这是 tsssl 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
ts - 时间戳授权工具(客户端/服务器)
概要
openssl的 ts -询问 [-兰德 文件:文件...] [-config 配置文件] [-data 文件到哈希] [-消化
摘要字节] [-MD2|-MD4|-MD5|-沙|-sha1|-MDC2|-ripemd160|...[-政策 对象 ID]
[-no_nonce[-证书[-在 请求.tsq] [退房手续 请求.tsq] [-文本]
openssl的 ts -回复 [-config 配置文件] [-部分 tsa_部分] [-查询文件 请求.tsq]
[-通行证 密码源] [-签署人 tsa_cert.pem] [-inkey 私人.pem] [-链 certs_file.pem]
[-政策 对象 ID] [-在 响应.tsr] [-token_in[退房手续 响应.tsr] [-token_out]
[-文本[-发动机 ID]
openssl的 ts -核实 [-data 文件到哈希] [-消化 摘要字节] [-查询文件 请求.tsq]
[-在 响应.tsr] [-token_in[-CA路径 受信任的证书路径] [-CA文件 trust_certs.pem]
[- 不可信 证书文件.pem]
商品描述
这个 ts 命令是一个基本的时间戳授权 (TSA) 客户端和服务器应用程序
RFC 3161(时间戳协议,TSP)中指定。 TSA 可以是 PKI 部署的一部分
它的作用是在一个特定的数据之前提供长期存在的证据
特定的时间。 以下是该协议的简要说明:
1. TSA 客户端计算数据文件的单向哈希值,并将哈希值发送到
TSA。
2. TSA 将当前日期和时间附加到接收到的哈希值上,对其进行签名并
将时间戳令牌发送回客户端。 通过创建此令牌,TSA
在响应生成时证明原始数据文件的存在。
3. TSA 客户端收到时间戳令牌并验证其上的签名。 它也是
检查令牌是否包含与发送给 TSA 的哈希值相同的哈希值。
定义了一个 DER 编码的协议数据单元来传输时间戳请求
到 TSA 和一个用于将时间戳响应发送回客户端。 这 ts 命令
具有三个主要功能:创建基于数据文件的时间戳请求,创建一个
基于请求的时间戳响应,验证响应是否对应于
特定请求或数据文件。
尚不支持通过 HTTP 或 TCP 自动发送请求/响应
如 RFC 3161 中建议的那样。用户必须通过 ftp 或电子邮件发送请求。
配置
时间 邮票 请求 代
这个 -询问 开关可用于创建和打印时间戳请求
以下选项:
-兰德 文件:文件...
包含用于播种随机数生成器的随机数据的文件。 多种的
可以指定文件,分隔符是 ; 对于 MS-Windows, , 对于 VMS 和 : 支持所有
其他平台。 (可选的)
-config 配置文件
要使用的配置文件,此选项会覆盖 OPENSSL_CONF 环境
多变的。 只有配置文件的 OID 部分与 -询问 命令。
(可选)
-data 文件到哈希
需要为其创建时间戳请求的数据文件。 标准输入是
如果两者都不是,则默认 -data 也不是 -消化 参数被指定。 (可选的)
-消化 摘要_字节
可以在没有数据文件的情况下明确指定消息印记。 这
印记必须以十六进制格式指定,每字节两个字符,字节数
可选地用冒号分隔(例如 1A:F6:01:... 或 1AF601...)。 字节数
必须匹配正在使用的消息摘要算法。 (可选的)
-MD2|-MD4|-MD5|-沙|-sha1|-MDC2|-ripemd160|...
