Il s'agit de l'outil de signature de commande qui peut être exécuté dans le fournisseur d'hébergement gratuit OnWorks à l'aide de l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS.
PROGRAMME:
Nom
signtool - Signez numériquement des objets et des fichiers.
SYNOPSIS
outil de signalisation [[-b basename]] [[-c Niveau de compression]] [[-d cert-dir]] [[-e extension]]
[[-f nom_fichier]] [[-i script d'installation]] [[-h]] [[-H]] [[-v]] [[-w]]
[[-G pseudo]] [[-J]] [[-j répertoire]] [-k keyName] [[--keysize | -s taille]]
[[-l]] [[-L]] [[-M]] [[-m métafichier]] [[--norecurse]] [[-O]] [[-o]] [[--outfile] ]
[[-p mot de passe]] [[-t|--token tokenname]] [[-z]] [[-X]] [[-x name]]
[[--verbose value]] [[--leavearc]] [[-Z jarfile]] [directory-tree] [archive]
STATUT
Cette documentation est toujours en cours d'élaboration. Veuillez contribuer à l'examen initial dans
Mozilla NSS bug 836477[1]
DESCRIPTION
L'outil de signature, outil de signalisation, crée des signatures numériques et utilise un fichier Java Archive (JAR)
pour associer les signatures à des fichiers dans un répertoire. Distribution électronique de logiciels
sur n'importe quel réseau implique des problèmes de sécurité potentiels. Pour aider à résoudre certains de ces
problèmes, vous pouvez associer des signatures numériques aux fichiers d'une archive JAR. Numérique
Les signatures permettent aux clients SSL d'effectuer deux opérations importantes :
* Confirmez l'identité de la personne, de l'entreprise ou de toute autre entité dont la signature numérique
est associé aux fichiers
* Vérifiez si les fichiers ont été falsifiés depuis leur signature
Si vous disposez d'un certificat de signature, vous pouvez utiliser l'outil de signature Netscape pour signer numériquement
fichiers et les empaqueter en tant que fichier JAR. Un certificat de signature d'objet est un type spécial de
certificat qui vous permet d'associer votre signature numérique à un ou plusieurs fichiers.
Un fichier individuel peut potentiellement être signé avec plusieurs signatures numériques. Pour
exemple, un développeur de logiciels commerciaux pourrait signer les fichiers qui constituent un logiciel
produit pour prouver que les fichiers proviennent bien d'une entreprise en particulier. Un réseau
le gestionnaire administrateur peut signer les mêmes fichiers avec une signature numérique supplémentaire basée
sur un certificat généré par l'entreprise pour indiquer que le produit est approuvé pour une utilisation dans
l'entreprise.
L'importance d'une signature numérique est comparable à celle d'une signature manuscrite.
Signature. Une fois que vous avez signé un dossier, il est difficile de prétendre par la suite que vous n'avez pas
le signer. Dans certaines situations, une signature numérique peut être considérée comme juridiquement contraignante en tant que
signature manuscrite. Par conséquent, vous devez prendre grand soin de vous assurer que vous pouvez vous tenir debout
derrière tout fichier que vous signez et distribuez.
Par exemple, si vous êtes un développeur de logiciels, vous devez tester votre code pour vous assurer qu'il est
exempt de virus avant de le signer. De même, si vous êtes administrateur réseau, vous devez
assurez-vous, avant de signer un code, qu'il provient d'une source fiable et qu'il fonctionnera
correctement avec le logiciel installé sur les machines sur lesquelles vous le distribuez.
Avant de pouvoir utiliser Netscape Signing Tool pour signer des fichiers, vous devez disposer d'un
certificat, qui est un certificat spécial dont la clé privée associée est utilisée pour créer
signatures numériques. À des fins de test uniquement, vous pouvez créer un objet de signature
certificat avec Netscape Signing Tool 1.3. Lorsque les tests sont terminés et que vous êtes prêt à
distribuer votre logiciel, vous devez obtenir un certificat de signature d'objet auprès de l'un des deux
sortes de sources :
* Une autorité de certification (CA) indépendante qui authentifie votre identité et vos frais
vous des frais. Vous obtenez généralement un certificat d'une autorité de certification indépendante si vous souhaitez signer
logiciel qui sera distribué sur Internet.
