Це команда pkcs15-init, яку можна запустити в постачальнику безкоштовного хостингу OnWorks за допомогою однієї з наших численних безкоштовних робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
pkcs15-init - утиліта персоналізації смарт-карт
СИНТАКСИС
pkcs15-init [ВАРІАНТИ]
ОПИС
Команда pkcs15-init утиліту можна використовувати для створення структури PKCS #15 на смарт-карті, і
додати об'єкти ключа або сертифіката. Деталі структури, яка буде створена
керується за допомогою профілів.
За замовчуванням використовується профіль pkcs15. Альтернативні профілі можна вказати через -p
перемикач.
PIN-код ВИКОРИСТАННЯ
pkcs15-init можна використовувати для створення структури PKCS #15 на вашій смарт-картці, створення PIN-кодів,
і встановити ключі та сертифікати на картку. Цей процес ще називають
Втілення.
Картка OpenSC може мати один PIN-код співробітника служби безпеки і нуль або більше PIN-кодів користувача. PIN стоїть
для персонального ідентифікаційного номера та є секретним кодом, який потрібно надати на картку
перед тим, як отримати дозвіл на виконання певних операцій, наприклад, використання одного із збережених RSA
ключі для підписання документа або зміни самої картки.
Зазвичай PIN-коди є послідовністю десяткових цифр, але деякі картки приймають довільний ASCII
символів. Однак майте на увазі, що використання символів, відмінних від цифр, створить картку
не можна використовувати зі зчитувачами PIN-коду, оскільки вони зазвичай мають ключі лише для введення цифр.
PIN-код офіцера безпеки (SO) є спеціальним; він використовується для захисту інформації про метадані
картки, як-от сама структура PKCS №15. Встановлення PIN-коду SO необов’язкове, тому що
Найгірше, що зазвичай може статися, це те, що хтось, знайшовши вашу картку, може її зіпсувати. До
витягніть будь-який із ваших секретних ключів, що зберігаються на картці, зловмиснику все одно знадобиться ваш користувач
PIN-код, принаймні для профілів OpenSC за замовчуванням. Проте можна створити картку
профілі, які дозволять офіцеру безпеки замінювати PIN-коди користувачів.
Для кожного PIN-коду можна вказати PUK (також називається розблокувати PIN-код). PUK можна використовувати для
перезаписати або розблокувати PIN-код, якщо в рядку було введено забагато неправильних значень.
Для деяких карт, які використовують емуляцію PKCS#15, атрибути приватних об’єктів є
захищений і не може бути проаналізований без автентифікації (зазвичай за допомогою PIN-коду користувача). Це
аутентифікацію необхідно зробити відразу після прив’язки картки. У таких випадках
--verify-pin має бути використаний.
РЕЖИМИ OF РОБОТА
Ініціалізація
Це перший крок під час персоналізації картки, який створить основні файли на
картка. Щоб створити початкову структуру PKCS #15, викличте утиліту як
pkcs15-init --create-pkcs15
Потім вас попросять ввести PIN-код і PUK-код співробітника служби безпеки. Просто натисніть клавішу повернення на
Підказка SO PIN пропустить встановлення PIN-коду SO.
Якщо карта підтримує це, вам слід стерти вміст картки за допомогою pkcs15-init
--стерти-картку перед створенням структури PKCS#15.
користувач PIN-код Установка
Перед встановленням будь-яких об’єктів користувача, наприклад закритих ключів, вам потрібен принаймні один PIN-код
охороняти ці об'єкти. ви можете зробити це за допомогою
pkcs15-init --шпилька магазину --id " nn
де nn є ідентифікатором PKCS №15 у шістнадцятковому форматі. Загальні значення: 01, 02 тощо.
Якщо ввести наведену вище команду, у вас буде запитано PIN-код та PUK-код користувача. Якщо ви не бажаєте
встановіть PIN-код для розблокування, просто натисніть клавішу повернення у запиті PUK.
Щоб встановити мітку для цього об’єкта PIN (який може використовуватися програмами для відображення a
змістовну підказку для користувача), використовуйте --етикетка параметр командного рядка.
ключ покоління
pkcs15-init дозволяє створити новий ключ і зберегти його на картці. Ви можете зробити це за допомогою:
pkcs15-init --генерувати ключ " специфікація ключа " --auth-id " nn
де специфікація ключа описує алгоритм і довжину створюваного ключа, наприклад
rsa/512. Це створить 512-бітний ключ RSA. Наразі генерується лише ключ RSA
підтримується. Зауважте, що картки зазвичай підтримують лише кілька ключів різної довжини. Майже все
карти будуть підтримувати 512 і 1024-розрядні ключі, деякі також підтримуватимуть 768 або 2048.
nn це ідентифікатор PIN-коду користувача, встановленого раніше, наприклад 01.
