Команда cgitsa
При указании команды cgitsa приложение будет работать как сценарий CGI и выдаст
штамп времени TSP.
Команда принимает запрос на штамп времени со стандартного потока ввода программы
и и выдает в стандартный поток вывода созданный штамп времени. Если вывод команды
направлен на консоль, то производится принудительное преобразование вывода в кодировку
Base-64.
Синтаксис
tsputil cgitsa [опции]
tsputil ct [опции]
Параметры
Управление параметрами подписи.
- --cert=FILE, -c FILE
- Позволяет указать имя файла (возможно, включая полный путь), содержащего
сертификат службы штампов времени. По умолчанию, если эта опция не задана, используется
имя "tsa.cer".
- Предупреждение. Эта опция позволит любому сетевому пользователю обратиться
к любому файлу на компьютере, где развернут сценарий CGI. Хотя содержимое файла
по сети не передается, уже само это обращение, является проблемой в системе
безопасности. Использование tsputil в качестве сценария CGI недопустимо в реально
эксплуатирующихся системах и на любых компьютерах, подключенных к не
доверенным сетям (Интернет).
- --alg=ID, -a ID
- Задает идентификатор алгоритма хэширования данных в виде целого числа ALGID,
или в виде идентификатора OID.
Управление состоянием ответа.
- --fail-info=INT
- Позволяет задать целочисленный диагностический код ошибки.
- --status=INT
- Позволяет задать целочисленный код статуса ответа. Сам штамп будет присутствовать
в ответе только при статусах 0 или 1. Значение по умолчанию: 0.
- --status-string=STRING
- Позволяет задать строку статуса ответа. Может содержать более подробную
информацию о причине ошибки.
Управление параметрами штампа.
- --accuracy=microsecond
- Задает точность времени в штампе в микросекундах. По умолчанию – 1000000
микросекунд (1 секунда).
- --cert-req=FLAG
- Перекрывает параметр запроса certreq. Возможные
значения yes или no.
Если указана опция --cert-req=yes, то в штамп будет включен сертификат
службы штампов, даже если в запросе флага certreq не было. Если указана
опция --cert-req=no, то в штамп не будет включен сертификат службы штампов,
даже если в запросе этот флаг присутствовал. Если опция не задана, то включать
или не включать сертификат службы в штамп, будет решаться на основе запроса.
- --nonce=HEX, -n HEX
- Задает значение поля "nonce" в формате: "XX XX
XX XX…XX", где "X" – шестнадцатеричная цифра (1-9, A-F),
а пробелы – необязательны. Если опция не задана, то значение берется из запроса.
- --ordering, -r
- Проставляет флаг "ordering" в штамп.
- --policy[=OID], -p[OID]
- Дает возможность указать идентификатор OID политики штампов, который необходимо
поместить в штамп времени. По умолчанию, если значение этой опция не указано,
используется OID "1.2.3.4.5.6.7.8.9.0".
- Если эта опция не указана, а в запросе на штамп присутствует некоторый идентификатор
политики, используется значение из запроса. Если же в этом случае в запросе
не было задано идентификатора политики, используется значение опции по умолчанию
"1.2.3.4.5.6.7.8.9.0".
- Если же опция задана (даже без указания OID), а в запросе на штамп присутствует
некоторый идентификатор политики, то значение опции перекрывает значение в запросе
и в штамп помещается значение этой опции.
- --serial-number=HEX
- Задает серийный номер в формате: "XX XX XX…XX",
где "X" – шестнадцатеричный знак, а пробелы – необязательны. Если опция не задана,
то серийный номер генерируется автоматически.
- --no_tsa
- Не использовать имя субъекта сертификата как имя службы штампов.
- --time=YYYYMMDDhhmmss[.dddddd]Z
- С помощью этой опции можно задать время штампа в формате
Generalized Time, где YYYY
- годы, MM - месяцы, DD
- дни, hh - часы, mm - минуты,
ss - секунды, dddddd - доли
секунды (до 6-ти знаков, могут отсутствовать вместе с разделительной точкой).
Если эта опция не задана, используется текущее время.
- Примеры: "20041105114530Z", "19940821101532.123Z", "19940821101532.123456Z".
- --cgi
- Эмулировать работу сценария CGI, даже при запуске не из окружения CGI. При
работе в окружении CGI эта опция принудительно включена. Эмуляция заключается
в выводе заголовков HTTP.
- --format=FORMAT
- Определяет формат вывода созданного штампа времени.
- Допустимые значения:
- binary — выдает
штамп
в бинарной кодировке DER;
- base64 — выдает штамп в кодировке
Base-64.
- Значения можно сокращать до 2 символов. По умолчанию, если опция не задана, используется значение
"binary". При работе в окружении CGI, опция принудительно
определяется в "binary". Если стандартный вывод программы
направлен на консоль, опция принудительно определяется в "base64".
- --request=<файл запроса>,
-i <файл запроса>
- Задает имя входного файла, содержащего запрос на штамп времени, вместо стандартного
потока ввода программы.
- Предупреждение. Эта опция позволит любому сетевому пользователю обратиться
к любому файлу на компьютере, где развернут сценарий CGI. Хотя содержимое файла
по сети не передается, уже само это обращение, является проблемой в системе
безопасности. Использование tsputil в качестве сценария CGI недопустимо в реально
эксплуатирующихся системах и на любых компьютерах, подключенных к не
доверенным сетям (Интернет).
Примеры
tsputil ct –с c:\TSPCert.cer