Это команда cmsssl, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
cms - Утилита CMS
СИНТАКСИС
OpenSSL cms [-шифровать] [-расшифровать] [-подписать] [-проверять] [-cmsout] [-уходить в отставку] [-data_create]
[-data_out] [-digest_create] [-digest_verify] [-компресс] [-разжать]
[-EncryptedData_encrypt] [-sign_receipt] [-verify_receipt получение] [-in имя файла] [-поставить в известность
SMIME | PEM | DER] [-rctform SMIME | PEM | DER] [-вне имя файла] [-форма SMIME | PEM | DER] [-транслировать
-indef -noindef] [-noindef] [-поперечник имя файла] [-текст] [-ноаут] [-Распечатать] [-CA-файл файл]
[-КАпуть директория] [-no_alt_chains] [-md дайджест] [- [шифр]] [-ноинтерн]
[-no_signer_cert_verify] [-ноцерты] [-ноаттр] [-носмимекап] [-двоичный] [-nodetach]
[-файл сертификата файл] [-сертификат файл] [-подписчик файл] [-реципиент файл] [-keyid]
[-receipt_request_all -receipt_request_first] [-receipt_request_from Адрес электронной почты]
[-receipt_request_to Адрес электронной почты] [-receipt_request_print] [-Секретный ключ ключ] [-секретныйключ
id] [-econtent_type напишите] [чернильный ключ файл] [-keyopt имя: параметр] [-пассин аргумент] [-и
файл (ы)] [cert.pem ...] [-в адр] [-от адр] [-тема Subj] [cert.pem] ...
ОПИСАНИЕ
Команда cms команда обрабатывает почту S / MIME v3.1. Он может шифровать, расшифровывать, подписывать и проверять,
сжимать и распаковывать сообщения S / MIME.
КОМАНДА ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
Существует четырнадцать вариантов операций, которые задают тип выполняемой операции. В
значение других опций зависит от типа операции.
-шифровать
зашифровать почту для данных сертификатов получателя. Входной файл - это сообщение, которое будет
зашифрованный. Выходной файл - это зашифрованная почта в формате MIME. Фактический тип CMS
это EnvelopedData .
-расшифровать
расшифровать почту, используя предоставленный сертификат и закрытый ключ. Ожидает зашифрованное письмо
сообщение в формате MIME для входного файла. Расшифрованное письмо записывается на выход
.
-debug_decrypt
эта опция устанавливает CMS_DEBUG_DECRYPT флаг. Этот вариант следует использовать с осторожностью:
см. раздел примечаний ниже.
-подписать
подписывать почту, используя предоставленный сертификат и закрытый ключ. Входной файл - это сообщение для
быть подписанным. Подписанное сообщение в формате MIME записывается в выходной файл.
-проверять
проверить подписанное письмо. Ожидает подписанное почтовое сообщение на входе и выводит подписанное
данные. Поддерживаются как открытый текст, так и непрозрачная подпись.
-cmsout
принимает входное сообщение и записывает структуру CMS в кодировке PEM.
-уходить в отставку
отказаться от сообщения: возьмите существующее сообщение и одного или нескольких новых подписавших.
-data_create
Создать CMS Данные тип.
-data_out
Данные введите и выведите содержимое.
-digest_create
Создать CMS Дайджестедданные тип.
-digest_verify
Проверить CMS Дайджестедданные введите и выведите содержимое.
-компресс
Создать CMS Сжатые данные тип. OpenSSL должен быть скомпилирован с Zlib поддержка для этого
вариант сработает, иначе выдаст ошибку.
-разжать
Распаковать CMS Сжатые данные введите и выведите содержимое. OpenSSL должен быть скомпилирован
Zlib поддержка этой опции работает, иначе будет выдана ошибка.
-EncryptedData_encrypt
Шифровать контент с помощью предоставленного симметричного ключа и алгоритма с помощью CMS Зашифрованные данные
введите и выведите содержимое.
-sign_receipt
Сгенерируйте и выведите подписанную квитанцию для предоставленного сообщения. Входное сообщение должен
содержать подписанный запрос о получении. В остальном функциональность аналогична -подписать
операции.
-verify_receipt получение
Подтвердите подписанную квитанцию в имени файла получение. Входное сообщение должен содержать
оригинал запроса о получении. В остальном функциональность аналогична -проверять операции.
-in имя файла
входное сообщение, которое нужно зашифровать или подписать, или сообщение, которое нужно расшифровать, или
проверено.