Окрім зберігання приватної частини ключа на картці, pkcs15-init буде також
зберігати відкриту частину ключа як об’єкт відкритого ключа PKCS №15.
приватний ключ Завантажувати
Ви можете використовувати приватний ключ, згенерований іншим способом, і завантажити його на картку. Для
наприклад, щоб завантажити приватний ключ, що міститься у файлі з іменем okir.pem, який знаходиться в PEM
формат, який ви б використали
pkcs15-init --магазин-приватний ключ окір.пем --id 45 --auth-id 01
Окрім зберігання приватної частини ключа на картці, pkcs15-init буде також
зберігати відкриту частину ключа як об’єкт відкритого ключа PKCS №15.
Зверніть увагу, що використання --id опція в pkcs15-init команди для створення або імпорту нового
ключ не підтримується. Найкраще дозволити проміжному програмному забезпеченню отримати ідентифікатор
ключовий матеріал. (SHA1(модуль) для RSA, SHA1(pub) для DSA, ...). Це дозволяє легко встановити
відношення до "пов'язаних" об'єктів (приватні/відкриті ключі та сертифікати).
На додаток до формату файлу ключа PEM, pkcs15-init також підтримує ключі, закодовані DER, і
Файли PKCS №12. Останній є форматом файлу, який використовується Netscape Navigator (серед інших)
при експорті сертифікатів у файл. Файл PKCS №12 зазвичай містить X.509
сертифікат, що відповідає закритому ключу. якщо це так, pkcs15-init зберігатиме
сертифікат замість частини відкритого ключа.
громадськості ключ Завантажувати
Ви також можете завантажити окремі відкриті ключі на картку за допомогою --магазин-відкритий ключ
параметр, який приймає ім'я файлу як аргумент. Цей файл має містити загальнодоступні
ключ. Якщо ви не вкажете формат ключового файлу за допомогою --формат варіант pkcs15-init волі
припустити формат PEM. Єдиним іншим підтримуваним форматом файлу відкритого ключа є DER.
Оскільки відповідні відкриті ключі завжди завантажуються автоматично під час генерації a
новий ключ, або під час завантаження приватного ключа ви, ймовірно, будете використовувати цей параметр лише дуже
рідко.
Сертифікат Завантажувати
Ви можете завантажити сертифікати на картку за допомогою --магазин-сертифікат варіант, який бере
ім'я файлу як аргумент. Цей файл повинен містити кодований PEM X.509
довідка.
Завантаження PKCS # 12 сумки
Більшість браузерів сьогодні використовують файли формату PKCS #12, коли ви просите їх експортувати ваш ключ і
сертифікат у файл. pkcs15-init здатний аналізувати ці файли та зберігати їх
вміст на картці за одну операцію. Це працює так само, як зберігання приватного ключа,
крім того, що вам потрібно вказати формат файлу:
pkcs15-init --магазин-приватний ключ okir.p12 --формат pkcs12 --auth-id 01
Це встановить закритий ключ, що міститься у файлі okir.p12, і захистить його за допомогою
PIN-код, на який посилається ідентифікатор автентифікації 01. Він також зберігатиме будь-які сертифікати X.509
міститься у файлі, який зазвичай є сертифікатом користувача, який додається разом із ключем, as
а також сертифікат ЦС.
ВАРІАНТИ
--карта-профіль ім'я, -c ім'я
Розповідає pkcs15-init щоб завантажити вказаний параметр профілю картки. Вам це рідко знадобиться
варіант.
--create-pkcs15, -C
Це розповідає pkcs15-init щоб створити структуру PKCS #15 на картці та ініціалізувати будь-яку
PIN-коди.
--стерти-картку, -E
Це видалить картку перед створенням структури PKCS #15, якщо карта
підтримує це. Якщо карта не підтримує стирання, pkcs15-init не вдасться.
--генерувати ключ специфікація ключа, -G специфікація ключа
Вказує картці створити новий ключ і зберегти його на картці. специфікація ключа складається з an
ім'я алгоритму (наразі єдине підтримуване ім'я - це RSA), за бажанням за яким слідує a
слеш і довжина ключа в бітах. Бажано вказати ідентифікатор ключа
за допомогою цієї команди, використовуючи id опцію, інакше буде розраховано внутрішній ідентифікатор
з основного матеріалу. Подивіться опис атрибута 'pkcs15-id-style' в
'pkcs15.profile' для детальної інформації про алгоритм, який використовується для обчислення внутрішнього ідентифікатора.