应用于数据文件的消息摘要,它支持所有的消息摘要
openssl 支持的算法 目录 命令。 默认值为 SHA-1。
(可选)
-政策 OBJECT_ID
客户端希望 TSA 用于创建时间戳令牌的策略。
可以使用配置文件中定义的点 OID 符号或 OID 名称。 如果
无需政策,TSA 将使用自己的默认政策。 (可选的)
-no_nonce
如果给出此选项,则请求中不会指定随机数。 否则 64 位长
请求中不包含伪随机 none。 建议使用 nonce
防止重放攻击。 (可选的)
-证书
预计 TSA 将在响应中包含其签名证书。 (可选的)
-在 请求.tsq
此选项指定先前创建的 DER 格式的时间戳请求,该请求将
打印到输出文件中。 当您需要检查一个的内容时很有用
以人类可读的形式请求
格式。 (可选的)
退房手续 请求.tsq
将写入请求的输出文件的名称。 默认为标准输出。
(可选)
-文本
如果指定了此选项,则输出是人类可读的文本格式,而不是 DER。
(可选)
时间 邮票 响应 代
时间戳响应 (TimeStampResp) 由响应状态和时间戳组成
令牌本身 (ContentInfo),如果令牌生成成功。 这 -回复 命令是
用于根据请求创建时间戳响应或时间戳令牌并打印
人类可读格式的响应/令牌。 如果 -token_out 未指定输出是
总是一个时间戳响应(TimeStampResp),否则就是一个时间戳令牌
(内容信息)。
-config 配置文件
要使用的配置文件,此选项会覆盖 OPENSSL_CONF 环境
多变的。 看 配置 文件 配置 用于可配置变量。 (可选的)
-部分 tsa_部分
包含响应设置的配置文件部分的名称
一代。 如果未指定,则使用默认的 TSA 部分,请参阅 配置 文件
配置 详情。 (可选的)
-查询文件 请求.tsq
包含 DER 编码时间戳请求的文件的名称。 (可选的)
-通行证 密码源
指定 TSA 私钥的密码源。 看 PASS 短语
争论 in openssl的(1). (可选的)
-签署人 tsa_cert.pem
PEM 格式的 TSA 签名者证书。 TSA 签名证书必须具有
正是分配给它的一种扩展密钥用法:时间戳。 扩展密钥使用
也必须是关键的,否则证书将被拒绝。 覆盖
签名者证书 配置文件的变量。 (可选的)
-inkey 私人.pem
PEM 格式的 TSA 签名者私钥。 覆盖 签名者密钥 配置文件
选项。 (可选的)
-链 证书文件.pem
将全部包含在响应中的 PEM 格式的证书集合
除了签名者证书,如果 -证书 选项用于请求。
此文件应该包含来自签名者证书的证书链
其发行人向上。 这 -回复 命令不构建证书链
自动地。 (可选的)
-政策 OBJECT_ID
用于响应的默认策略,除非客户端明确要求
特定的 TSA 政策。 OID 可以用点号指定,也可以用它的
姓名。 覆盖 默认策略 配置文件选项。 (可选的)
-在 响应.tsr
指定先前创建的时间戳响应或时间戳标记(如果 -token_in
也指定)以 DER 格式写入输出文件。 这个选项
不需要请求,它很有用,例如当您需要检查内容时
响应或标记,或者您想从响应中提取时间戳标记。 如果
输入是一个令牌,输出是一个时间戳响应默认“授予”
状态信息被添加到令牌中。 (可选的)
-token_in
该标志可以与 -在 选项并指示输入是一个
DER 编码的时间戳令牌 (ContentInfo) 而不是时间戳响应
(TimeStampResp)。 (可选的)
退房手续 响应.tsr
响应写入此文件。 文件的格式和内容取决于
其他选项(见 -文本, -token_out)。 默认为标准输出。 (可选的)
-token_out
输出是时间戳令牌(ContentInfo)而不是时间戳响应
(TimeStampResp)。 (可选的)
-文本
如果指定了此选项,则输出是人类可读的文本格式,而不是 DER。
(可选)
-发动机 id
指定引擎(通过其独特的 id 字符串)将导致 ts 试图获得一个
对指定引擎的功能引用,从而在需要时对其进行初始化。 这
然后引擎将被设置为所有可用算法的默认值。 默认是
内置。 (可选的)
时间 邮票 响应 验证
这个 -核实 命令用于验证时间戳响应或时间戳令牌是否有效
并匹配特定的时间戳请求或数据文件。 这 -核实 命令不使用
配置文件。
-data 文件到哈希
响应或令牌必须根据 file_to_hash 进行验证。 该文件被散列
令牌中指定的消息摘要算法。 这 -消化 和 -查询文件
不得与此选项一起指定选项。 (可选的)
-消化 摘要_字节
