etc/services - sync with NetBSD-8
[minix.git] / crypto / external / bsd / openssl / lib / libcrypto / man / openssl_ts.1
blob3b4e9d898c1c9e57ca8487028efce34faa81fb2c
1 .\"     $NetBSD: openssl_ts.1,v 1.14 2015/06/12 17:01:15 christos Exp $
2 .\"
3 .\" Automatically generated by Pod::Man 2.28 (Pod::Simple 3.28)
4 .\"
5 .\" Standard preamble:
6 .\" ========================================================================
7 .de Sp \" Vertical space (when we can't use .PP)
8 .if t .sp .5v
9 .if n .sp
11 .de Vb \" Begin verbatim text
12 .ft CW
13 .nf
14 .ne \\$1
16 .de Ve \" End verbatim text
17 .ft R
18 .fi
20 .\" Set up some character translations and predefined strings.  \*(-- will
21 .\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left
22 .\" double quote, and \*(R" will give a right double quote.  \*(C+ will
23 .\" give a nicer C++.  Capital omega is used to do unbreakable dashes and
24 .\" therefore won't be available.  \*(C` and \*(C' expand to `' in nroff,
25 .\" nothing in troff, for use with C<>.
26 .tr \(*W-
27 .ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p'
28 .ie n \{\
29 .    ds -- \(*W-
30 .    ds PI pi
31 .    if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch
32 .    if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\"  diablo 12 pitch
33 .    ds L" ""
34 .    ds R" ""
35 .    ds C` ""
36 .    ds C' ""
37 'br\}
38 .el\{\
39 .    ds -- \|\(em\|
40 .    ds PI \(*p
41 .    ds L" ``
42 .    ds R" ''
43 .    ds C`
44 .    ds C'
45 'br\}
46 .\"
47 .\" Escape single quotes in literal strings from groff's Unicode transform.
48 .ie \n(.g .ds Aq \(aq
49 .el       .ds Aq '
50 .\"
51 .\" If the F register is turned on, we'll generate index entries on stderr for
52 .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index
53 .\" entries marked with X<> in POD.  Of course, you'll have to process the
54 .\" output yourself in some meaningful fashion.
55 .\"
56 .\" Avoid warning from groff about undefined register 'F'.
57 .de IX
59 .nr rF 0
60 .if \n(.g .if rF .nr rF 1
61 .if (\n(rF:(\n(.g==0)) \{
62 .    if \nF \{
63 .        de IX
64 .        tm Index:\\$1\t\\n%\t"\\$2"
66 .        if !\nF==2 \{
67 .            nr % 0
68 .            nr F 2
69 .        \}
70 .    \}
71 .\}
72 .rr rF
73 .\"
74 .\" Accent mark definitions (@(#)ms.acc 1.5 88/02/08 SMI; from UCB 4.2).
75 .\" Fear.  Run.  Save yourself.  No user-serviceable parts.
76 .    \" fudge factors for nroff and troff
77 .if n \{\
78 .    ds #H 0
79 .    ds #V .8m
80 .    ds #F .3m
81 .    ds #[ \f1
82 .    ds #] \fP
83 .\}
84 .if t \{\
85 .    ds #H ((1u-(\\\\n(.fu%2u))*.13m)
86 .    ds #V .6m
87 .    ds #F 0
88 .    ds #[ \&
89 .    ds #] \&
90 .\}
91 .    \" simple accents for nroff and troff
92 .if n \{\
93 .    ds ' \&
94 .    ds ` \&
95 .    ds ^ \&
96 .    ds , \&
97 .    ds ~ ~
98 .    ds /
99 .\}
100 .if t \{\
101 .    ds ' \\k:\h'-(\\n(.wu*8/10-\*(#H)'\'\h"|\\n:u"
102 .    ds ` \\k:\h'-(\\n(.wu*8/10-\*(#H)'\`\h'|\\n:u'
103 .    ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'^\h'|\\n:u'
104 .    ds , \\k:\h'-(\\n(.wu*8/10)',\h'|\\n:u'
105 .    ds ~ \\k:\h'-(\\n(.wu-\*(#H-.1m)'~\h'|\\n:u'