-поставить в известность SMIME | PEM | DER
это определяет формат ввода для структуры CMS. По умолчанию УЛЫБКА , которые
читает сообщение в формате S / MIME. PEM и ТАМ формат измените это, чтобы ожидать PEM и DER
вместо этого отформатируйте структуры CMS. В настоящее время это влияет только на формат ввода CMS.
структура, если структура CMS не вводится (например, с -шифровать or -подписать)
эта опция не действует.
-rctform SMIME | PEM | DER
укажите формат подписанной квитанции для использования с -receipt_verify операции.
-вне имя файла
текст сообщения, который был расшифрован или проверен, или сообщение в формате MIME.
который был подписан или проверен.
-форма SMIME | PEM | DER
это определяет выходной формат для структуры CMS. По умолчанию УЛЫБКА , которые
пишет сообщение в формате S / MIME. PEM и ТАМ формат измените это, чтобы написать PEM и DER
вместо этого отформатируйте структуры CMS. В настоящее время это влияет только на выходной формат файла
Структура CMS, если структура CMS не выводится (например, с -проверять or
-расшифровать) эта опция не действует.
-транслировать -indef -noindef
-транслировать и -indef параметры эквивалентны и включают потоковый ввод-вывод для кодирования
операции. Это позволяет обрабатывать данные за один проход без необходимости удерживать
все содержимое в памяти, потенциально поддерживающее очень большие файлы. Потоковая передача
автоматически устанавливается для подписи S / MIME с отсоединенными данными, если выходной формат УЛЫБКА
в настоящее время он отключен по умолчанию для всех остальных операций.
-noindef
отключите потоковый ввод-вывод, где он будет производить, и сконструировать неопределенную длину
кодирование. Этот параметр в настоящее время не действует. В будущем стриминг будет включен
по умолчанию для всех соответствующих операций, и этот параметр отключит его.
-поперечник имя файла
Это указывает файл, содержащий отсоединенный контент, это полезно только с
-проверять команда. Это возможно только в том случае, если структура CMS использует отдельный
форма для подписи, содержание которой не включено. Эта опция отменяет любые
контент, если формат ввода - S / MIME и он использует составной / подписанный контент MIME
тип.
-текст
эта опция добавляет текстовые (текстовые / простые) заголовки MIME к предоставленному сообщению, если
шифрование или подпись. При расшифровке или проверке удаляются текстовые заголовки: если
расшифрованное или проверенное сообщение не относится к типу MIME text / plain, то возникает ошибка.
-ноаут
для -cmsout операция не выводит проанализированную структуру CMS. Это полезно, когда
в сочетании с -Распечатать вариант или если синтаксис структуры CMS
проверено.
-Распечатать
для -cmsout операция распечатать все поля структуры CMS. Это в основном
полезно для тестирования.
-CA-файл файл
файл, содержащий сертификаты доверенных ЦС, используемый только с -проверять.
-КАпуть директория
каталог, содержащий доверенные сертификаты CA, используемый только с -проверять. Этот каталог
должен быть стандартным каталогом сертификатов: это хэш каждого имени субъекта (с использованием
x509 -хэш) должен быть связан с каждым сертификатом.
-md дайджест
алгоритм дайджеста для использования при подписании или увольнении. Если нет, то по умолчанию
Будет использоваться алгоритм дайджеста для ключа подписи (обычно SHA1).
- [шифр]
используемый алгоритм шифрования. Например тройной DES (168 бит) - -des3 или 256 бит
АЕС - -aes256. Любое стандартное имя алгоритма (используемое EVP_get_cipherbyname ()
функция) также может использоваться перед дефисом, например -aes_128_cbc. Посмотреть ENC для
список шифров, поддерживаемых вашей версией OpenSSL.
Если не указано иное, используется тройной DES. Используется только с -шифровать и -EncryptedData_create
команды.
-ноинтерн
при проверке сообщения обычно сертификаты (если есть), включенные в сообщение,
искал сертификат подписи. С этой опцией только указанные сертификаты
в -файл сертификата вариант. Поставляемые сертификаты можно использовать как
однако ненадежные центры сертификации.
-no_signer_cert_verify
не проверяйте сертификат подписавшего подписанного сообщения.
-ноцерты
при подписании сообщения сертификат подписывающей стороны обычно включается в эту опцию
это исключено. Это уменьшит размер подписанного сообщения, но верификатор должен
иметь копию сертификата подписавшего, доступную на местном уровне (переданный с использованием -файл сертификата
вариант например).
