Đây là lệnh p11tool có thể được chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
công cụ p11 - Công cụ GnuTLS PKCS # 11
SYNOPSIS
công cụ p11 [-sao] [-lá cờ [giá trị]] [- tên phụ đề[[= | ]giá trị]] [url]
Toán hạng và tùy chọn có thể được trộn lẫn với nhau. Chúng sẽ được sắp xếp lại.
MÔ TẢ
Chương trình cho phép hoạt động trên thẻ thông minh PKCS # 11 và mô-đun bảo mật.
Để sử dụng mã thông báo PKCS # 11 với GnuTLS, cần thiết lập tệp cấu hình p11-kit. Điều đó
là tạo tệp .module trong / etc / pkcs11 / modules với mô-đun nội dung:
/path/to/pkcs11.so '. Ngoài ra, tệp cấu hình /etc/gnutls/pkcs11.conf phải
tồn tại và chứa một số dòng có dạng 'load = / usr / lib / opensc-pkcs11.so'.
Bạn có thể cung cấp mã PIN để sử dụng cho các hoạt động PKCS # 11 với môi trường
biến GNUTLS_PIN và GNUTLS_SO_PIN.
LỰA CHỌN
Tokens
- mã thông báo danh sách
Liệt kê tất cả các mã thông báo có sẵn.
--list-token-url
Liệt kê các URL có sẵn mã thông báo.
Đây là phiên bản nhỏ gọn hơn của --list-tokens.
- cơ chế danh sách
Liệt kê tất cả các cơ chế có sẵn trong một mã thông báo.
--khởi tạo
Khởi tạo mã thông báo PKCS # 11.
- bộ ghim=chuỗi
Chỉ định mã PIN để sử dụng khi khởi tạo mã thông báo.
Ngoài ra, có thể sử dụng biến môi trường GNUTLS_PIN.
--set-so-pin=chuỗi
Chỉ định mã PIN của Nhân viên Bảo mật để sử dụng khi khởi tạo mã thông báo.
Ngoài ra, có thể sử dụng biến môi trường GNUTLS_SO_PIN.
Đối tượng niêm yết
--liệt kê tất cả
Liệt kê tất cả các đối tượng có sẵn trong một mã thông báo.
--list-all-certs
Liệt kê tất cả các chứng chỉ có sẵn trong một mã thông báo.
--list-certs
Liệt kê tất cả các chứng chỉ có khóa cá nhân được liên kết.
- list-all-privkeys
Liệt kê tất cả các khóa riêng có sẵn trong một mã thông báo.
Liệt kê tất cả các khóa riêng tư trong mã thông báo khớp với URL được chỉ định.
- list-privkeys
Đây là một bí danh cho - list-all-privkeys tùy chọn.
- list-key
Đây là một bí danh cho - list-all-privkeys tùy chọn.
- danh sách-tất cả-đáng tin cậy
Liệt kê tất cả các chứng chỉ có sẵn được đánh dấu là đáng tin cậy.
--xuất khẩu
Xuất đối tượng được chỉ định bởi URL.
- chuỗi xuất khẩu
Xuất chứng chỉ được chỉ định bởi URL và chuỗi tin cậy của nó.
Xuất chứng chỉ do URL chỉ định và tạo chuỗi tin cậy dựa trên
trên các chứng chỉ được lưu trữ trong mô-đun.
--export-pubkey
Xuất khóa công khai cho khóa cá nhân.
Xuất khóa công khai cho khóa cá nhân được chỉ định
--thông tin Liệt kê thông tin về một đối tượng có sẵn trong mã thông báo.
Key thế hệ
--generate-rsa
Tạo cặp khóa công khai-riêng tư RSA.
Tạo cặp khóa công khai-riêng tư RSA trên mã thông báo được chỉ định.
--tạo-dsa
Tạo cặp khóa công khai-riêng tư DSA.
Tạo cặp khóa công khai-riêng tư DSA trên mã thông báo được chỉ định.
--tạo-ecc
Tạo cặp khóa công khai-riêng ECDSA.
Tạo cặp khóa công khai-riêng tư ECDSA trên mã thông báo được chỉ định.
--chút ít=con số
Chỉ định số bit để tạo khóa. Tùy chọn này nhận một số nguyên
như là đối số của nó.
--đường cong=chuỗi
Chỉ định đường cong được sử dụng để tạo khóa EC.
Các giá trị được hỗ trợ là secp192r1, secp224r1, secp256r1, secp384r1 và secp521r1.
--sec-param=an ninh tham số
Chỉ định mức độ bảo mật.
Đây là tùy chọn thay thế cho tùy chọn bit. Các tùy chọn có sẵn là [thấp, cũ, trung bình,
cao, cực kỳ].
Writing đối tượng
--set-id=chuỗi
Đặt CKA_ID (trong hex) cho đối tượng URL được chỉ định. Tùy chọn này không được
xuất hiện kết hợp với bất kỳ tùy chọn nào sau đây: ghi.