106 .    ds / \\k:\h'-(\\n(.wu*8/10-\*(#H)'\z\(sl\h'|\\n:u'
108 .    \" troff and (daisy-wheel) nroff accents
109 .ds : \\k:\h'-(\\n(.wu*8/10-\*(#H+.1m+\*(#F)'\v'-\*(#V'\z.\h'.2m+\*(#F'.\h'|\\n:u'\v'\*(#V'
110 .ds 8 \h'\*(#H'\(*b\h'-\*(#H'
111 .ds o \\k:\h'-(\\n(.wu+\w'\(de'u-\*(#H)/2u'\v'-.3n'\*(#[\z\(de\v'.3n'\h'|\\n:u'\*(#]
112 .ds d- \h'\*(#H'\(pd\h'-\w'~'u'\v'-.25m'\f2\(hy\fP\v'.25m'\h'-\*(#H'
113 .ds D- D\\k:\h'-\w'D'u'\v'-.11m'\z\(hy\v'.11m'\h'|\\n:u'
114 .ds th \*(#[\v'.3m'\s+1I\s-1\v'-.3m'\h'-(\w'I'u*2/3)'\s-1o\s+1\*(#]
115 .ds Th \*(#[\s+2I\s-2\h'-\w'I'u*3/5'\v'-.3m'o\v'.3m'\*(#]
116 .ds ae a\h'-(\w'a'u*4/10)'e
117 .ds Ae A\h'-(\w'A'u*4/10)'E
118 .    \" corrections for vroff
119 .if v .ds ~ \\k:\h'-(\\n(.wu*9/10-\*(#H)'\s-2\u~\d\s+2\h'|\\n:u'
120 .if v .ds ^ \\k:\h'-(\\n(.wu*10/11-\*(#H)'\v'-.4m'^\v'.4m'\h'|\\n:u'
121 .    \" for low resolution devices (crt and lpr)
122 .if \n(.H>23 .if \n(.V>19 \
124 .    ds : e
125 .    ds 8 ss
126 .    ds o a
127 .    ds d- d\h'-1'\(ga
128 .    ds D- D\h'-1'\(hy
129 .    ds th \o'bp'
130 .    ds Th \o'LP'
131 .    ds ae ae
132 .    ds Ae AE
134 .rm #[ #] #H #V #F C
135 .\" ========================================================================
137 .IX Title "TS 1"
138 .TH TS 1 "2014-04-07" "1.0.1n" "OpenSSL"
139 .\" For nroff, turn off justification.  Always turn off hyphenation; it makes
140 .\" way too many mistakes in technical documents.
141 .if n .ad l
143 .SH "NAME"
144 ts \- Time Stamping Authority tool (client/server)
145 .SH "LIBRARY"
146 libcrypto, -lcrypto
147 .SH "SYNOPSIS"
148 .IX Header "SYNOPSIS"
149 \&\fBopenssl\fR \fBts\fR
150 \&\fB\-query\fR
151 [\fB\-rand\fR file:file...]
152 [\fB\-config\fR configfile]
153 [\fB\-data\fR file_to_hash]
154 [\fB\-digest\fR digest_bytes]
155 [\fB\-md2\fR|\fB\-md4\fR|\fB\-md5\fR|\fB\-sha\fR|\fB\-sha1\fR|\fB\-mdc2\fR|\fB\-ripemd160\fR|\fB...\fR]
156 [\fB\-policy\fR object_id]
157 [\fB\-no_nonce\fR]
158 [\fB\-cert\fR]
159 [\fB\-in\fR request.tsq]
160 [\fB\-out\fR request.tsq]
161 [\fB\-text\fR]
163 \&\fBopenssl\fR \fBts\fR
164 \&\fB\-reply\fR
165 [\fB\-config\fR configfile]
166 [\fB\-section\fR tsa_section]
167 [\fB\-queryfile\fR request.tsq]
168 [\fB\-passin\fR password_src]
169 [\fB\-signer\fR tsa_cert.pem]
170 [\fB\-inkey\fR private.pem]
171 [\fB\-chain\fR certs_file.pem]
172 [\fB\-policy\fR object_id]
173 [\fB\-in\fR response.tsr]
174 [\fB\-token_in\fR]
175 [\fB\-out\fR response.tsr]
176 [\fB\-token_out\fR]
177 [\fB\-text\fR]
178 [\fB\-engine\fR id]
180 \&\fBopenssl\fR \fBts\fR
181 \&\fB\-verify\fR
182 [\fB\-data\fR file_to_hash]
183 [\fB\-digest\fR digest_bytes]
184 [\fB\-queryfile\fR request.tsq]
185 [\fB\-in\fR response.tsr]
186 [\fB\-token_in\fR]
187 [\fB\-CApath\fR trusted_cert_path]
188 [\fB\-CAfile\fR trusted_certs.pem]
189 [\fB\-untrusted\fR cert_file.pem]
190 .SH "DESCRIPTION"
191 .IX Header "DESCRIPTION"
192 The \fBts\fR command is a basic Time Stamping Authority (\s-1TSA\s0) client and server
193 application as specified in \s-1RFC 3161 \s0(Time-Stamp Protocol, \s-1TSP\s0). A
194 \&\s-1TSA\s0 can be part of a \s-1PKI\s0 deployment and its role is to provide long
195 term proof of the existence of a certain datum before a particular
