TrustPort eSign PRO: příkazová řádka - práce nad tokeny a čipovými kartami

Určení módu (režimu programu)

Provedeme rovněž pomocí přepínače -m zkratka_módu nebo --mode=zkratka_módu . Módy mohou být:

  • sgn ... podepsání souboru,
  • enc ... zašifrování souboru,
  • sge ... podepsání a zašifrování souboru,
  • dec ... dešifrování a/nebo ověření souboru,
  • esg ... oddělený podpis
  • tsa ... Time Stamp - časové razítko (jen na podepsaných souborech),
  • sgt ... podepsání souboru a přidání časového razítka,
  • tst ... vytvoření souboru s jeho časovou značkou.

Určení typu úložiště

Pokud chcete specifikovat typ úložiště, lze to provést pomocí přepínače -c typ_úložiště nebo --choosestorage=typ_úložiště , kde typ_úložiště je jednou z následujících variant:

Určení úložiště

Lze provést specifikováním parametru -l název_úložiště nebo --localstorage=název_úložiště na příkazové řádce. Protože se nejedná o lokální úložiště, je potřeba zadat i parametr -c určující jeho typ.

Příklad zašifrování souboru nad tokenem esign -f soubor.txt -l iKey -c token -m enc .

Přidání úložiště

Je důležité si uvědomit, že tato operace je závislá na typu úložiště a není možné žádným způsobem přidávat tokeny nebo čipové karty jako klasická lokální úložiště. Tato zařízení jsou automaticky přidávána operačním systémem. Musíte mít ovšem nainstalovány ovladače pro dané zařízení a rovněž knihovny umožňující programu eSign PRO komunikovat s těmito zařízeními.

Smazání úložiště

Analogicky jako přidávání úložišť ani jejich rušení není nad tokeny povoleno.

Vypsání obsahu úložiště

Pokud potřebujete vypsat obsah úložiště, použijte k tomu parametr --storagecontent , např. esign -l "název_úložiště" --storagecontent -c token .

Importování souboru do úložiště

Do tokenu je možné naimportovat objekty z podporovaného typu souboru, tj. .CER , .BIN nebo .PEM obsahující certifikát příjemce, soubor .P7C nebo .P7B obsahující jeden nebo více certifikátů příjemce a soubor .P12 nebo .PFX klíčovým párem. Parametr pro importování je -i název_souboru nebo --import=název_souboru , např. esign -i -f klíčový_pár.p12 --password . Na tokenech je možné ovšem importovat pouze podporované algoritmy a klíčové páry. Seznam podporovaných algoritmů lze získat parametrem --storageinfo např. esign --storageinfo -c token nebo esign --storageinfo --choosestorage=token .

Exportování do souboru

Z úložiště je možné exportovat objekty do souborů různých typů. Jeden certifikát je možné vyexportovat do souboru typu .CER , .BIN nebo .PEM . Jeden nebo více certifikátů lze exportovat do souboru .P7C nebo .P7B . Klíčový pár vyexportujete do souboru typu .P12 nebo .PFX , který je chráněný heslem. Exportování lze provést parametrem -e -f soubor nebo --export --file=soubor , kde parametr file určuje název souboru, do kterého chcete vyexportovat objekt(y). Před exportováním je možné určit typ výsledného souboru pomocí přepínače -T typ nebo --filetype=typ , kde typ určuje typ výstupního souboru. U souboru lze určit i interní formát souboru. Implicitně se používá binární formát souboru, ale je možné určit i BASE64 nebo BASE64 s hlavičkami (trailers) pomocí přepínače -F typ_souboru nebo --filetype=typ_souboru , např. vyexportování do souboru 'klíčový_pár.p12' esign -e -f klíčový_pár.p12 -T p12 -F TRAIL -c token .

Při exportování lze opět použít možnost upřesnění objektu pomocí parametru -O .

Zobrazení informací o objektu

Parametrem -d nebo --details lze vypsat informace o objektu. Pomocí parametru -O vzorek lze přesněji specifikovat o jaký objekt máte zájem a parametrem -T typ jaký typ objektu chcete prohlížet (privátní klíč, certifikát, CRL). Např. esign -d -O DSA -l název_úložiště -T key -c token .

Vypsání obsahu úložiště

Pokud potřebujete vypsat obsah úložiště, použijte k tomu parametr --storagecontent , např. esign -l "mé úložiště" --storagecontent .

Generování klíčového páru nebo žádosti o certifikát

Pomocí parametru -g nebo --generate lze vygenerovat nový objekt. U generování můžete dále určit spoustu parametrů, kterými lze ovlivnit výsledný klíčový pár případně žádost o certifikát, například lze uvést název privátního klíče a certifikátu, algoritmus privátního klíče, způsob generování,..

U generování na tokenech lze využít metody generování by-storage , která generuje privátní klíč přímo na tokenu nebo na čipové kartě, což je více bezpečnější, např. esign -g -K alias_klíče -E alias_certifikátu -k 1024 -b DSA -G by-storage -l iKey -c token .

Při generování je možné použít veškeré parametry uváděné v části pro práci s úložišti na disku, ale je potřeba dávat ještě větší pozor na to, zda jsou dané algoritmy a délky klíčů povolené i pro daný token nebo čipovou kartu, např. token iKey povoluje pouze RSA s délkou klíče 512, 768 a 1024 bitů a DSA s délkou 1024 bitů.

Vytvoření substitučního klíče

Při generování klíčového páru na token se automaticky vytváří substituční klíč a kopíruje certifikát do implicitního lokálního úložiště, aby bylo možné takový klíčový pár následně použít např. při podepisování nějakého souboru. Jestliže chcete změnit umístění takovéhoto substitučního klíče případně i jeho název, použijte parametr -U argument nebo --substituteobject=argument . Hodnota argument může obsahovat název úložiště případně název úložiště následovaný názvem substitučního klíče, např. esign -g -c token -U "moje úložiště" nebo esign -g -c token -U "moje úložiště:substituční klíč" .

Pokud už máte nějaký privátní klíčový pár na tokenu vyrobený a chcete k němu udělat substituční klíč, můžete použít tento parametr stejným způsobem, např. esign -c token -l iKey -U "moje úložiště:substituční klíč" -O klič_token1 .

Související odkazy

Hlavní stránka
Příkazová řádka
Práce nad soubory
Práce s úložišti
Práce s LDAP a hybridními úložisti


Copyright © 2010, TrustPort, a.s., Všechna práva vyhrazena.