* Logiciel serveur CA exécuté sur votre intranet ou extranet d'entreprise. Certificat Netscape
Management System fournit une solution de gestion complète pour la création, le déploiement et
la gestion des certificats, y compris les autorités de certification qui émettent des certificats de signature d'objet.
Vous devez également disposer d'un certificat pour l'autorité de certification qui délivre votre certificat de signature avant
vous pouvez signer des fichiers. Si le certificat de l'autorité de certification n'est pas déjà installé dans
votre copie de Communicator, vous l'installez généralement en cliquant sur le lien approprié sur
le site Web de l'autorité de certification, par exemple sur la page à partir de laquelle vous avez initié
l'inscription pour votre certificat de signature. C'est le cas de certains certificats d'essai, comme
ainsi que les certificats émis par Netscape Certificate Management System : vous devez télécharger
le certificat CA en plus d'obtenir votre propre certificat de signature. Californie
les certificats de plusieurs autorités de certification sont préinstallés dans le Communicator
base de données de certificats.
Lorsque vous recevez un certificat de signature d'objet pour votre propre usage, il est automatiquement
installé dans votre copie du logiciel client Communicator. Communicator prend en charge le
norme de cryptographie à clé publique connue sous le nom de PKCS #12, qui régit la portabilité des clés. Tu
peut, par exemple, déplacer un certificat de signature d'objet et sa clé privée associée de
un ordinateur à un autre sur un appareil de la taille d'une carte de crédit appelé carte à puce.
OPTIONS
-b nom de base
Spécifie le nom de fichier de base pour les fichiers .rsa et .sf dans le répertoire META-INF à
conforme au format JAR. Par exemple, -b signatures provoque le nom des fichiers
signatures.rsa et signatures.sf. La valeur par défaut est signtool.
-c#
Spécifie le niveau de compression pour l'option -J ou -Z. Le symbole # représente un
nombre de 0 à 9, où 0 signifie aucune compression et 9 signifie une compression maximale. Les
plus le niveau de compression est élevé, plus la sortie est faible mais plus l'opération est longue
prend. Si l'option -c# n'est pas utilisée avec l'option -J ou -Z, la valeur par défaut
la valeur de compression utilisée par les options -J et -Z est 6.
-d répertoirecertificat
Spécifie votre répertoire de base de données de certificats ; c'est-à-dire le répertoire dans lequel vous
placé vos fichiers key3.db et cert7.db. Pour spécifier le répertoire actuel, utilisez "-d".
(y compris la période). La version Unix de signtool suppose ~/.netscape à moins d'être dit
autrement. La version NT de signtool nécessite toujours l'utilisation de l'option -d pour
spécifiez l'emplacement des fichiers de la base de données.
-e extension
Indique à signtool de signer uniquement les fichiers avec l'extension donnée ; par exemple, utilisez
-e".class" pour signer uniquement les fichiers de classe Java. Notez qu'avec la version Netscape Signing Tool
1.1 et versions ultérieures, cette option peut apparaître plusieurs fois sur une ligne de commande, ce qui en fait
possible de spécifier plusieurs types de fichiers ou classes à inclure.
-f fichier de commandes
Spécifie un fichier texte contenant les options et les arguments de l'outil de signature Netscape dans
mot-clé=format de valeur. Toutes les options et tous les arguments peuvent être exprimés via ce fichier.
Pour plus d'informations sur la syntaxe utilisée avec ce fichier, consultez "Conseils et techniques".
-G surnom
Génère une nouvelle paire de clés privée-publique et le certificat de signature d'objet correspondant
avec le surnom donné. Les clés et le certificat nouvellement générés sont installés dans
les bases de données de clés et de certificats dans le répertoire spécifié par l'option -d. Avec
la version NT de Netscape Signing Tool, vous devez utiliser l'option -d avec le -G
option. Avec la version Unix de Netscape Signing Tool, l'omission de l'option -d provoque
l'outil pour installer les clés et le certificat dans la clé et le certificat Communicator
bases de données. Si vous installez les clés et le certificat dans le Communicator
bases de données, vous devez quitter Communicator avant d'utiliser cette option ; sinon, vous risquez
corrompre les bases de données. Dans tous les cas, le certificat est également sorti dans un fichier nommé
x509.cacert, qui a l'application de type MIME/x-x509-ca-cert. Contrairement aux certificats
normalement utilisé pour signer un code fini à distribuer sur un réseau, un test
Le certificat créé avec -G n'est pas signé par une autorité de certification reconnue.
