NOM¶
X509_VERIFY_PARAM_set_flags, X509_VERIFY_PARAM_clear_flags,
X509_VERIFY_PARAM_get_flags, X509_VERIFY_PARAM_set_purpose,
X509_VERIFY_PARAM_set_trust, X509_VERIFY_PARAM_set_depth,
X509_VERIFY_PARAM_get_depth, X509_VERIFY_PARAM_set_time,
X509_VERIFY_PARAM_add0_policy, X509_VERIFY_PARAM_set1_policies -
Paramètres de vérifications X509
SYNOPSIS¶
#include <openssl/x509_vfy.h>
B<int X509_VERIFY_PARAM_set_flags(X509_VERIFY_PARAM *>I<param>B<, unsigned long> I<drapeaux>B<);>
B<int X509_VERIFY_PARAM_clear_flags(X509_VERIFY_PARAM *>I<param>B<,>
B<unsigned long> I<drapeaux>B<);>
B<unsigned long X509_VERIFY_PARAM_get_flags(X509_VERIFY_PARAM *>I<param>B<);>
B<int X509_VERIFY_PARAM_set_purpose(X509_VERIFY_PARAM *>I<param>B<, int> I<but>B<);>
B<int X509_VERIFY_PARAM_set_trust(X509_VERIFY_PARAM *>I<param>B<, int> I<confiance>B<);>
B<void X509_VERIFY_PARAM_set_time(X509_VERIFY_PARAM *>I<param>B<, time_t> I<t>B<);>
B<int X509_VERIFY_PARAM_add0_policy(X509_VERIFY_PARAM *>I<param>B<,>
B<ASN1_OBJECT *>I<politique>B<);>
B<int X509_VERIFY_PARAM_set1_policies(X509_VERIFY_PARAM *>I<param>B<,>
B<STACK_OF(ASN1_OBJECT) *>I<politiques>B<);>
B<void X509_VERIFY_PARAM_set_depth(X509_VERIFY_PARAM *>I<param>B<, int> I<profondeur>B<);>
B<int X509_VERIFY_PARAM_get_depth(const X509_VERIFY_PARAM *>I<param>B<);>
DESCRIPTION¶
Ces fonctions manipulent la structure
X509_VERIFY_PARAM associée
à une opération de vérification du certificat.
La fonction
X509_VERIFY_PARAM_set_flags() définit les drapeaux de
param en les comparant par OU logique avec
drapeaux. Voir la
section
DRAPEAUX DE VÉRIFICATION pour une description
complète des valeurs que le paramètre
drapeaux peut
prendre.
X509_VERIFY_PARAM_get_flags() renvoie les drapeaux dans
param.
X509_VERIFY_PARAM_clear_flags() efface les drapeaux
drapeaux dans
param.
X509_VERIFY_PARAM_set_purpose() fixe l'objectif de vérification de
param à
but. Cela détermine le but acceptable de
la chaîne de certificats, par exemple pour un client ou un serveur SSL.
X509_VERIFY_PARAM_set_trust() définit le paramètre de
confiance de
param à
confiance.
X509_VERIFY_PARAM_set_time() fixe le moment de vérification de
param à
t. Normalement, l'heure actuelle est
utilisée.
X509_VERIFY_PARAM_add0_policy() permet le contrôle de la politique
(elle est désactivée par défaut) et ajoute
politique à l'ensemble des politiques acceptables.
X509_VERIFY_PARAM_set1_policies() permet la vérification de
politique (elle est désactivée par défaut) et
définit l'ensemble des politiques à
politiques. Toutes
les politiques existantes sont effacées. Le paramètre
politiques peut être NULL pour effacer un ensemble de
règles existant.
X509_VERIFY_PARAM_set_depth() définit la profondeur de
vérification maximum à
profondeur. C'est le nombre
maximal de certificats de CA non fiables qui peuvent apparaître dans
une chaîne.
VALEURS DE RETOUR¶
X509_VERIFY_PARAM_set_flags(),
X509_VERIFY_PARAM_clear_flags(),
X509_VERIFY_PARAM_set_purpose(),
X509_VERIFY_PARAM_set_trust(),
X509_VERIFY_PARAM_add0_policy() et
X509_VERIFY_PARAM_set1_policies() renvoient 1 en cas de succès
et 0 en cas d'échec.
X509_VERIFY_PARAM_get_flags() renvoie les drapeaux de vérification
actuels.
X509_VERIFY_PARAM_set_time() et
X509_VERIFY_PARAM_set_depth() ne
renvoient pas de valeurs.
X509_VERIFY_PARAM_get_depth() renvoie la profondeur de
vérification en cours.
DRAPEAUX DE VÉRIFICATION¶
Les drapeaux de vérification se composent de zéro ou plusieurs des
drapeaux disjonctifs (chaînage OU logique).