196 time. Here is a brief description of the protocol:
197 .IP "1." 4
198 The \s-1TSA\s0 client computes a one-way hash value for a data file and sends
199 the hash to the \s-1TSA.\s0
200 .IP "2." 4
201 The \s-1TSA\s0 attaches the current date and time to the received hash value,
202 signs them and sends the time stamp token back to the client. By
203 creating this token the \s-1TSA\s0 certifies the existence of the original
204 data file at the time of response generation.
205 .IP "3." 4
206 The \s-1TSA\s0 client receives the time stamp token and verifies the
207 signature on it. It also checks if the token contains the same hash
208 value that it had sent to the \s-1TSA.\s0
210 There is one \s-1DER\s0 encoded protocol data unit defined for transporting a time
211 stamp request to the \s-1TSA\s0 and one for sending the time stamp response
212 back to the client. The \fBts\fR command has three main functions:
213 creating a time stamp request based on a data file,
214 creating a time stamp response based on a request, verifying if a
215 response corresponds to a particular request or a data file.
217 There is no support for sending the requests/responses automatically
218 over \s-1HTTP\s0 or \s-1TCP\s0 yet as suggested in \s-1RFC 3161.\s0 The users must send the
219 requests either by ftp or e\-mail.
220 .SH "OPTIONS"
221 .IX Header "OPTIONS"
222 .SS "Time Stamp Request generation"
223 .IX Subsection "Time Stamp Request generation"
224 The \fB\-query\fR switch can be used for creating and printing a time stamp
225 request with the following options:
226 .IP "\fB\-rand\fR file:file..." 4
227 .IX Item "-rand file:file..."
228 The files containing random data for seeding the random number
229 generator. Multiple files can be specified, the separator is \fB;\fR for
230 MS-Windows, \fB,\fR for \s-1VMS\s0 and \fB:\fR for all other platforms. (Optional)
231 .IP "\fB\-config\fR configfile" 4
232 .IX Item "-config configfile"
233 The configuration file to use, this option overrides the
234 \&\fB\s-1OPENSSL_CONF\s0\fR environment variable. Only the \s-1OID\s0 section
235 of the config file is used with the \fB\-query\fR command. (Optional)
236 .IP "\fB\-data\fR file_to_hash" 4
237 .IX Item "-data file_to_hash"
238 The data file for which the time stamp request needs to be
239 created. stdin is the default if neither the \fB\-data\fR nor the \fB\-digest\fR
240 parameter is specified. (Optional)
241 .IP "\fB\-digest\fR digest_bytes" 4
242 .IX Item "-digest digest_bytes"
243 It is possible to specify the message imprint explicitly without the data
244 file. The imprint must be specified in a hexadecimal format, two characters
245 per byte, the bytes optionally separated by colons (e.g. 1A:F6:01:... or
246 1AF601...). The number of bytes must match the message digest algorithm
247 in use. (Optional)
248 .IP "\fB\-md2\fR|\fB\-md4\fR|\fB\-md5\fR|\fB\-sha\fR|\fB\-sha1\fR|\fB\-mdc2\fR|\fB\-ripemd160\fR|\fB...\fR" 4
249 .IX Item "-md2|-md4|-md5|-sha|-sha1|-mdc2|-ripemd160|..."
250 The message digest to apply to the data file, it supports all the message
251 digest algorithms that are supported by the openssl \fBdgst\fR command.
