TrustPort eSign: Línea de comandos: operaciones con testigos y tarjetas de chips

Establecimiento del modo de programa

Como de costumbre, esta operación se realiza mediante el parámetro -m método_abreviado_modo o --mode=método_abreviado_modo. El método abreviado del modo es uno de los siguientes:

  • sgn ... se firma un archivo,
  • enc ... se cifra un archivo,
  • sge ... se firma y cifra un archivo,
  • dec ... se descifra y/o comprueba un archivo,
  • esg ... se crea una firma extra,
  • tsa ... se crea una marca de tiempo,
  • sgt ... se firma con una marca de tiempo,
  • tst ... se crea un archivo con su marca de tiempo,

Especificación del tipo de almacenamiento

Para especificar un tipo de almacenamiento, dispone de los parámetros -c tipo_almacenamiento o --choosestorage=tipo_almacenamiento, donde tipo_almacenamiento corresponde a uno de los siguientes valores:

Especificación del almacenamiento

Se puede realizar mediante los parámetros de línea de comando -l nombre_almacenamiento o --localstorage=nombre_almacenamiento. Como no es un tipo de almacenamiento local, también será necesario especificar el tipo (parámetro -c).

Ejemplo de cifrado de archivo mediante testigo: esign -f archivo.txt -l iKey -c testigo -m enc.

Adición de un almacenamiento

Es importante tener en cuenta que esta operación depende del tipo de almacenamiento. No se pueden agregar testigos y tarjetas de chips igual que se agregan a un almacenamiento local, pues estos dispositivos los agrega el sistema operativo automáticamente. Por supuesto, debe tener los controladores de dispositivo y las bibliotecas eSign apropiadas para comunicarse con el dispositivo instalado.

Eliminación de un almacenamiento

Al igual que para la adición de almacenamiento, tampoco se puede quitar.

Listado de contenido del almacenamiento

Si necesita conocer el contenido de un almacenamiento, utilice el parámetro --storagecontent, por ejemplo, esign -l "nombre_almacenamiento" --storagecontent -c testigo.

Importación de un archivo a un almacenamiento

Se pueden importar a un testigo objetos de un archivo de tipo compatible. Los tipos de archivo compatibles son: .CER, .BIN o .PEM con el certificado de destinatario, los .P7C o .P7B con uno o varios certificados de destinatario y los tipos de archivo .P12 o .PFX con un par de claves. El parámetro para la importación es -i -f file_name o --import --file=file_name , por ejemplo esign -i -f par_claves .p12 --password . No obstante, sólo se pueden importar los algoritmos y pares de clave admitidos. Se puede obtener una lista de los mismos mediante el parámetro --storageinfo, por ejemplo, esign --storageinfo -c testigo o esign --storageinfo --choosestorage=testigo.

Exportación a un archivo

Un objeto se puede exportar a un archivo de diversos tipos. Un certificado se puede exportar a un archivo .CER, .BIN o .PEM. Uno o varios certificados se pueden exportar a un archivo .P7C o .P7B. Los tipos .P12 y .PFX están protegidos con contraseña y pueden servir para contener un par de claves. La exportación en sí se realiza por medio de -e -f nombre_archivo o --exportar --archivo=file_name, donde el parámetro de archivo indica el nombre del archivo al que desea exportar objetos. Use -T tipo o --filetype=tipo para escoger el tipo de este archivo, donde tipo determina el tipo del archivo que se va a obtener. También se puede elegir un tipo de archivo interno. El tipo de archivo interno predeterminado es binario, pero si emplea -F tipo_archivo o --filetype=tipo_archivo, podrá escoger entre BASE64 o BASE64 con finalizadores. Ejemplo (exportación al archivo par_claves.p12): esign -e -f par_claves.p12 -T p12 -F TRAIL -c testigo.

Antes de la exportación, también puede usar el parámetro -O para precisar información sobre el objeto.

Visualización de los detalles del objeto

Use los parámetros -d o --details para hacer que el programa proporcione los detalles del objeto. Con -O patrón se puede especificar de forma más exacta el objeto en el que está interesado, mientras que el parámetro -T tipo permite seleccionar el tipo de objeto (clave privada, certificado, CRL). Ejemplo: esign -d -O DSA -l almacenamiento -T clave -c testigo.

Obtención del contenido del almacenamiento

Si necesita conocer el contenido de un almacenamiento, utilice --storagecontent (por ejemplo, esign -l "mi_almacenamiento" --storagecontent).

Generación de un par de claves o una solicitud de certificado

Con los parámetros -g o --generate se puede generar un nuevo objeto. Se puede modificar la solicitud de par de claves o certificado que se va a obtener especificando otros detalles, como el nombre de la clave privada o del certificado, su algoritmo o la forma de generación.

Una característica especial de los testigos es que se puede usar el método de generación by-storage, que genera una clave privada directamente en un testigo o una tarjeta de chips, lo cual es mucho más seguro. Ejemplo: esign -g -K alias_clave -E alias_certificado -k 1024 -b DSA -G by-storage -l iKey -c testigo.

Todos los parámetros que se mencionan en Operaciones en almacenamientos locales se pueden usar, pero en este caso se recomienda prestar atención a los algoritmos y las longitudes de clave admitidos para un testigo o una tarjeta de chips determinados, por ejemplo, iKey sólo admite RSA con claves de 512, 768 o 1.024 bits y la clave DSA de 1.024 bits.

Creación de una clave de sustitución

Cuando se genera un par de claves en un testigo, también se genera una clave de sustitución y se copia el certificado en el almacenamiento predeterminado para que el par de claves se pueda usar si es necesario para firmar un archivo. Para cambiar la ubicación de la clave de sustitución (o quizás su nombre), use -U argumento o --substituteobject=argumento. El valor argumento puede contener sólo un nombre de almacenamiento o bien un nombre de almacenamiento seguido del nombre de una clave de sustitución respectivamente. Por ejemplo, esign -g -c testigo -U "mi_almacenamiento" o esign -g -c testigo -U "mi_almacenamiento:clave_sustitución".

Si ya tiene un par de claves privadas preparado en el testigo y desea crear una clave de sustitución para el mismo, use este parámetro del mismo modo. Ejemplo: esign -c testigo -l iKey -U "mi_almacenamiento:clave_sustitución" -O testigo_clave1.

Referencias relacionadas

Página principal
Línea de comandos
Operaciones con archivos
Operaciones con almacenamientos
Trabajo con almacenamientos LDAP y almacenamientos híbridos


Copyright © 2010, TrustPort, a.s., reservados todos los derechos.