Au lieu de cela, il est auto-signé. De plus, un seul certificat de signature de test fonctionne
à la fois comme certificat de signature d'objet et comme autorité de certification. Lorsque vous l'utilisez pour signer des objets,
il se comporte comme un certificat de signature d'objet. Quand il est importé dans le navigateur
logiciel tel que Communicator, il se comporte comme une autorité de certification de signature d'objet et ne peut pas être utilisé
pour signer des objets. L'option -G est disponible dans Netscape Signing Tool 1.0 et versions ultérieures
versions uniquement. Par défaut, il ne produit que des certificats RSA avec des clés de 1024 octets dans
le jeton interne. Cependant, vous pouvez utiliser l'option -s pour spécifier la taille de clé requise
et l'option -t pour spécifier le jeton.
-i nom_script
Spécifie le nom d'un script d'installation pour SmartUpdate. Ce script installe les fichiers
de l'archive JAR dans le système local après que SmartUpdate a validé le
Signature. Pour plus de détails, voir la description de -m qui suit. L'option -i
fournit un moyen simple de fournir ces informations si vous n'avez pas besoin de
spécifiez toutes les métadonnées autres qu'un script d'installation.
-J
Signe un répertoire de fichiers HTML contenant du JavaScript et crée autant d'archives
tels que spécifiés dans les balises HTML. Même si signtool crée plus d'un
archive, vous ne devez fournir le mot de passe de la base de données de clés qu'une seule fois. L'option -J est
disponible uniquement dans Netscape Signing Tool 1.0 et versions ultérieures. L'option -J ne peut pas
être utilisé en même temps que l'option -Z. Si l'option -c# n'est pas utilisée avec le -J
option, la valeur de compression par défaut est 6. Notez que les versions 1.1 et ultérieures de
Netscape Signing Tool reconnaît correctement l'attribut CODEBASE, permet aux chemins d'être
exprimé pour les attributs CLASS et SRC au lieu des noms de fichiers uniquement, traite LINK
balises et analyse correctement le code HTML et offre des messages d'erreur plus clairs.
-j répertoire
Spécifie un répertoire JavaScript spécial. Cette option provoque le répertoire spécifié
à signer et marque ses entrées en tant que JavaScript en ligne. Ce type spécial d'entrée
ne doit pas nécessairement apparaître dans le fichier JAR lui-même. Au lieu de cela, il est situé dans le HTML
page contenant les scripts en ligne. Lorsque vous utilisez signtool -v, ces entrées sont
affiché avec la chaîne NOT PRESENT.
-k clé ... répertoire
Spécifie le surnom (clé) du certificat avec lequel vous souhaitez signer et signe le
fichiers dans le répertoire spécifié. Le répertoire à signer est toujours spécifié comme le
dernier argument de la ligne de commande. Ainsi, il est possible d'écrire signtool -k MyCert -d .
signdir Vous pouvez avoir des problèmes si le surnom contient un guillemet simple. À
éviter les problèmes, évitez les guillemets en utilisant les conventions d'échappement pour votre
Plate-forme. Il est également possible d'utiliser l'option -k sans signer aucun fichier ou
en spécifiant un répertoire. Par exemple, vous pouvez l'utiliser avec l'option -l pour obtenir des détails
informations sur un certificat de signature particulier.
-l
Répertorie les certificats de signature, y compris les autorités de certification émettrices. Si l'un de vos certificats est
expiré ou invalide, la liste le précisera. Cette option peut être utilisée avec le -k
option pour répertorier des informations détaillées sur un certificat de signature particulier. Le -l
L'option est disponible dans Netscape Signing Tool 1.0 et les versions ultérieures uniquement.
-L
Répertorie les certificats de votre base de données. Un astérisque apparaît à gauche du
pseudonyme de tout certificat pouvant être utilisé pour signer des objets avec signtool.