Sửa đổi hoặc đặt CKA_ID trong đối tượng URL được chỉ định. ID phải là
được chỉ định ở định dạng thập lục phân không có tiền tố '0x'.
- nhãn-bộ=chuỗi
Đặt CKA_LABEL cho đối tượng URL được chỉ định. Tùy chọn này không được xuất hiện
kết hợp với bất kỳ tùy chọn nào sau đây: write, set-id.
Sửa đổi hoặc đặt CKA_LABEL trong đối tượng URL được chỉ định
--viết
Ghi các đối tượng đã tải vào mã thông báo PKCS # 11.
Nó có thể được sử dụng để ghi khóa riêng, chứng chỉ hoặc khóa bí mật vào mã thông báo. Cần phải
được kết hợp với tùy chọn --load.
--xóa bỏ
Xóa các đối tượng khớp với URL PKCS # 11 đã cho.
--nhãn mác=chuỗi
Đặt nhãn cho thao tác ghi.
--Tôi=chuỗi
Đặt một ID cho thao tác ghi.
Đặt CKA_ID được đặt bởi thao tác ghi. ID phải được chỉ định trong
định dạng thập lục phân không có tiền tố '0x'.
- dấu bọc, - Fl -no-mark-bọc
Đánh dấu khóa đã tạo là khóa gói. Các không có dấu-bọc biểu mẫu sẽ vô hiệu hóa
tùy chọn.
Đánh dấu khóa đã tạo bằng cờ CKA_WRAP.
- đánh dấu tin cậy, - Fl -không có dấu-tin cậy
Đánh dấu đối tượng được viết là đáng tin cậy. Các không có nhãn hiệu đáng tin cậy biểu mẫu sẽ vô hiệu hóa
tùy chọn.
Đánh dấu đối tượng được tạo / ghi bằng cờ CKA_TRUST.
--mark-giải mã, - Fl -no-mark-giải mã
Đánh dấu đối tượng được viết để giải mã. Các không đánh dấu-giải mã hình thức sẽ
vô hiệu hóa tùy chọn.
Đánh dấu đối tượng được tạo / ghi bằng cờ CKA_DECRYPT được đặt thành true.
- dấu-hiệu, - Fl -không-dấu-hiệu
Đánh dấu đối tượng được viết để tạo chữ ký. Các không dấu-hiệu hình thức
sẽ vô hiệu hóa tùy chọn.
Đánh dấu đối tượng được tạo / ghi bằng cờ CKA_SIGN được đặt thành true.
--mark-ca, - Fl -no-mark-ca
Đánh dấu đối tượng được viết dưới dạng CA. Các không-đánh dấu-ca biểu mẫu sẽ vô hiệu hóa
tùy chọn.
Đánh dấu đối tượng sẽ được tạo / ghi bằng CKA_CERTIFICATE_CATEGORY là CA.
--mark-riêng tư, - Fl -no-mark-riêng tư
Đánh dấu đối tượng được viết là riêng tư. Các không-dấu-riêng biểu mẫu sẽ vô hiệu hóa
tùy chọn. Tùy chọn này được kích hoạt theo mặc định.
Đánh dấu đối tượng sẽ được tạo / ghi bằng cờ CKA_PRIVATE. Văn bản
đối tượng sẽ yêu cầu mã PIN để được sử dụng.
--đáng tin cậy
Đây là một bí danh cho - đánh dấu tin cậy tùy chọn.
--ca Đây là một bí danh cho --mark-ca tùy chọn.
--riêng
Đây là một bí danh cho --mark-riêng tư tùy chọn.
--chìa khoá bí mật=chuỗi
Cung cấp khóa bí mật được mã hóa hex.
Khóa bí mật này sẽ được ghi vào mô-đun nếu --write được chỉ định.
--load-privkey=hồ sơ
Tập tin khóa cá nhân để sử dụng.
--load-pubkey=hồ sơ
Tập tin khóa công khai để sử dụng.
--load-chứng chỉ=hồ sơ
Tệp chứng chỉ để sử dụng.
Nền tảng khác lựa chọn
-d con số, --gỡ lỗi=con số
Bật gỡ lỗi. Tùy chọn này nhận một số nguyên làm đối số của nó. Giá trị
of con số bị hạn chế để trở thành:
trong phạm vi từ 0 đến 9999
Chỉ định mức gỡ lỗi.
--outfile=chuỗi
Tệp đầu ra.
--đăng nhập, - Fl -không đăng nhập
Buộc (người dùng) đăng nhập vào mã thông báo. Các không đăng nhập biểu mẫu sẽ vô hiệu hóa tùy chọn.
--so-đăng nhập, - Fl -không đăng nhập
Buộc nhân viên an ninh đăng nhập vào mã thông báo. Các không đăng nhập biểu mẫu sẽ vô hiệu hóa
tùy chọn.