Для карток із багатьма програмами цільову програму PKCS#15 можна вказати за допомогою
шістнадцяткове значення AID допомога варіант.
--файл параметрів ім'я файлу
Розповідає pkcs15-init щоб прочитати додаткові параметри ім'я файлу. Передбачається, що файл
містити один довгий параметр на рядок без провідних тире, наприклад:
шпилька відвертої
пак заппа
Ви можете вказати --файл параметрів декілька разів.
--шпилька, --пук --так-шпилька, --так-пук,
Ці параметри можна використовувати для визначення значень PIN/PUK в командному рядку. Якщо встановлено на
env:ЗМІННИЙ, значення змінної середовища ЗМІННИЙ використовується. Зверніть увагу, що на
У більшості операційних систем будь-який користувач може відобразити командний рядок будь-якого процесу на
система з використанням таких утиліт, як ps(1). Тому ви повинні використовувати ці параметри лише на
у захищеній системі або у файлі параметрів, зазначеному за допомогою --файл параметрів.
--профіль ім'я, -p ім'я
Розповідає pkcs15-init щоб завантажити вказаний загальний профіль. Наразі єдиний
визначено профіль програми pkcs15, але ви можете написати власні профілі та вказати
за допомогою цієї опції.
Ім’я профілю можна об’єднати з одним або кількома параметрами профілю, що незначно
змінити поведінку профілю. Наприклад, профіль OpenSC за замовчуванням підтримує
openpin опція, яка встановлює один PIN-код під час ініціалізації карти. Цей PIN-код
потім використовується як PIN-код SO, так і PIN-код користувача для всіх ключів, що зберігаються на картці.
Назва профілю та параметри розділяються символом +, як у pkcs15+onepin.
--магазин-сертифікат ім'я файлу, -X ім'я файлу
Розповідає pkcs15-init зберігати наданий сертифікат ім'я файлу на картці, створюючи а
об'єкт сертифіката з ідентифікатором, зазначеним через --id варіант. Без наданого ідентифікатора an
intrisic ID буде обчислюватися з відкритого ключа сертифіката. Подивіться опис
атрибута 'pkcs15-id-style' в 'pkcs15.profile', щоб дізнатися більше про
Алгоритм, що використовується для обчислення внутрішнього ідентифікатора. Передбачається, що файл містить PEM
закодований сертифікат. Для карток із багатьма програмами цільовим додатком може бути
визначається шістнадцятковим значенням AID допомога варіант.
--магазин-відкритий ключ ім'я файлу
Розповідає pkcs15-init завантажити вказаний відкритий ключ на картку та створити публічний ключ
ключовий об'єкт з ідентифікатором ключа, зазначеним через --id. За замовчуванням вважається, що файл
містять ключ у форматі PEM. Альтернативні формати можна вказати за допомогою --формат.
--магазин-приватний ключ ім'я файлу, -S ім'я файлу
Розповідає pkcs15-init щоб завантажити вказаний секретний ключ на картку. Ця команда буде
також створіть об'єкт відкритого ключа, що містить частину відкритого ключа. За замовчуванням,
Передбачається, що файл містить ключ у форматі PEM. Можна вказати альтернативні формати
використання --формат. Бажано вказати ідентифікатор ключа разом із цією командою, використовуючи
--id опція, інакше внутрішній ідентифікатор буде розраховано з основного матеріалу.
Подивіться опис атрибута 'pkcs15-id-style' в 'pkcs15.profile' для
докладні відомості про алгоритм, який використовується для обчислення внутрішнього ідентифікатора. Для багаторазового застосування
карток цільова програма PKCS#15 може бути визначена шістнадцятковим значенням AID
допомога варіант.
--оновлення-сертифікат ім'я файлу, -U ім'я файлу
Розповідає pkcs15-init щоб оновити об’єкт сертифіката з ідентифікатором, зазначеним через --id
варіант із сертифікатом в ім'я файлу. Передбачається, що файл містить кодований PEM
довідка.
Зверніть особливу увагу при оновленні сертифікатів розшифровки пошти, оскільки відсутні
сертифікати можуть зробити повідомлення електронної пошти нечитабельними!
--use-default-transport-keys, -T
Розповідає pkcs15-init щоб не запитувати транспортні ключі та використовувати ключі за замовчуванням, як відомо за
драйвер картки.
-багатослівний, -v
Проєкти pkcs15-init бути більш багатослівним. Вкажіть цей прапор кілька разів, щоб увімкнути налагодження
вихід у бібліотеці OpenSC.
Використовуйте pkcs15-init онлайн за допомогою служб onworks.net