--quitter l'arc
Conserve les répertoires temporaires .arc (archive) créés par l'option -J. Ces
les répertoires sont automatiquement effacés par défaut. Conserver les répertoires temporaires
peut être une aide au débogage.
-m métafichier
Spécifie le nom d'un fichier de contrôle de métadonnées. Les métadonnées sont des informations signées jointes
soit à l'archive JAR elle-même, soit aux fichiers de l'archive. Ces métadonnées peuvent être
n'importe quelle chaîne ASCII, mais est principalement utilisé pour spécifier un script d'installation. Les métadonnées
fichier contient une entrée par ligne, chacune avec trois champs : champ #1 : fichier
spécification, ou + si vous souhaitez spécifier des métadonnées globales (c'est-à-dire des métadonnées sur
l'archive JAR elle-même ou toutes les entrées de l'archive) champ #2 : le nom des données
vous spécifiez; par exemple : champ Install-Script #3 : données correspondant au
nom dans le champ #2 Par exemple, l'option -i utilise l'équivalent de cette ligne : +
Install-Script : script.js Cet exemple associe un type MIME à un fichier : movie.qt
Type MIME : vidéo/quicktime Pour plus d'informations sur la façon dont les informations du script d'installation
apparaît dans le fichier manifeste pour une archive JAR, voir Le format JAR sur Netscape
DevEdge.
-M
Répertorie les modules PKCS #11 disponibles pour signtool, y compris les cartes à puce. L'option -M
est disponible dans Netscape Signing Tool 1.0 et versions ultérieures uniquement. Pour plus d'informations sur
en utilisant Netscape Signing Tool avec des cartes à puce, voir "Utilisation de Netscape Signing Tool avec
Cartes à puce". Pour plus d'informations sur l'utilisation de l'option -M pour vérifier la validation FIPS-140-1
mode, voir « Netscape Signing Tool et FIPS-140-1 ».
--norcurse
Bloque la récursivité dans les sous-répertoires lors de la signature du contenu d'un répertoire ou lorsque
l'analyse HTML.
-o
Optimise la taille de l'archive. Utilisez ceci uniquement si vous signez de très grandes archives
contenant des centaines de fichiers. Cette option rend les fichiers manifestes (requis par le
format JAR) considérablement plus petits, mais ils contiennent un peu moins d'informations.
--outfile fichier de sortie
Spécifie un fichier pour recevoir la sortie redirigée de Netscape Signing Tool.
-p mot de passe
Spécifie un mot de passe pour la base de données de clés privées. Notez que le mot de passe saisi sur
la ligne de commande s'affiche sous forme de texte brut.
-s taille de clé
Spécifie la taille de la clé pour le certificat généré. Utilisez l'option -M pour savoir
quels jetons sont disponibles. L'option -s ne peut être utilisée qu'avec l'option -G.
-t jeton
Spécifie quel jeton disponible doit générer la clé et recevoir le certificat.
Utilisez l'option -M pour savoir quels jetons sont disponibles. L'option -t peut être utilisée
avec l'option -G uniquement.
-v archiver
Affiche le contenu d'une archive et vérifie l'intégrité cryptographique du
les signatures numériques qu'il contient et les fichiers auxquels ils sont associés. Cette
comprend la vérification que le certificat de l'émetteur de l'objet-signature
certificat est répertorié dans la base de données des certificats, que la signature numérique de l'autorité de certification sur
le certificat de signature d'objet est valide, que les certificats pertinents n'ont pas
expiré, et ainsi de suite.
--valeur de verbosité
Définit la quantité d'informations générées par Netscape Signing Tool en fonctionnement. Une valeur
de 0 (zéro) est la valeur par défaut et donne des informations complètes. Une valeur de -1 supprime la plupart
messages, mais pas les messages d'erreur.
-w archiver
Affiche les noms des signataires de tous les fichiers de l'archive.
-x répertoire
Exclut le répertoire spécifié de la signature. Notez qu'avec l'outil de signature Netscape
version 1.1 et supérieure, cette option peut apparaître plusieurs fois sur une même ligne de commande,
permettant de spécifier plusieurs répertoires particuliers à exclure.
-z
Indique à signtool de ne pas stocker l'heure de signature dans la signature numérique. Cette option est
utile si vous voulez que la date d'expiration de la signature soit comparée à la date actuelle
la date et l'heure plutôt que l'heure à laquelle les fichiers ont été signés.
