ , kde typ může nabývat hodnot SHA-1, SHA-256, SHA-512, SHA-256, RIPEMD-160 nebo MD-5.

Délka privátního klíče

Pokud při generování potřebujete nebo jestliže pomocí parametru změníte algoritmus veřejného klíče, potom byste měli použít parametr -k délka nebo --keylength=délka , kterým určíte délku privátního klíče. Je potřeba vědět, které kombinace jsou povolené, např. u DSA nebo DH nelze udělat klíč o délce 512 nebo 768, to lze pouze u RSA.

Vytvoření certifikátu nebo žádosti o certifikát

Pomocí parametru -M typ nebo --certificatemode=typ lze vybírat z možností self-signed což je implicitní volba (vytvoření certifikátu podepsaného sám sebou) nebo request pro vytvoření žádosti o certifikát.

Způsob vytvoření klíčového páru

Pomocí parametru -G typ nebo --generationmode=typ lze určit jak se bude klíčový pár vytvářet. Povolené možnosti pro typ jsou into-storage - implicitní volba generování v paměti a následné importování do úložiště, by-storage - pouze pro tokeny a čipové karty, save-to-file - pro ukládání výsledného páru do .p12 a speciální režim save-separate , který vytvoří zvlášť certifikát a klíč, přičemž klíč je uložený ve formátu pro Open SSL.

Typ souboru

Typ vygenerovaného nebo exportovaného souboru se dá určit pomocí přepínače -F typ nebo --filetype=typ . Povolené možnosti pro typ jsou: PEM - BASE64 kódování, TRAIL - BASE64 kódování s hlavičkami a BIN - binární kódování.

Zadání hesla

Při generování, ale i v různých dalších situacích, je potřeba zadávat heslo k privátnímu klíči nebo k souboru. Máte na výběr ze dvou možností, jak heslo použít:

  • Není použité žádné (tj. prázdné) heslo, je nutné použít přepínač --no-password ,
  • Je použité neprázdné heslo je potřeba použít parametr --password=heslo . V případě, že jsou použity oba parametry, má tento parametr vyšší váhu.

Platnost certifikátu

U každého certifikátu se nastavuje jeho platnost. Automaticky se nastavuje platnost po dobu jednoho roku, je ale možné tuto dobu prodloužit pomocí parametru --validity=rok .

Mazání objektů v úložišti

Pokud chcete některý objekt v úložišti smazat, použijte k tomu parametr -R alias nebo --removeobject=alias . Je nutné ovšem pomocí parametru -T typ nebo --storageobject určit o jaký typ objektu se jedná např. klíč i certifikát mohou mít totiž stejné jméno. Např. esign -R alias -T key .

Při mazání klíče se pro jednodušší manipulaci maže i certifikát, protože pokud si smažete privátní klíč, potom už vám takový certifikát k ničemu není. Pokud ovšem víte, že chcete opravdu smazat pouze privátní klíč, použijte parametr --deleteonlykey .

Určení typu objektu

Pokud potřebujete určit typ objektu, použijte parametr -T typ_objektu nebo --storageobject=typ_objektu , kde typ_objektu určuje požadovaný typ objektu. Jako typ_objektu je možné použít následující hodnoty: key , certificate , keypair , crl , storage , cer , p7c a p12 .

Tento parametr se používá ve více funkcích proto jsou i jeho hodnoty rozmanité, to ovšem neznamená, že v každé funkci jsou všechny tyto parametry povoleny! Exportování povoluje pouze základní typy souborů, tj. hodnoty cer, p7c, p12 a crl. Zobrazování informací povoluje typy: key, certificate, crl u objektů v úložišti a cer, p7c, p12 a crl u souborů. U přejmenování jsou povoleny typy storage, key, certificate a crl. Pokud chcete smazat některé objekty, můžete použít parametry key, certificate, keypair a crl.

Změna hesla

Aplikace umožňuje i změnu hesla a to jak u privátních klíčů, tak i u .p12 souborů. Pro změnu hesla u privátního klíče použijte parametr -P alias nebo --changepassword=alias . V druhém případě použijte parametr -p filename nebo --changep12password=filename .