X509_V_FLAG_CRL_CHECK permet la vérification de la CRL pour la
chaîne de certificats terminale. Une erreur se produit si une CRL
appropriée ne peut être trouvée.
X509_V_FLAG_CRL_CHECK_ALL permet la vérification de la CRL pour
l'ensemble de la chaîne de certificats.
X509_V_FLAG_IGNORE_CRITICAL désactive le contrôle
d'extension critique. Par défaut, des extensions critiques non prises
en charge dans les certificats ou les CRL (si vérifiées)
conduisent à une erreur fatale. Si ce drapeau est activé, les
extensions critiques non prises en charge sont ignorées.
AVERTISSEMENT : paramétrer cette option pour autre chose
que pour le débogage peut être un risque de
sécurité. Un contrôle plus fin des extensions prises en
charge peut être réalisé dans le rappel de
vérification.
Le drapeau
X509_V_FLAG_X509_STRICT désactive les contournements
pour les certificats cassés et impose à la vérification
d'appliquer strictement les règles
X509.
X509_V_FLAG_ALLOW_PROXY_CERTS permet la vérification du certificat
proxy.
X509_V_FLAG_POLICY_CHECK permet la vérification de politique de
certificat, par défaut aucun contrôle de la politique n'est
réalisé. Des informations supplémentaires sont
envoyées au rappel de vérification relatif au contrôle
des politiques.
X509_V_FLAG_EXPLICIT_POLICY,
X509_V_FLAG_INHIBIT_ANY et
X509_V_FLAG_INHIBIT_MAP activent respectivement les drapeaux
require explicit policy,
inhibit any policy et
inhibit
policy mapping, tels que définis dans la RFC3280. Le
contrôle de la politique est automatiquement activé si l'un de
ces drapeaux est activé.
Si
X509_V_FLAG_NOTIFY_POLICY est activé et le contrôle de
la politique est un succès, un code d'état spécifique est
activé sur la fonction de rappel de vérification. Cela lui
permet d'examiner l'arbre de politique valable et d'effectuer des
contrôles supplémentaires, ou tout simplement l'enregistrer
à des fins de débogage.
Par défaut, certaines fonctionnalités supplémentaires
telles que les CRL indirectes et les CRL signées par différentes
clés sont désactivées. Si
X509_V_FLAG_EXTENDED_CRL_SUPPORT est activé, elles sont
activées.
Si
X509_V_FLAG_USE_DELTAS est activé, les deltas de CRL (le cas
échéant) sont utilisés pour déterminer le statut
du certificat. Sinon, les deltas sont ignorés.
B <X509_V_FLAG_CHECK_SS_SIGNATURE> permet un contrôle de la
signature du certificat autosigné de la CA racine. Par défaut,
cette vérification est désactivée car elle n'ajoute pas
de sécurité supplémentaire, mais dans certains cas, les
applications pourraient vouloir vérifier la signature de toute
façon. Un effet secondaire de l'absence de vérification de la
signature de la CA racine est que les algorithmes de message non pris en
charge ou désactivés de la CA racine ne sont pas traités
comme des erreurs fatales.
Le drapeau
X509_V_FLAG_CB_ISSUER_CHECK permet le débogage du
contrôle de certificat de l'émetteur. Il n'est
pas
nécessaire à moins que vous n'enregistriez la
vérification du certificat. Si cette option est activée, des
codes d'état supplémentaires seront envoyés au rappel de
vérification qui
doit être prêt à traiter
de tels cas sans supposer que ce sont des erreurs.
NOTES¶
Les fonctions ci-dessus doivent être utilisées pour manipuler les
paramètres de vérification au lieu des fonctions traditionnelles
qui travaillent dans des structures spécifiques, telles que
X509_STORE_CTX_set_flags().
BOGUES¶
La vérification des delta de la CRL est actuellement simpliste. Un seul
delta peut être utilisé et (en partie en raison des limitations
de
X509_STORE) les CRL construites ne sont pas maintenues.
Si la vérification des CRL est activée, les CRL devraient
être disponibles dans la structure
X509_STORE correspondante.
Aucune tentative n'est faite pour télécharger des CRL depuis
l'extension des points de distribution.
EXEMPLE¶
Activer la vérification de la CRL lors de la vérification du
certificat pendant des connexions SSL associées à une structure
ctx SSL_CTX :
X509_VERIFY_PARAM *param;
param = X509_VERIFY_PARAM_new();
X509_VERIFY_PARAM_set_flags(param, X509_V_FLAG_CRL_CHECK);
SSL_CTX_set1_param(ctx, param);
X509_VERIFY_PARAM_free(param);
VOIR AUSSI¶
X509_verify_cert(3)
HISTORIQUE¶
À préciser
TRADUCTION¶
La traduction de cette page de manuel est maintenue par les membres de la liste
<debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler
toute erreur de traduction par un rapport de bogue sur le paquet
manpages-fr-extra.