252 The default is \s-1SHA\-1. \s0(Optional)
253 .IP "\fB\-policy\fR object_id" 4
254 .IX Item "-policy object_id"
255 The policy that the client expects the \s-1TSA\s0 to use for creating the
256 time stamp token. Either the dotted \s-1OID\s0 notation or \s-1OID\s0 names defined
257 in the config file can be used. If no policy is requested the \s-1TSA\s0 will
258 use its own default policy. (Optional)
259 .IP "\fB\-no_nonce\fR" 4
260 .IX Item "-no_nonce"
261 No nonce is specified in the request if this option is
262 given. Otherwise a 64 bit long pseudo-random none is
263 included in the request. It is recommended to use nonce to
264 protect against replay-attacks. (Optional)
265 .IP "\fB\-cert\fR" 4
266 .IX Item "-cert"
267 The \s-1TSA\s0 is expected to include its signing certificate in the
268 response. (Optional)
269 .IP "\fB\-in\fR request.tsq" 4
270 .IX Item "-in request.tsq"
271 This option specifies a previously created time stamp request in \s-1DER\s0
272 format that will be printed into the output file. Useful when you need
273 to examine the content of a request in human-readable
275 format. (Optional)
276 .IP "\fB\-out\fR request.tsq" 4
277 .IX Item "-out request.tsq"
278 Name of the output file to which the request will be written. Default
279 is stdout. (Optional)
280 .IP "\fB\-text\fR" 4
281 .IX Item "-text"
282 If this option is specified the output is human-readable text format
283 instead of \s-1DER. \s0(Optional)
284 .SS "Time Stamp Response generation"
285 .IX Subsection "Time Stamp Response generation"
286 A time stamp response (TimeStampResp) consists of a response status
287 and the time stamp token itself (ContentInfo), if the token generation was
288 successful. The \fB\-reply\fR command is for creating a time stamp
289 response or time stamp token based on a request and printing the
290 response/token in human-readable format. If \fB\-token_out\fR is not
291 specified the output is always a time stamp response (TimeStampResp),
292 otherwise it is a time stamp token (ContentInfo).
293 .IP "\fB\-config\fR configfile" 4
294 .IX Item "-config configfile"
295 The configuration file to use, this option overrides the
296 \&\fB\s-1OPENSSL_CONF\s0\fR environment variable. See \fB\s-1CONFIGURATION FILE
297 OPTIONS\s0\fR for configurable variables. (Optional)
298 .IP "\fB\-section\fR tsa_section" 4
299 .IX Item "-section tsa_section"
300 The name of the config file section conatining the settings for the
301 response generation. If not specified the default \s-1TSA\s0 section is
302 used, see \fB\s-1CONFIGURATION FILE OPTIONS\s0\fR for details. (Optional)
303 .IP "\fB\-queryfile\fR request.tsq" 4
304 .IX Item "-queryfile request.tsq"
305 The name of the file containing a \s-1DER\s0 encoded time stamp request. (Optional)
306 .IP "\fB\-passin\fR password_src" 4
307 .IX Item "-passin password_src"
308 Specifies the password source for the private key of the \s-1TSA.\s0 See
309 \&\fB\s-1PASS PHRASE ARGUMENTS\s0\fR in \fIopenssl\fR\|(1). (Optional)
310 .IP "\fB\-signer\fR tsa_cert.pem" 4
311 .IX Item "-signer tsa_cert.pem"
312 The signer certificate of the \s-1TSA\s0 in \s-1PEM\s0 format. The \s-1TSA\s0 signing
313 certificate must have exactly one extended key usage assigned to it:
314 timeStamping. The extended key usage must also be critical, otherwise
315 the certificate is going to be refused. Overrides the \fBsigner_cert\fR
316 variable of the config file. (Optional)
317 .IP "\fB\-inkey\fR private.pem" 4
318 .IX Item "-inkey private.pem"
319 The signer private key of the \s-1TSA\s0 in \s-1PEM\s0 format. Overrides the
320 \&\fBsigner_key\fR config file option. (Optional)
321 .IP "\fB\-chain\fR certs_file.pem" 4
322 .IX Item "-chain certs_file.pem"
323 The collection of certificates in \s-1PEM\s0 format that will all
324 be included in the response in addition to the signer certificate if
325 the \fB\-cert\fR option was used for the request. This file is supposed to
326 contain the certificate chain for the signer certificate from its
327 issuer upwards. The \fB\-reply\fR command does not build a certificate
328 chain automatically. (Optional)
329 .IP "\fB\-policy\fR object_id" 4
330 .IX Item "-policy object_id"
331 The default policy to use for the response unless the client