-Z fichier jar
Crée un fichier JAR avec le nom spécifié. Vous devez spécifier cette option si vous voulez
signtool pour créer le fichier JAR ; il ne le fait pas automatiquement. Si vous ne précisez pas
-Z, vous devez utiliser un outil ZIP externe pour créer le fichier JAR. L'option -Z ne peut pas être
utilisé en même temps que l'option -J. Si l'option -c# n'est pas utilisée avec le -Z
option, la valeur de compression par défaut est 6.
THE COMMAND DOSSIER Format
Les entrées dans un fichier de commandes Netscape Signing Tool ont ce format général : mot-clé=valeur
Tout ce qui précède le signe = sur une seule ligne est un mot-clé, et tout à partir du signe =
à la fin de la ligne est une valeur. La valeur peut inclure des signes = ; seul le premier = signe sur un
la ligne est interprétée. Les lignes vides sont ignorées, mais l'espace blanc sur une ligne avec des mots-clés et
valeurs sont supposées faire partie du mot-clé (s'il précède le signe égal) ou de
la valeur (si elle vient après le premier signe égal). Les mots clés sont insensibles à la casse, les valeurs
sont généralement sensibles à la casse. Puisque le signe = et le saut de ligne délimitent la valeur, il devrait
ne pas être cité.
Sous-section
nom de base
Identique à l'option -b.
compression
Identique à l'option -c.
répertoirecert
Identique à l'option -d.
l'extension de
Identique à l'option -e.
générer
Identique à l'option -G.
script d'installation
Identique à l'option -i.
répertoirejavascript
Identique à l'option -j.
répertoire html
Identique à l'option -J.
nom de certificat
Pseudo du certificat, comme avec les options -k et -l -k.
répertoire de signature
Le répertoire à signer, comme avec l'option -k.
liste
Identique à l'option -l. La valeur est ignorée, mais le signe = doit être présent.
tout lister
Identique à l'option -L. La valeur est ignorée, mais le signe = doit être présent.
métafichier
Identique à l'option -m.
modules
Identique à l'option -M. La valeur est ignorée, mais le signe = doit être présent.
optimiser
Identique à l'option -o. La valeur est ignorée, mais le signe = doit être présent.
Identique à l'option -p.
taille de clé
Identique à l'option -s.
jeton
Identique à l'option -t.
vérifier
Identique à l'option -v.
pour qui
Identique à l'option -w.
exclure
Identique à l'option -x.
pas le temps
Identique à l'option -z. la valeur est ignorée, mais le signe = doit être présent.
fichier jar
Identique à l'option -Z.
fichier de sortie
Nom d'un fichier vers lequel la sortie et les messages d'erreur seront redirigés. Cette option a
pas d'équivalent en ligne de commande.
ÉLARGI EXEMPLES
L'exemple suivant fera ceci et cela
inscription Disponible Signature Certificats - Sanxin
Vous utilisez l'option -L pour lister les surnoms de tous les certificats disponibles et vérifier lesquels
certains signent des certificats.
outil de signalisation -L
en utilisant le répertoire de certificats : /u/jsmith/.netscape
Certificats S
-------------
Services de certificat BBN racine CA 1
Autorité de certification du registre mondial IBM
VeriSign Class 1 CA - Abonné individuel - VeriSign, Inc.
Autorité de certification racine GTE CyberTrust
Uptime Group Plc. AC de classe 4
* Certificat de signature d'objets Verisign
CA d'intégration
CA du serveur sécurisé GTE CyberTrust
Services d'annuaire AT&T
* certificat de signature d'objet de test
Uptime Group Plc. AC de classe 1
Autorité de certification principale VeriSign classe 1
-------------
Les certificats qui peuvent être utilisés pour signer des objets ont des * à leur gauche.
Deux certificats de signature sont affichés : Verisign Object Signing Cert et test object
certificat de signature
Vous utilisez l'option -l pour obtenir une liste des certificats de signature uniquement, y compris l'autorité de certification de signature
pour chaque.
outil de signature -l
en utilisant le répertoire de certificats : /u/jsmith/.netscape
Certificats de signature d'objet
---------------------------------------
Certificat de signature d'objets Verisign
Émis par : VeriSign, Inc. - Verisign, Inc.
