NOM¶
CA.pl - Interface plus ergonomique pour les programmes de certificats d'OpenSSL
SYNOPSIS¶
CA.pl [
-?] [
-h] [
-help] [
-newcert]
[
-newreq] [
-newreq-nodes] [
-newca] [
-xsign]
[
-sign] [
-signreq] [
-signcert] [
-verify]
[
fichiers]
DESCRIPTION¶
Le script Perl
CA.pl fournit les paramètres à la commande
openssl pour les opérations les plus courantes sur les
certificats. Son but est de simplifier le processus de création et la
gestion de certificats en employant des options simples.
OPTIONS DE LA COMMANDE¶
- ?, -h, -help
- Afficher un descriptif d'utilisation.
- -newcert
- Créer un nouveau certificat autosigné. La clef privée
est écrite dans le fichier
« newkey.pem » et la demande dans le fichier
« newreq.pem ».
- -newreq
- Créer un nouveau certificat. La clef privée est
écrite dans le fichier « newkey.pem »
et la demande dans le fichier
« newreq.pem ».
- -newreq-nodes
- Identique à -newreq, sauf que la clef privée ne sera
pas chiffrée.
- -newca
- Créer une nouvelle hiérarchie d'autorité de
certification à utiliser avec le programme ca (ou les
options -signcert et -xsign). L'utilisateur devra saisir le
nom de fichier des certificats de l'autorité de certification (qui
est censé contenir également la clef privée) ou, en
appuyant sur Entrée, des précisions sur l'autorité de
certification seront demandées. Les fichiers et répertoires
correspondants seront créés dans un son répertoire
nommé « demoCA » dans le
répertoire actuel.
- -pkcs12
- Créer un fichier PKCS#12 contenant le certificat utilisateur, la
clef privée et le certificat de l'autorité de certification.
Le programme s'attend à trouver le certificat utilisateur et la
clef privée dans le fichier
« newcert.pem » et le certificat de
l'autorité de certification dans le fichier demoCA/cacert.pem, puis
crée un fichier « newcert.p12 ». Cette
commande peut ainsi être appelée après l'option
-sign. Le fichier PKCS#12 peut être directement
importé dans un navigateur. Un argument supplémentaire
à la ligne de commande sera le nom courant du certificat (celui
typiquement affiché dans la fenêtre des certificats du
navigateur), sinon le nom par défaut sera « My
Certificate ».
- -sign, -signreq, -xsign
- Appeler le programme ca pour signer une demande de certificat. Il
s'attend à trouver la demande dans le fichier
« newreq.pem ». Le nouveau certificat est
écrit dans le fichier « newcert.pem »
sauf avec l'option -xsign, auquel cas il est envoyé vers la
sortie standard.
- -signCA
- Cette option est identique à -signreq, sauf que la section
v3_ca du fichier de configuration est utilisée, ce qui fait
de la demande signée un certificat d'autorité de
certification valable. C'est utile pour créer des autorités
de certification intermédiaires à partir d'une
autorité de certification racine.
- -signcert
- Identique à -sign à la différence qu'un
certificat autosigné est attendu dans le fichier
« newreq.pem ».
- -verify
- Vérifier le certificat avec le certificat de l'autorité de
certification « demoCA ». Si aucun certificat
n'est indiqué sur la ligne de commande, le fichier
« newcert.pem » est
vérifié.
- fichiers
- Un ou plusieurs noms de fichier de certificat à utiliser avec
l'option -verify.
EXEMPLES¶
Création d'une hiérarchie d'autorité de
certification :
CA.pl -newca
Exemple complet de création d'un certificat : créer une
autorité de certification, créer une demande, signer la demande
et finalement créer un fichier PKCS#12 pour contenir le certificat.
CA.pl -newca
CA.pl -newreq
CA.pl -signreq
CA.pl -pkcs12 "Mon certificat de test"
CERTIFICATS DSA¶
Même si
CA.pl crée des autorités de certification et
demandes au format RSA, il est toujours possible de l'utiliser avec des
certificats et demandes au format DSA en utilisant la commande
req(1)
directement. L'exemple suivant montre les manipulations typiques.
Créer les paramètres DSA :
openssl dsaparam -out dsap.pem 1024
Créer un certificat d'autorité de certification DSA avec sa clef
privée :
openssl req -x509 -newkey dsa:dsap.pem -keyout cacert.pem -out cacert.pem
Créer les fichiers et répertoires de l'autorité de
certification :
CA.pl -newca
Saisir cacert.pem lors de la demande du nom de fichier d'autorité de
certification.
Créer une demande de certificat DSA et sa clef privée (un autre
jeu de paramètres peut être généré
auparavant) :
openssl req -out newreq.pem -newkey dsa:dsap.pem
Signer la demande :
CA.pl -signreq
NOTES¶
La plupart des noms de fichiers cités peuvent être modifiés
en éditant le script
CA.pl.
Si le répertoire demoCA existe déjà, la commande
-newca ne l'écrasera pas et n'effectuera aucune action. Cela
peut arriver lors d'un arrêt inopportun d'un appel
précédent avec l'option
-newca. Pour retrouver le
comportement correct il faut supprimer le répertoire demoCA.
Dans certains environnements, il peut être impossible d'exécuter
le script
CA.pl directement (par exemple sous Win32) et l'emplacement
par défaut du fichier de configuration peut être erroné.
Dans ce cas, la commande :
perl -S CA.pl
peut être lancée (NdT : dans le répertoire où
se trouve le script CA.pl) et la variable d'environnement
OPENSSL_CONF
est modifiée pour indiquer le chemin correct vers le fichier de
configuration « openssl.conf ».
Le script simplifie l'utilisation du programme
openssl aux
débutants. Son comportement n'est pas toujours celui voulu. Pour plus
de contrôle sur le comportement des commandes de certificats, appeler
la commande
openssl directement.
VARIABLES D'ENVIRONNEMENT¶
La variable
OPENSSL_CONF, si elle est définie, permet d'indiquer
l'emplacement d'un fichier de configuration alternatif. Elle doit contenir le
chemin complet avec le nom du fichier, pas seulement son répertoire.
VOIR AUSSI¶
x509(1),
ca(1),
req(1),
pkcs12(1),
config(5)
TRADUCTION¶
Cette page de manuel a été traduite par stolck en 2002 et est
maintenue par la liste <debian-l10n-french AT lists DOT debian DOT org>.
Veuillez signaler toute erreur de traduction par un rapport de bogue sur le
paquet manpages-fr-extra.