332 explicitly requires a particular \s-1TSA\s0 policy. The \s-1OID\s0 can be specified
333 either in dotted notation or with its name. Overrides the
334 \&\fBdefault_policy\fR config file option. (Optional)
335 .IP "\fB\-in\fR response.tsr" 4
336 .IX Item "-in response.tsr"
337 Specifies a previously created time stamp response or time stamp token
338 (if \fB\-token_in\fR is also specified) in \s-1DER\s0 format that will be written
339 to the output file. This option does not require a request, it is
340 useful e.g. when you need to examine the content of a response or
341 token or you want to extract the time stamp token from a response. If
342 the input is a token and the output is a time stamp response a default
343 \&'granted' status info is added to the token. (Optional)
344 .IP "\fB\-token_in\fR" 4
345 .IX Item "-token_in"
346 This flag can be used together with the \fB\-in\fR option and indicates
347 that the input is a \s-1DER\s0 encoded time stamp token (ContentInfo) instead
348 of a time stamp response (TimeStampResp). (Optional)
349 .IP "\fB\-out\fR response.tsr" 4
350 .IX Item "-out response.tsr"
351 The response is written to this file. The format and content of the
352 file depends on other options (see \fB\-text\fR, \fB\-token_out\fR). The default is
353 stdout. (Optional)
354 .IP "\fB\-token_out\fR" 4
355 .IX Item "-token_out"
356 The output is a time stamp token (ContentInfo) instead of time stamp
357 response (TimeStampResp). (Optional)
358 .IP "\fB\-text\fR" 4
359 .IX Item "-text"
360 If this option is specified the output is human-readable text format
361 instead of \s-1DER. \s0(Optional)
362 .IP "\fB\-engine\fR id" 4
363 .IX Item "-engine id"
364 Specifying an engine (by its unique \fBid\fR string) will cause \fBts\fR
365 to attempt to obtain a functional reference to the specified engine,
366 thus initialising it if needed. The engine will then be set as the default
367 for all available algorithms. Default is builtin. (Optional)
368 .SS "Time Stamp Response verification"
369 .IX Subsection "Time Stamp Response verification"
370 The \fB\-verify\fR command is for verifying if a time stamp response or time
371 stamp token is valid and matches a particular time stamp request or
372 data file. The \fB\-verify\fR command does not use the configuration file.
373 .IP "\fB\-data\fR file_to_hash" 4
374 .IX Item "-data file_to_hash"
375 The response or token must be verified against file_to_hash. The file
376 is hashed with the message digest algorithm specified in the token.
377 The \fB\-digest\fR and \fB\-queryfile\fR options must not be specified with this one.
378 (Optional)
379 .IP "\fB\-digest\fR digest_bytes" 4
380 .IX Item "-digest digest_bytes"
381 The response or token must be verified against the message digest specified
382 with this option. The number of bytes must match the message digest algorithm
383 specified in the token. The \fB\-data\fR and \fB\-queryfile\fR options must not be
384 specified with this one. (Optional)
385 .IP "\fB\-queryfile\fR request.tsq" 4
386 .IX Item "-queryfile request.tsq"
387 The original time stamp request in \s-1DER\s0 format. The \fB\-data\fR and \fB\-digest\fR
388 options must not be specified with this one. (Optional)
389 .IP "\fB\-in\fR response.tsr" 4
390 .IX Item "-in response.tsr"
391 The time stamp response that needs to be verified in \s-1DER\s0 format. (Mandatory)
392 .IP "\fB\-token_in\fR" 4
393 .IX Item "-token_in"
394 This flag can be used together with the \fB\-in\fR option and indicates
395 that the input is a \s-1DER\s0 encoded time stamp token (ContentInfo) instead
396 of a time stamp response (TimeStampResp). (Optional)
397 .IP "\fB\-CApath\fR trusted_cert_path" 4
398 .IX Item "-CApath trusted_cert_path"
399 The name of the directory containing the trused \s-1CA\s0 certificates of the
400 client. See the similar option of \fIopenssl_verify\fR\|(1) for additional
401 details. Either this option or \fB\-CAfile\fR must be specified. (Optional)
402 .IP "\fB\-CAfile\fR trusted_certs.pem" 4
403 .IX Item "-CAfile trusted_certs.pem"
404 The name of the file containing a set of trusted self-signed \s-1CA \s0
405 certificates in \s-1PEM\s0 format. See the similar option of
406 \&\fIopenssl_verify\fR\|(1) for additional details. Either this option
407 or \fB\-CApath\fR must be specified.