-ноаттр
обычно, когда сообщение подписывается, включается набор атрибутов, которые включают
время подписи и поддерживаемые симметричные алгоритмы. С этим вариантом они не
включены.
-носмимекап
исключить список поддерживаемых алгоритмов из подписанных атрибутов, другие параметры, такие как
время подписи и тип содержимого по-прежнему включены.
-двоичный
обычно входное сообщение преобразуется в "канонический" формат, который эффективно
использование CR и LF в качестве конца строки: в соответствии со спецификацией S / MIME. Когда это
опция присутствует, перевод не происходит. Это полезно при обработке двоичных данных
который может быть не в формате MIME.
-nodetach
при подписании сообщения используйте непрозрачную подпись: эта форма более устойчива к переводу
почтовыми ретрансляторами, но они не могут быть прочитаны почтовыми агентами, не поддерживающими S / MIME.
Без этой опции используется подпись открытым текстом с типом MIME multipart / signed.
-файл сертификата файл
позволяет указать дополнительные сертификаты. При подписании они будут включены
с сообщением. При проверке в них будет производиться поиск подписывающих сертификатов.
Сертификаты должны быть в формате PEM.
-сертификат файл
любые сертификаты, содержащиеся в сообщении, записываются на файл.
-подписчик файл
сертификат подписи при подписании или отказе от сообщения, эту опцию можно использовать
несколько раз, если требуется более одного подписывающего лица. Если сообщение проверяется
тогда сертификаты подписывающих будут записаны в этот файл, если проверка была
успешный.
-реципиент файл
при расшифровке сообщения указывает сертификат получателя. Сертификат
должен соответствовать одному из получателей сообщения, в противном случае возникнет ошибка.
При шифровании сообщения эту опцию можно использовать несколько раз, чтобы указать каждый
получатель. Эта форма должен использоваться, если требуются индивидуальные параметры (например,
указать RSA-OAEP).
-keyid
используйте идентификатор ключа субъекта для идентификации сертификатов вместо имени и серийного номера эмитента
количество. Поставляемый сертификат должен включить расширение идентификатора ключа темы.
Поддерживается -подписать и -шифровать настройки.
-receipt_request_all -receipt_request_first
для -подписать вариант включает подписанный запрос о получении. Указать запросы следует
предоставляется всеми получателями или получателями первого уровня (отправленными напрямую, а не
из списка рассылки). Проигнорировал это -receipt_request_from Включено.
-receipt_request_from Адрес электронной почты
для -подписать вариант включает подписанный запрос о получении. Добавьте явный адрес электронной почты, где
должны быть предоставлены квитанции.
-receipt_request_to Адрес электронной почты
Добавьте явный адрес электронной почты, на который следует отправлять подписанные квитанции. Этот вариант
должен но предоставляется, если это требуется в подписанной квитанции.
-receipt_request_print
Для того, чтобы получить -проверять операция распечатывает содержимое всех подписанных запросов на получение квитанции.
-Секретный ключ ключ
укажите симметричный ключ для использования. Ключ должен быть предоставлен в шестнадцатеричном формате и быть согласованным.
с используемым алгоритмом. Поддерживается -EncryptedData_encrypt
-EncrryptedData_decrypt, -шифровать и -расшифровать параметры. При использовании с -шифровать or
-расшифровать предоставленный ключ используется для обертывания или разворачивания ключа шифрования содержимого с помощью
ключ AES в KEKRecipientInfo тип.
-секретныйключ id
идентификатор ключа для предоставленного симметричного ключа для KEKRecipientInfo тип. Этот
вариант должен присутствовать, если -Секретный ключ опция используется с -шифровать. С -расшифровать
операции id используется для поиска соответствующего ключа, если он не указан, то
попытка используется для расшифровки любого KEKRecipientInfo структур.
-econtent_type напишите
установите инкапсулированный тип контента на напишите если не будет предоставлен Данные тип используется. В
напишите Аргумент может быть любым допустимым именем OID в текстовом или числовом формате.
чернильный ключ файл
закрытый ключ для использования при подписании или расшифровке. Это должно соответствовать соответствующему
сертификат. Если эта опция не указана, то закрытый ключ должен быть включен в
файл сертификата, указанный с помощью -реципиент or -подписчик файл. При подписании этого
Опция может использоваться несколько раз для указания последовательных ключей.