Expire le : mar. 19 mai 1998
certificat de signature d'objet de test
Délivré par : certificat de signature d'objet de test (Signtool 1.0 Testing
Certificat (960187691))
Expire le : dim 17 mai 1998
---------------------------------------
Pour une liste comprenant les CA, utilisez le -L option.
Signature a Fichier
1. Créez un répertoire vide.
mkdir signdir
2. Mettez-y un fichier.
echo boo > signdir/test.f
3. Spécifiez le nom de votre certificat de signature d'objet et signez le répertoire.
signtool -k MySignCert -Z testjar.jar signdir
en utilisant la clé "MySignCert"
en utilisant le répertoire de certificats : /u/jsmith/.netscape
Génération du fichier signdir/META-INF/manifest.mf.
--> test.f
ajouter signdir/test.f à testjar.jar
Génération du fichier signtool.sf.
Entrez le mot de passe ou le code PIN pour "Communicator Certificate DB":
ajout de signdir/META-INF/manifest.mf à testjar.jar
ajout de signdir/META-INF/signtool.sf à testjar.jar
ajout de signdir/META-INF/signtool.rsa à testjar.jar
arbre "signdir" signé avec succès
4. Testez l'archive que vous venez de créer.
signtool -v testjar.jar
en utilisant le répertoire de certificats : /u/jsmith/.netscape
l'archive "testjar.jar" a réussi la vérification cryptographique.
chemin d'état
------------ -------------------
test vérifié.f
En utilisant Netscape Signature Outil avec a Code postal Services Publics
Pour utiliser Netscape Signing Tool avec un utilitaire ZIP, vous devez avoir l'utilitaire dans votre chemin
variable d'environnement. Vous devez utiliser l'utilitaire zip.exe plutôt que pkzip.exe, qui
ne peut pas gérer les noms de fichiers longs. Vous pouvez utiliser un utilitaire ZIP au lieu de l'option -Z pour
empaqueter une archive signée dans un fichier JAR après l'avoir signée :
rép sign cd
zip -r ../monjar.jar *
en ajoutant : META-INF/ (stocké 0%)
en ajoutant : META-INF/manifest.mf (déflaté de 15 %)
en ajoutant : META-INF/signtool.sf (dégonflé 28%)
ajout : META-INF/signtool.rsa (stocké 0%)
ajout : text.txt (stocké 0%)
Génération le Clés / Key et Certificat
L'option signtool -G génère une nouvelle paire de clés publiques-privées et un nouveau certificat. Ça prend
le surnom du nouveau certificat comme argument. Les clés nouvellement générées et
certificat sont installés dans les bases de données de clés et de certificats du répertoire
spécifié par l'option -d. Avec la version NT de Netscape Signing Tool, vous devez utiliser le
-d avec l'option -G. Avec la version Unix de Netscape Signing Tool, en omettant le
L'option -d oblige l'outil à installer les clés et le certificat dans la clé Communicator et
bases de données de certificats. Dans tous les cas, le certificat est également sorti dans un fichier nommé
x509.cacert, qui a l'application de type MIME/x-x509-ca-cert.
Les certificats contiennent des informations standard sur l'entité qu'ils identifient, telles que le
nom commun et nom de l'organisation. Netscape Signing Tool vous demande ces informations
lorsque vous exécutez la commande avec l'option -G. Cependant, tous les champs demandés sont
facultatif pour les certificats de test. Si vous n'entrez pas de nom commun, l'outil fournit un
nom par défaut. Dans l'exemple suivant, la saisie de l'utilisateur est en gras :
signtool -G MonTestCert
en utilisant le répertoire de certificats : /u/someuser/.netscape
Saisissez les informations du certificat. Tous les champs sont facultatifs. Acceptable
les caractères sont des chiffres, des lettres, des espaces et des apostrophes.
nom commun du certificat : Certificat de signature d'objet de test
organisation : Netscape Communications Corp.
unité d'organisation : Division Produits Serveurs
état ou province : Californie
pays (doit comporter exactement 2 caractères) : US
nom d'utilisateur : un utilisateur
adresse e-mail: [email protected]
Entrez le mot de passe ou le code PIN pour "Communicator Certificate DB": [Le mot de passe n'échouera pas]
paire de clés publique/privée générée
demande de certificat générée
le certificat a été signé
certificat "MyTestCert" ajouté à la base de données
Certificat exporté vers x509.raw et x509.cacert.