408 (Optional)
409 .IP "\fB\-untrusted\fR cert_file.pem" 4
410 .IX Item "-untrusted cert_file.pem"
411 Set of additional untrusted certificates in \s-1PEM\s0 format which may be
412 needed when building the certificate chain for the \s-1TSA\s0's signing
413 certificate. This file must contain the \s-1TSA\s0 signing certificate and
414 all intermediate \s-1CA\s0 certificates unless the response includes them.
415 (Optional)
416 .SH "CONFIGURATION FILE OPTIONS"
417 .IX Header "CONFIGURATION FILE OPTIONS"
418 The \fB\-query\fR and \fB\-reply\fR commands make use of a configuration file
419 defined by the \fB\s-1OPENSSL_CONF\s0\fR environment variable. See \fIopenssl.cnf\fR\|(5)
420 for a general description of the syntax of the config file. The
421 \&\fB\-query\fR command uses only the symbolic \s-1OID\s0 names section
422 and it can work without it. However, the \fB\-reply\fR command needs the
423 config file for its operation.
425 When there is a command line switch equivalent of a variable the
426 switch always overrides the settings in the config file.
427 .IP "\fBtsa\fR section, \fBdefault_tsa\fR" 4
428 .IX Item "tsa section, default_tsa"
429 This is the main section and it specifies the name of another section
430 that contains all the options for the \fB\-reply\fR command. This default
431 section can be overridden with the \fB\-section\fR command line switch. (Optional)
432 .IP "\fBoid_file\fR" 4
433 .IX Item "oid_file"
434 See \fIopenssl_ca\fR\|(1) for description. (Optional)
435 .IP "\fBoid_section\fR" 4
436 .IX Item "oid_section"
437 See \fIopenssl_ca\fR\|(1) for description. (Optional)
438 .IP "\fB\s-1RANDFILE\s0\fR" 4
439 .IX Item "RANDFILE"
440 See \fIopenssl_ca\fR\|(1) for description. (Optional)
441 .IP "\fBserial\fR" 4
442 .IX Item "serial"
443 The name of the file containing the hexadecimal serial number of the
444 last time stamp response created. This number is incremented by 1 for
445 each response. If the file does not exist at the time of response
446 generation a new file is created with serial number 1. (Mandatory)
447 .IP "\fBcrypto_device\fR" 4
448 .IX Item "crypto_device"
449 Specifies the OpenSSL engine that will be set as the default for
450 all available algorithms. The default value is builtin, you can specify
451 any other engines supported by OpenSSL (e.g. use chil for the NCipher \s-1HSM\s0).
452 (Optional)
453 .IP "\fBsigner_cert\fR" 4
454 .IX Item "signer_cert"
455 \&\s-1TSA\s0 signing certificate in \s-1PEM\s0 format. The same as the \fB\-signer\fR
456 command line option. (Optional)
457 .IP "\fBcerts\fR" 4
458 .IX Item "certs"
459 A file containing a set of \s-1PEM\s0 encoded certificates that need to be
460 included in the response. The same as the \fB\-chain\fR command line
461 option. (Optional)
462 .IP "\fBsigner_key\fR" 4
463 .IX Item "signer_key"
464 The private key of the \s-1TSA\s0 in \s-1PEM\s0 format. The same as the \fB\-inkey\fR
465 command line option. (Optional)
466 .IP "\fBdefault_policy\fR" 4
467 .IX Item "default_policy"
468 The default policy to use when the request does not mandate any
469 policy. The same as the \fB\-policy\fR command line option. (Optional)
470 .IP "\fBother_policies\fR" 4
471 .IX Item "other_policies"
472 Comma separated list of policies that are also acceptable by the \s-1TSA\s0
473 and used only if the request explicitly specifies one of them. (Optional)
474 .IP "\fBdigests\fR" 4
475 .IX Item "digests"
476 The list of message digest algorithms that the \s-1TSA\s0 accepts. At least
477 one algorithm must be specified. (Mandatory)
478 .IP "\fBaccuracy\fR" 4
479 .IX Item "accuracy"
480 The accuracy of the time source of the \s-1TSA\s0 in seconds, milliseconds
481 and microseconds. E.g. secs:1, millisecs:500, microsecs:100. If any of
482 the components is missing zero is assumed for that field. (Optional)
483 .IP "\fBclock_precision_digits\fR" 4
484 .IX Item "clock_precision_digits"
485 Specifies the maximum number of digits, which represent the fraction of
486 seconds, that  need to be included in the time field. The trailing zeroes
487 must be removed from the time, so there might actually be fewer digits,
488 or no fraction of seconds at all. Supported only on \s-1UNIX\s0 platforms.