-keyopt имя: opt
для подписи и шифрования эту опцию можно использовать несколько раз, чтобы установить индивидуальные
параметры для предыдущего ключа или сертификата. В настоящее время его можно использовать для установки RSA-
PSS для подписи, RSA-OAEP для шифрования или для изменения параметров по умолчанию для ECDH.
-пассин аргумент
источник пароля закрытого ключа. Для получения дополнительной информации о формате аргумент см.
ПАСС ФРАЗА АРГУМЕНТЫ в разделе OpenSSL(1).
-и файл (ы)
файл или файлы, содержащие случайные данные, используемые для заполнения генератора случайных чисел, или
Розетка EGD (см. RAND_egd(3)). Можно указать несколько файлов, разделенных ОС.
зависимый персонаж. Разделитель ; для MS-Windows, , для OpenVMS и : для всех
другие.
cert.pem ...
один или несколько сертификатов получателей сообщения: используются при шифровании сообщения.
-к, -из, -тема
соответствующие заголовки писем. Они включены вне подписанной части сообщения.
поэтому они могут быть включены вручную. При подписании многие почтовые клиенты S / MIME проверяют
Адрес электронной почты подписывающего сертификата совпадает с адресом, указанным в поле От :.
-цель, -игнорировать_критическое, -эмитент_чеков, -crl_check, -crl_check_all, -policy_check,
-extended_crl, -x509_строгий, -политика -check_ss_sig -no_alt_chains
Установите различные параметры проверки цепочки сертификатов. Увидеть проверить страница руководства для
ПРИМЕЧАНИЯ
Сообщение MIME должно быть отправлено без пустых строк между заголовками и выводом.
Некоторые почтовые программы автоматически добавляют пустую строку. Отправка почты прямо на
sendmail - это один из способов добиться правильного формата.
Предоставленное сообщение, которое нужно подписать или зашифровать, должно включать необходимые заголовки MIME или
многие клиенты S / MIME не отображают его должным образом (если вообще). Вы можете использовать -текст вариант
автоматически добавлять текстовые заголовки.
«Подписанное и зашифрованное» сообщение - это сообщение, в котором затем зашифровывается подписанное сообщение. Это может
быть произведено путем шифрования уже подписанного сообщения: см. раздел примеров.
Эта версия программы позволяет только одному подписавшему на сообщение, но будет проверять несколько
подписавшие полученные сообщения. Некоторые клиенты S / MIME задыхаются, если сообщение содержит несколько
подписанты. Можно подписывать сообщения «параллельно», подписывая уже подписанный
сообщение.
Варианты -шифровать и -расшифровать отражают общее использование в клиентах S / MIME. Строго
Говоря эти процессы, данные в оболочке CMS: зашифрованные данные CMS используются для других целей.
Команда -уходить в отставку опция использует дайджест существующего сообщения при добавлении нового подписывающего лица. Это означает
эти атрибуты должны присутствовать по крайней мере у одного существующего подписывающего лица, использующего то же сообщение
дайджест, иначе эта операция не удастся.
Команда -транслировать и -indef параметры включают экспериментальную поддержку потокового ввода-вывода. В результате
кодирование - это BER с использованием сконструированного кодирования неопределенной длины, а не DER. Потоковая передача
поддерживается для -шифровать операция и -подписать операция, если содержимое не
отдельно.
Потоковая передача всегда используется для -подписать работа с отдельными данными, но поскольку содержимое
больше не является частью структуры CMS, кодировка остается DER.
Если же линия индикатора -расшифровать используется без сертификата получателя, то предпринимается попытка
найдите получателя, пробуя по очереди каждого потенциального получателя, используя предоставленные частные
ключ. Чтобы предотвратить атаку MMA (атака Блейхенбахера на PKCS # 1 v1.5 RSA padding) все
получатели проверяются независимо от того, успешны они или нет, и если ни один из получателей не соответствует, сообщение
«расшифровывается» с использованием случайного ключа, который обычно выводит мусор. В -debug_decrypt
опция может использоваться для отключения защиты от MMA-атак и возврата ошибки, если нет
получатель может быть найден: эту опцию следует использовать с осторожностью. Для более полного описания
посмотреть CMS_decrypt(3 г.)).
ВЫХОД КОДЫ
0 операция прошла полностью успешно.
1 произошла ошибка при синтаксическом анализе параметров команды.
2 один из входных файлов не может быть прочитан.
3 произошла ошибка при создании файла CMS или при чтении сообщения MIME.