Les informations du certificat sont lues à partir de l'entrée standard. Par conséquent, les informations peuvent être
lire à partir d'un fichier à l'aide de l'opérateur de redirection (<) dans certains systèmes d'exploitation. Créer un
à cet effet, saisissez chacun des sept champs de saisie, dans l'ordre, sur une ligne distincte.
Assurez-vous qu'il y a un caractère de nouvelle ligne à la fin de la dernière ligne. Ensuite, exécutez signtool avec
entrée standard redirigée depuis votre fichier comme suit :
signtool -G fichier d'entrée MyTestCert
Les invites s'affichent à l'écran, mais les réponses seront automatiquement lues à partir du
déposer. Le mot de passe sera toujours lu depuis la console à moins que vous n'utilisiez l'option -p pour
donner le mot de passe sur la ligne de commande.
En utilisant le -M Option à Liste Smart Cartes
Vous pouvez utiliser l'option -M pour répertorier les modules PKCS #11, y compris les cartes à puce, qui sont
disponible pour signtool :
signtool -d "c:\netscape\users\jsmith" -M
en utilisant le répertoire de certificats : c:\netscape\users\username
Liste des modules PKCS11
-----------------------------------------------
1. Module interne PKCS #11 de Netscape
(ce module est chargé en interne)
emplacements: 2 emplacements attachés
statut : chargé
emplacement : Services cryptographiques internes de Communicator version 4.0
jeton : Communicateur Generic Crypto Svcs
emplacement : services de certificat et de clé privée de l'utilisateur Communicator
jeton : Communicator Certificate DB
2. CryptoOS
(il s'agit d'un module externe)
Nom de la DLL : core32
emplacements: 1 emplacements attachés
statut : chargé
emplacement : Litronic 210
jeton:
-----------------------------------------------
En utilisant Netscape Signature Outil et a Smart Card à Signez Documents officiels
La commande signtool prend normalement un argument de l'option -k pour spécifier une signature
certificat. Pour signer avec une carte à puce, vous fournissez uniquement le nom complet du
certificat.
Pour voir les noms de certificats complets lorsque vous exécutez Communicator, cliquez sur le bouton Sécurité
dans le navigateur, puis cliquez sur Le vôtre sous Certificats dans le cadre de gauche. Pleinement
les noms qualifiés sont au format smart card:certificat, par exemple "MyCard:My Signing
Cert". Vous utilisez ce nom avec l'argument -k comme suit :
signtool -k "MyCard:My Signing Cert" répertoire
Vérification FIPS Mode
Utilisez l'option -M pour vérifier que vous utilisez le module FIPS-140-1.
signtool -d "c:\netscape\users\jsmith" -M
en utilisant le répertoire de certificats : c:\netscape\users\jsmith
Liste des modules PKCS11
-----------------------------------------------
1. Module interne PKCS #11 de Netscape
(ce module est chargé en interne)
emplacements: 2 emplacements attachés
statut : chargé
emplacement : Services cryptographiques internes de Communicator version 4.0
jeton : Communicateur Generic Crypto Svcs
emplacement : services de certificat et de clé privée de l'utilisateur Communicator
jeton : Communicator Certificate DB
-----------------------------------------------
Cet exemple Unix montre que Netscape Signing Tool utilise un module FIPS-140-1 :
signtool -d "c:\netscape\users\jsmith" -M
en utilisant le répertoire de certificats : c:\netscape\users\jsmith
Entrez le mot de passe ou le code PIN pour "Communicator Certificate DB" : [le mot de passe n'échouera pas]
Liste des modules PKCS11
-----------------------------------------------
1. Module interne FIPS PKCS #11 de Netscape
(ce module est chargé en interne)
emplacements: 1 emplacements attachés
statut : chargé
emplacement : Services cryptographiques internes Netscape FIPS-140-1
jeton : Communicator Certificate DB
-----------------------------------------------
Utiliser signtool en ligne à l'aide des services onworks.net