响应或令牌必须根据由此指定的消息摘要进行验证
选项。 字节数必须与指定的消息摘要算法相匹配
令牌。 这 -data 和 -查询文件 不得与此选项一起指定选项。
(可选)
-查询文件 请求.tsq
DER 格式的原始时间戳请求。 这 -data 和 -消化 选项不能
与此指定。 (可选的)
-在 响应.tsr
DER格式需要验证的时间戳响应。 (强制的)
-token_in
该标志可以与 -在 选项并指示输入是一个
DER 编码的时间戳令牌 (ContentInfo) 而不是时间戳响应
(TimeStampResp)。 (可选的)
-CA路径 可信证书路径
包含客户端可信 CA 证书的目录名称。 见
类似的选择 确认(1) 了解更多详情。 此选项或 -CA文件 必须
被指定。 (可选的)
-CA文件 可信证书.pem
PEM 中包含一组受信任的自签名 CA 证书的文件的名称
格式。 查看类似的选项 确认(1) 了解更多详情。 无论是这个选项
or -CA路径 必须指定。 (可选的)
- 不可信 证书文件.pem
PEM 格式的一组额外的不受信任的证书,在以下情况下可能需要
为 TSA 的签名证书构建证书链。 这个文件必须
包含 TSA 签名证书和所有中间 CA 证书,除非
回应包括他们。 (可选的)
配置 文件 配置
这个 -询问 和 -回复 命令使用由定义的配置文件
OPENSSL_CONF 环境变量。 看 配置(5) 对语法的一般描述
的配置文件。 这 -询问 命令仅使用符号 OID 名称部分,它可以
没有它的工作。 然而 -回复 命令需要配置文件才能运行。
当存在与变量等效的命令行开关时,该开关始终会覆盖
配置文件中的设置。
TSA 部分, 默认值_tsa
这是主要部分,它指定包含的另一个部分的名称
的所有选项 -回复 命令。 此默认部分可以覆盖
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 -部分 命令行开关。 (可选的)
oid_文件
参见 ca(1) 说明。 (可选的)
oid_section
参见 ca(1) 说明。 (可选的)
兰德文件
参见 ca(1) 说明。 (可选的)
串行
包含上次时间戳的十六进制序号的文件名
已创建响应。 对于每个响应,此数字增加 1。 如果文件没有
响应生成时不存在 创建一个带有序列号的新文件
1.(必填)
加密设备
指定将被设置为所有可用的默认值的 OpenSSL 引擎
算法。 默认值为 builtin,您可以指定任何其他支持的引擎
通过 OpenSSL(例如,将 chil 用于 Ncipher HSM)。 (可选的)
签名者证书
PEM 格式的 TSA 签名证书。 与 -签署人 命令行选项。
(可选)
证书
包含一组 PEM 编码证书的文件,这些证书需要包含在
回复。 与 -链 命令行选项。 (可选的)
签名者密钥
PEM 格式的 TSA 私钥。 与 -inkey 命令行选项。
(可选)
默认策略
当请求不要求任何策略时使用的默认策略。 一样
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 -政策 命令行选项。 (可选的)
其他政策
逗号分隔的政策列表也被 TSA 接受,仅在以下情况下使用
请求明确指定其中之一。 (可选的)
文摘
TSA 接受的消息摘要算法列表。 至少一种算法
必须指定。 (强制的)
TSA 时间源的精度,以秒、毫秒和微秒为单位。
例如秒:1、毫秒:500、微秒:100。 如果任何组件缺少零是
假定为该领域。 (可选的)
时钟精度数字
指定最大位数,代表秒的分数,
需要包含在时间字段中。 尾随零必须从
时间,所以实际上可能会有更少的数字,或者根本没有几分之一秒。
仅在 UNIX 平台上受支持。 最大值为 6,默认为 0。(可选)
订购
如果此选项为 yes,则该 TSA 生成的响应始终可以排序,即使
如果两个响应之间的时间差小于它们的准确度之和。
默认为否。 (可选的)
tsa_名称
如果 TSA 的主题名称必须包含在 TSA 名称中,则将此选项设置为 yes
响应的领域。 默认为否。 (可选的)
ess_cert_id_chain
TSA 创建的 SignedData 对象始终包含以下证书标识符
签名属性中的签名证书(参见 RFC 2634, Enhanced Security
服务)。 如果此选项设置为 yes 并且 证书 变量或 -链
选项被指定,那么链的证书标识符也将是
包含在 SigningCertificate 签名属性中。 如果此变量设置为 no,