Buộc đăng nhập vào mã thông báo với tư cách nhân viên bảo mật (quản trị viên).
--admin-đăng nhập
Đây là một bí danh cho --so-đăng nhập tùy chọn.
- dấu hiệu kiểm tra
Kiểm tra hoạt động chữ ký của đối tượng được cung cấp.
Nó có thể được sử dụng để kiểm tra hoạt động chính xác của hoạt động chữ ký. Nếu cả hai
riêng tư và khóa công khai có sẵn thao tác này sẽ ký và xác minh
dữ liệu đã ký.
- sinh-ngẫu nhiên=con số
Tạo dữ liệu ngẫu nhiên. Tùy chọn này nhận một số nguyên làm đối số của nó.
Yêu cầu mã thông báo tạo một số byte trong số các byte ngẫu nhiên.
-8, --pkcs8
Sử dụng định dạng PKCS # 8 cho khóa cá nhân.
--in der, - Fl -no-inder
Sử dụng định dạng DER / RAW cho đầu vào. Các không-inder biểu mẫu sẽ vô hiệu hóa tùy chọn.
Sử dụng định dạng DER / RAW cho các chứng chỉ đầu vào và khóa riêng.
--inraw
Đây là một bí danh cho --in der tùy chọn.
--bên ngoài, - Fl -không có bên ngoài
Sử dụng định dạng DER cho chứng chỉ đầu ra, khóa cá nhân và tham số DH. Các
không có bên ngoài biểu mẫu sẽ vô hiệu hóa tùy chọn.
Đầu ra sẽ ở định dạng DER hoặc RAW.
--rút ra
Đây là một bí danh cho --bên ngoài tùy chọn.
--các nhà cung cấp=hồ sơ
Chỉ định thư viện nhà cung cấp PKCS # 11.
Điều này sẽ ghi đè các tùy chọn mặc định trong /etc/gnutls/pkcs11.conf
- url không chi tiết, - Fl -no-chi tiết-url
In các URL chi tiết. Các không-chi tiết-url biểu mẫu sẽ vô hiệu hóa tùy chọn.
--chỉ-url
In một danh sách nhỏ gọn chỉ sử dụng các URL.
--lô hàng
Tắt tất cả các tương tác với công cụ.
Ở chế độ hàng loạt sẽ không có lời nhắc, tất cả các thông số cần được chỉ định trên
dòng lệnh.
-h, --Cứu giúp
Hiển thị thông tin sử dụng và thoát.
-!, --giúp đỡ nhiều hơn
Chuyển thông tin sử dụng mở rộng qua máy nhắn tin.
-v [{v | c | n --phiên bản [{v | c | n}]}]
Phiên bản đầu ra của chương trình và thoát. Chế độ mặc định là `v ', một phiên bản đơn giản.
Chế độ `c 'sẽ in thông tin bản quyền và` n' sẽ in toàn bộ bản quyền
để ý.
VÍ DỤ
Để xem tất cả các mã thông báo trong hệ thống của bạn, hãy sử dụng:
$ p11tool - mã thông báo danh sách
Để xem tất cả các đối tượng trong một mã thông báo, hãy sử dụng:
$ p11tool --login --list-all "pkcs11: TOKEN-URL"
Để lưu trữ khóa cá nhân và chứng chỉ trong quá trình chạy mã thông báo:
$ p11tool --login - viết "pkcs11: URL" --load-privkey key.pem --label "Mykey"
$ p11tool --login --write "pkcs11: URL" --load-certificate cert.pem --label "Mykey"
Lưu ý rằng một số mã thông báo yêu cầu cùng một nhãn để được sử dụng cho chứng chỉ và
khóa riêng tương ứng.
Để tạo khóa cá nhân RSA bên trong mã thông báo, hãy sử dụng:
$ p11tool --login --generate-rsa --bits 1024 - nhãn "MyNewKey" --outfile MyNewKey.pub "pkcs11: TOKEN-URL"
Tham số bit trong ví dụ trên được đặt rõ ràng vì một số mã thông báo chỉ hỗ trợ
các lựa chọn giới hạn về độ dài bit. Tệp đầu ra là khóa công khai tương ứng. Cái này
khóa có thể được sử dụng để nói chung một yêu cầu chứng chỉ với certtool.
certtool --generate-request --load-privkey "pkcs11: KEY-URL" --load-pubkey MyNewKey.pub --outfile request.pem
EXIT TÌNH TRẠNG
Một trong các giá trị thoát sau sẽ được trả về:
0 (EXIT_SUCCESS)
Thực hiện chương trình thành công.
1 (EXIT_FAILURE)
Thao tác không thành công hoặc cú pháp lệnh không hợp lệ.
70 (EX_PHẦN MỀM)
libopts bị lỗi hoạt động nội bộ. Vui lòng báo cáo nó cho autogen-
[email được bảo vệ]. Cảm ơn quý vị.
Sử dụng p11tool trực tuyến bằng các dịch vụ onworks.net