4 произошла ошибка при расшифровке или проверке сообщения.
5 сообщение было проверено правильно, но произошла ошибка при записи подписывающих
сертификаты.
СОВМЕСТИМОСТЬ PKCS # 7 формат.
Команда SMIME утилита может обрабатывать только старые PKCS # 7 формат. cms утилита поддерживает
Формат синтаксиса криптографических сообщений. Использование некоторых функций приведет к появлению сообщений, которые
не могут обрабатываться приложениями, поддерживающими только старый формат. Эти
подробно описано ниже.
Использование -keyid вариант с -подписать or -шифровать.
Команда -форма PEM опция использует разные заголовки.
Команда -компресс опцию.
Команда -Секретный ключ вариант при использовании с -шифровать.
Использование PSS с -подписать.
Использование ключей OAEP или не-RSA с -шифровать.
Кроме того, -EncryptedData_create и -data_create тип не может быть обработан
старший SMIME команда.
ПРИМЕРЫ
Создайте сообщение, подписанное открытым текстом:
openssl cms -sign -in message.txt -text -out mail.msg \
-подписавший mycert.pem
Создать непрозрачное подписанное сообщение
openssl cms -sign -in message.txt -text -out mail.msg -nodetach \
-подписавший mycert.pem
Создайте подписанное сообщение, добавьте несколько дополнительных сертификатов и прочтите закрытый ключ.
из другого файла:
openssl cms -sign -in in.txt -text -out mail.msg \
-signer mycert.pem -inkey mykey.pem -certfile mycerts.pem
Создайте подписанное сообщение с двумя подписавшими, используйте идентификатор ключа:
openssl cms -sign -in message.txt -text -out mail.msg \
-signer mycert.pem -signerothercert.pem -keyid
Отправьте подписанное сообщение под Unix прямо в sendmail, включая заголовки:
openssl cms -sign -in in.txt -text -signer mycert.pem \
-от [электронная почта защищена] -кому-то @ где-нибудь \
-тема "Подписанное сообщение" | sendmail кто-нибудь @ где-нибудь
Проверьте сообщение и в случае успеха извлеките сертификат подписывающей стороны:
openssl cms -verify -in mail.msg -signer user.pem -outsignedtext.txt
Отправлять зашифрованную почту с использованием тройного DES:
openssl cms -encrypt -in in.txt -от [электронная почта защищена] \
-кому-то @ где-нибудь-тема "Зашифрованное сообщение" \
-des3 user.pem -out mail.msg
Подписать и зашифровать почту:
openssl cms -sign -in ml.txt -signer my.pem -text \
| openssl cms -encrypt -out mail.msg \
-от [электронная почта защищена] -кому-то @ где-нибудь \
-subject «Подписанное и зашифрованное сообщение» -des3 user.pem
Примечание: команда шифрования не включает -текст вариант, потому что сообщение
encrypted уже имеет заголовки MIME.
Расшифровать почту:
openssl cms -decrypt -in mail.msg -recip mycert.pem -inkey key.pem
Результатом подписи формы Netscape является структура PKCS # 7 с отделенной подписью.
формат. Вы можете использовать эту программу для проверки подписи, обернув строку base64
закодированная структура и окружающая ее:
----- НАЧАТЬ PKCS7 -----
----- КОНЕЦ PKCS7 -----
и используя команду,
openssl cms -verify -inform PEM -in signal.pem -content content.txt
в качестве альтернативы вы можете base64 декодировать подпись и использовать
openssl cms -verify -inform DER -in signal.der -content content.txt
Создайте зашифрованное сообщение с использованием 128-битной камелии:
openssl cms -encrypt -in Plain.txt -camellia128 -out mail.msg cert.pem
Добавить подписывающего к существующему сообщению:
openssl cms -resign -in mail.msg -signer newsign.pem -out mail2.msg
Подписать почту с помощью RSA-PSS:
openssl cms -sign -in message.txt -text -out mail.msg \
-signer mycert.pem -keyopt rsa_padding_mode: pss
Создайте зашифрованную почту с помощью RSA-OAEP:
openssl cms -encrypt -in Plain.txt -out mail.msg \
-recip cert.pem -keyopt rsa_padding_mode: oaep
Используйте SHA256 KDF с сертификатом ECDH:
openssl cms -encrypt -in Plain.txt -out mail.msg \
-recip ecdhcert.pem -keyopt ecdh_kdf_md: sha256
Используйте cmsssl онлайн с помощью сервисов onworks.net