仅包含签名证书标识符。 默认为否。 (可选的)
环境 变数
OPENSSL_CONF 包含配置文件的路径,可以被覆盖
-config 命令行选项。
示例
下面的所有例子都假定 OPENSSL_CONF 设置为适当的配置文件,
例如示例配置文件 openssl/apps/openssl.cnf 就可以了。
时间 邮票 请求
使用 SHA-1 为 design1.txt 创建时间戳请求,没有 nonce 和 policy,没有
响应中需要证书:
openssl ts -query -data design1.txt -no_nonce
-out design1.tsq
要创建类似的时间戳请求并明确指定消息印记:
openssl ts -query -digest b7e5d3f93198b38379852f2c04e78d73abdd0f4b
-no_nonce -out design1.tsq
以人类可读的格式打印前一个请求的内容:
openssl ts -query -in design1.tsq -text
要创建包含 design5.txt 的 MD-2 摘要的时间戳请求,请请求
签名者证书和随机数,指定策略 ID(假设 tsa_policy1 名称是
在配置文件的 OID 部分中定义):
openssl ts -query -data design2.txt -md5
-policy tsa_policy1 -cert -out design2.tsq
时间 邮票 响应
在生成响应之前,必须为 TSA 创建签名证书
包含 时间戳 没有任何其他密钥的关键扩展密钥用法扩展
使用扩展。 您可以将“extendedKeyUsage = critical,timeStamping”行添加到
配置文件的用户证书部分以生成正确的证书。 看 REQ(1)
ca(1) x509(1) 说明。 下面的示例假设 cacert.pem 包含
CA的证书,tsacert.pem是cacert.pem颁发的签名证书,
tsakey.pem 是 TSA 的私钥。
要为请求创建时间戳响应:
openssl ts -reply -queryfile design1.tsq -inkey tsakey.pem
-signer tsacert.pem -out design1.tsr
如果你想使用配置文件中的设置,你可以这样写:
openssl ts -reply -queryfile design1.tsq -out design1.tsr
要以人类可读的格式将时间戳回复打印到标准输出:
openssl ts -reply -in design1.tsr -text
要创建时间戳令牌而不是时间戳响应:
openssl ts -reply -queryfile design1.tsq -out design1_token.der -token_out
要以人类可读的格式将时间戳记标记打印到标准输出:
openssl ts -reply -in design1_token.der -token_in -text -token_out
从响应中提取时间戳记号:
openssl ts -reply -in design1.tsr -out design1_token.der -token_out
将“已授予”状态信息添加到时间戳令牌从而创建有效响应:
openssl ts -reply -in design1_token.der -token_in -out design1.tsr
时间 邮票 企业验证
要根据请求验证时间戳回复:
openssl ts -verify -queryfile design1.tsq -in design1.tsr
-CAfile cacert.pem -不受信任的 tsacert.pem
要验证包含证书链的时间戳回复:
openssl ts -verify -queryfile design2.tsq -in design2.tsr
-CA文件cacert.pem
要根据原始数据文件验证时间戳记标记:
openssl ts -verify -data design2.txt -in design2.tsr \ -CAfile cacert.pem
要根据消息印记验证时间戳记标记:
openssl ts -verify -digest b7e5d3f93198b38379852f2c04e78d73abdd0f4b \ -in
design2.tsr -CA文件cacert.pem
您还可以查看“test”目录以获取更多示例。
使用 onworks.net 服务在线使用 tsssl