489 The maximum value is 6, default is 0.
490 (Optional)
491 .IP "\fBordering\fR" 4
492 .IX Item "ordering"
493 If this option is yes the responses generated by this \s-1TSA\s0 can always
494 be ordered, even if the time difference between two responses is less
495 than the sum of their accuracies. Default is no. (Optional)
496 .IP "\fBtsa_name\fR" 4
497 .IX Item "tsa_name"
498 Set this option to yes if the subject name of the \s-1TSA\s0 must be included in
499 the \s-1TSA\s0 name field of the response. Default is no. (Optional)
500 .IP "\fBess_cert_id_chain\fR" 4
501 .IX Item "ess_cert_id_chain"
502 The SignedData objects created by the \s-1TSA\s0 always contain the
503 certificate identifier of the signing certificate in a signed
504 attribute (see \s-1RFC 2634,\s0 Enhanced Security Services). If this option
505 is set to yes and either the \fBcerts\fR variable or the \fB\-chain\fR option
506 is specified then the certificate identifiers of the chain will also
507 be included in the SigningCertificate signed attribute. If this
508 variable is set to no, only the signing certificate identifier is
509 included. Default is no. (Optional)
510 .SH "ENVIRONMENT VARIABLES"
511 .IX Header "ENVIRONMENT VARIABLES"
512 \&\fB\s-1OPENSSL_CONF\s0\fR contains the path of the configuration file and can be
513 overridden by the \fB\-config\fR command line option.
514 .SH "EXAMPLES"
515 .IX Header "EXAMPLES"
516 All the examples below presume that \fB\s-1OPENSSL_CONF\s0\fR is set to a proper
517 configuration file, e.g. the example configuration file
518 openssl/apps/openssl.cnf will do.
519 .SS "Time Stamp Request"
520 .IX Subsection "Time Stamp Request"
521 To create a time stamp request for design1.txt with \s-1SHA\-1 \s0
522 without nonce and policy and no certificate is required in the response:
524 .Vb 2
525 \&  openssl ts \-query \-data design1.txt \-no_nonce \e
526 \&        \-out design1.tsq
529 To create a similar time stamp request with specifying the message imprint
530 explicitly:
532 .Vb 2
533 \&  openssl ts \-query \-digest b7e5d3f93198b38379852f2c04e78d73abdd0f4b \e
534 \&         \-no_nonce \-out design1.tsq
537 To print the content of the previous request in human readable format:
539 .Vb 1
540 \&  openssl ts \-query \-in design1.tsq \-text
543 To create a time stamp request which includes the \s-1MD\-5\s0 digest
544 of design2.txt, requests the signer certificate and nonce,
545 specifies a policy id (assuming the tsa_policy1 name is defined in the
546 \&\s-1OID\s0 section of the config file):
548 .Vb 2
549 \&  openssl ts \-query \-data design2.txt \-md5 \e
550 \&        \-policy tsa_policy1 \-cert \-out design2.tsq
552 .SS "Time Stamp Response"
553 .IX Subsection "Time Stamp Response"
554 Before generating a response a signing certificate must be created for
555 the \s-1TSA\s0 that contains the \fBtimeStamping\fR critical extended key usage extension
556 without any other key usage extensions. You can add the
557 \&'extendedKeyUsage = critical,timeStamping' line to the user certificate section
558 of the config file to generate a proper certificate. See \fIopenssl_req\fR\|(1),
559 \&\fIopenssl_ca\fR\|(1), \fIopenssl_x509\fR\|(1) for instructions. The examples
560 below assume that cacert.pem contains the certificate of the \s-1CA,\s0
561 tsacert.pem is the signing certificate issued by cacert.pem and
562 tsakey.pem is the private key of the \s-1TSA.\s0
564 To create a time stamp response for a request:
566 .Vb 2
567 \&  openssl ts \-reply \-queryfile design1.tsq \-inkey tsakey.pem \e
568 \&        \-signer tsacert.pem \-out design1.tsr
571 If you want to use the settings in the config file you could just write:
573 .Vb 1
574 \&  openssl ts \-reply \-queryfile design1.tsq \-out design1.tsr
577 To print a time stamp reply to stdout in human readable format:
579 .Vb 1
580 \&  openssl ts \-reply \-in design1.tsr \-text
583 To create a time stamp token instead of time stamp response:
585 .Vb 1
586 \&  openssl ts \-reply \-queryfile design1.tsq \-out design1_token.der \-token_out
589 To print a time stamp token to stdout in human readable format:
591 .Vb 1
592 \&  openssl ts \-reply \-in design1_token.der \-token_in \-text \-token_out
595 To extract the time stamp token from a response:
597 .Vb 1
598 \&  openssl ts \-reply \-in design1.tsr \-out design1_token.der \-token_out
601 To add 'granted' status info to a time stamp token thereby creating a
602 valid response:
604 .Vb 1
605 \&  openssl ts \-reply \-in design1_token.der \-token_in \-out design1.tsr
607 .SS "Time Stamp Verification"
608 .IX Subsection "Time Stamp Verification"
609 To verify a time stamp reply against a request:
611 .Vb 2
612 \&  openssl ts \-verify \-queryfile design1.tsq \-in design1.tsr \e
613 \&        \-CAfile cacert.pem \-untrusted tsacert.pem
616 To verify a time stamp reply that includes the certificate chain:
618 .Vb 2
619 \&  openssl ts \-verify \-queryfile design2.tsq \-in design2.tsr \e
620 \&        \-CAfile cacert.pem
623 To verify a time stamp token against the original data file:
624   openssl ts \-verify \-data design2.txt \-in design2.tsr \e
625         \-CAfile cacert.pem
627 To verify a time stamp token against a message imprint:
628   openssl ts \-verify \-digest b7e5d3f93198b38379852f2c04e78d73abdd0f4b \e
629          \-in design2.tsr \-CAfile cacert.pem
631 You could also look at the 'test' directory for more examples.
632 .SH "BUGS"
633 .IX Header "BUGS"
634 If you find any bugs or you have suggestions please write to
635 Zoltan Glozik <zglozik@opentsa.org>. Known issues:
636 .IP "\(bu" 4
637 No support for time stamps over \s-1SMTP,\s0 though it is quite easy
638 to implement an automatic e\-mail based \s-1TSA\s0 with \fIprocmail\fR\|(1)
639 and \fIperl\fR\|(1). \s-1HTTP\s0 server support is provided in the form of
640 a separate apache module. \s-1HTTP\s0 client support is provided by
641 \&\fItsget\fR\|(1). Pure \s-1TCP/IP\s0 protocol is not supported.
642 .IP "\(bu" 4
643 The file containing the last serial number of the \s-1TSA\s0 is not
644 locked when being read or written. This is a problem if more than one
645 instance of \fIopenssl\fR\|(1) is trying to create a time stamp
646 response at the same time. This is not an issue when using the apache
647 server module, it does proper locking.
648 .IP "\(bu" 4
649 Look for the \s-1FIXME\s0 word in the source files.
650 .IP "\(bu" 4
651 The source code should really be reviewed by somebody else, too.
652 .IP "\(bu" 4
653 More testing is needed, I have done only some basic tests (see
654 test/testtsa).
655 .SH "AUTHOR"
656 .IX Header "AUTHOR"
657 Zoltan Glozik <zglozik@opentsa.org>, OpenTSA project (http://www.opentsa.org)
658 .SH "SEE ALSO"
659 .IX Header "SEE ALSO"
660 \&\fItsget\fR\|(1), \fIopenssl\fR\|(1), \fIopenssl_req\fR\|(1),
661 \&\fIopenssl_x509\fR\|(1), \fIopenssl_ca\fR\|(1), \fIopenssl_genrsa\fR\|(1),
662 \&\fIopenssl.cnf\fR\|(5)