Pokud chcete při změně hesla přímo specifikovat i nové heslo, je možné to provést pomocí parametru --newpassword=heslo . Příklad: esign -P klíč --password p14%_l --newpassword SaDz15_Q+ . Samozřejmě i zde je možné pouít parametr --no-password

Změna jména

Pokud potřebujete změnit jméno nějakého objektu v úložišti nebo celého úložiště, použijte k tomu parametr -C jméno nebo --changename=jméno , kde parametr jméno určuje jméno objektu, kterému jej chcete změnit. Je nezbytné uvést pomocí parametru -T typ nebo --storageobject=typ typ objektu. Např. esign -C default -T storage

Při změně jména můžete přímo pomocí parametru -N jméno nebo --newname=jméno určit nové jméno vybraného objektu, např. esign -C default -T storage -N "moje úložiště"

Výběr vzorku

Pokud při některých operacích potřebujete vybrat některý objekt a buď nevíte přesně jeho parametry nebo naopak víte jak se jmenuje a nechcete si proto vybírat ze všech objektů v úložišti, použijte parametr -O vzorek nebo --object=vzorek . Např. potřebujete zašifrovat soubor data.doc pro Jiřího Nováka, máte jeho certifikát s jeho jménem, ale nevíte jak se přesně tento certifikát jmenuje esign -f data.doc -m enc -O "Jiří Novák" .

V případě, že opravdu víte přesně název daného objektu, můžete to specifikovat pomocí parametru -w nebo --wholename . Implicitně se hledají všechny objekty, které v některé své vlastnosti splňují dané kritérium, tímto parametrem se hledají takové objekty, jenž přesně splňují některé kritérium. Např. budete mít certifikáty obsahující jméno Jiří Novák a Novák, pokud dáte vyhledat -O Novák budou vyhledány oba dva, jestliže ale přidáte ještě -w , bude nalezen pouze druhý z nich.

V jednom jediném případě, a to při podepisování a šifrování souboru tj. -m sge , je možné použít ještě parametr -B vzorek nebo --object2=vzorek . V tomto případě je parametr -O použit pro podpis a parametr -B pro šifrování. Např. esign -f data.doc -m sge -O RSA512 -B "Jiří Novák" .

Nastavení autority časové značky

Pokud chcete používat přidávání časového razítka, musíte mít správně přiřazenou a nastavenou TSA - autoritu časové značky (Time Stamp Authority). Nastavení TSA lze provést pomocí parametru -I adresa:port nebo --timestampauthority=adresa:port , kde parametr určuje adresu TSA a port, na kterém TSA přijímá požadavky a odesílá odpovědi.

Při nastavování je potřeba zvolit úložiště, ve kterém je certifikát TSA. Název TSA lze určit použitím parametru --authorityname=název . Automaticky se hledá v implicitním úložišti, ale toto chování lze změnit parametrem -l . Název certifikátu lze nastavit použitím parametru -E . Dále je třeba specifikovat parametr --addTSA .

Příklad použití: esign -I "http://time.trustport.cz:8000/" -E TSAcertif --authorityname=TSA --addTSA .

Práce s časovým razítkem

K souboru, který je podepsán (režim sgn ) nebo obsahuje oddělený podpis (režim esg ), je možné přidat časové razítko. K tomu je ovšem potřeba vybrat autoritu časové značky. Tento výběr lze provést buď pomocí parametru --authorityname="AEC TSA" , další možností je parametrem -I adresa:port nebo --timestampauthority=adresa:port . Rovněž je možné pomocí parametru --TSAcertif=certifikát určit soubor s certifikátem autority časové značky.

Příklad:

  • esign -f soubor.sgn -m tsa -I "http://time.trustport.cz:8000/" --TSAcertif=TSAcertifikát.cer ... přímý výběr autority časové značky
  • esign -f soubor.sgn -m tsa -I "http://time.trustport.cz:8000/" ... výběr nastavené autority časové značky podle adresy
  • esign -f soubor.sgn -m tsa --authorityname=TSA ... výběr nastavené autority časové značky podle jejího jména

Tyto operace je ovšem možné provést i najednou a to určením režimu sgt nebo esg s příslušnými parametry.

Příklad: esign -f soubor -m est -s klíčový_pár.p12 -I "http://time.trustport.cz:8000/" --TSAcertif=TSAcertifikát.cer .

Novou operací je možnost vyrobení pouze časového razítka s HASHem nějakého souboru pomocí režimu -m tst . Je opět nezbytné uvést parametry autority časové značky.

Příklad: esign -f soubor -m tst -I "http://time.trustport.cz:8000/" --TSAcertif=TSAcertifikát.cer .

Při práci nad úložištěm je ale možné pracovat bez udání názvu autority časové značky. V takovém případě se vybírá nastavená autorita časové značky. Která autorita se použije můžete změnit v konfiguraci v části TimeStamp.

Příklad: esign -f soubor -m tst .

Související odkazy

Hlavní stránka
Příkazová řádka
Práce nad soubory
Práce nad tokeny a čipovými kartami
Práce s LDAP a hybridními úložištmi


Copyright © 2010, TrustPort, a.s., Všechna práva vyhrazena.