NOM¶
ocsp - Utilitaire pour le protocole d’état de certificat en ligne
SYNOPSIS¶
openssl ocsp [
-out nom_fichier] [
-issuer
fichier] [
-cert fichier] [
-serial n]
[
-signer fichier] [
-signkey fichier]
[
-sign_other fichier] [
-no_certs] [
-req_text] [
-resp_text] [
-text] [
-reqout fichier]
[
-respout fichier] [
-reqin fichier]
[
-respin fichier] [
-nonce] [
-no_nonce] [
-url URL] [
-host hôte:n]
[
-path chemin] [
-CApath rép]
[
-CAfile fichier] [
-VAfile fichier]
[
-validity_period n] [
-status_age age]
[
-noverify] [
-verify_other fichier] [
-trust_other] [
-no_intern] [
-no_signature_verify] [
-no_cert_verify] [
-no_chain] [
-no_cert_checks]
[
-port num] [
-index fichier] [
-CA
fichier] [
-rsigner fichier] [
-rkey
fichier] [
-rother fichier] [
-resp_no_certs]
[
-nmin n] [
-ndays n] [
-resp_key_id]
[
-nrequest n] [
-md5|
-sha1|...]
DESCRIPTION¶
Le protocole d'état de certificat en ligne (OCSP) permet aux applications
de déterminer l’état (de révocation) d'un
certificat identifié (RFC 2560).
La commande
ocsp effectue de nombreuses tâches OCSP communes. Elle
permet d’afficher les demandes et les réponses, créer des
demandes et envoyer des requêtes à un répondeur OCSP et
se comporter comme un mini serveur OCSP lui-même.
OPTIONS DE CLIENT OCSP¶
- -out nom_fichier
- Indiquer le fichier de sortie, par défaut la sortie standard.
- -issuer fichier
- Indiquer le certificat de l'émetteur actuel. Cette option peut
être utilisée plusieurs fois. Le certificat mentionné
dans le fichier doit être au format PEM. Cette option
doit être fournie avant toute option -cert.
- -cert fichier
- Ajouter le certificat fichier à la demande. Le certificat
d’émetteur est pris à partir de l'option
-issuer précédente ou une erreur se produit si aucun
certificat d’émetteur n’est indiqué.
- -serial n
- Identique à l'option de -cert sauf que le certificat de
numéro de série num est ajouté à la
demande. Le numéro de série est interprété
comme un entier décimal sauf s’il est
précédé par 0x. Des nombres négatifs
peuvent aussi être indiqués par un signe -
précédant la valeur.
- -signer fichier, -signkey fichier
- Signer la demande OCSP à l'aide du certificat indiqué dans
l'option -signer et la clef privée indiquée par
l'option -signkey. Si l'option -signkey n'est pas
présente, alors la clef privée est lue à partir du
même fichier que le certificat. Si aucune option n'est
indiquée, alors la demande OCSP n'est pas signée.
- -sign_other fichier
- Certificats supplémentaires à inclure dans la demande
signée.
- -nonce, -no_nonce
- Ajouter une extension nonce OCSP à une demande ou désactiver
l’ajout de nonce OCSP. Normalement, si une demande OCSP est
entrée en utilisant l'option -respin, aucun nonce
n’est ajouté : utiliser l'option -nonce
forcera l’ajout d'un nonce. Si une demande OCSP est
créé (avec les options -cert et -serial), un
nonce est automatiquement ajouté, indiquer -no_nonce
remplace cela.
- -req_text, -resp_text, -text
- Afficher respectivement au format texte la requête OCSP, la
réponse ou les deux.
- -reqout fichier, -respout fichier
- Écrire la demande ou la réponse de certificat encodée
en DER dans fichier.
- -reqin fichier, -respin fichier
- Lire un fichier de demande ou de réponse OCSP dans fichier.
Ces options sont ignorées si la création de demande ou
réponse OCSP est implicite grâce à d'autres options
(par exemple avec les options -serial, -cert et
-host).
- -url URL
- Indiquer l’URL de répondeur. Des URL HTTP et HTTPS (SSL ou
TLS) peuvent être indiquées.
- -host hôte:n, -path
chemin
- Si l'option -host est présente, alors la demande OCSP est
envoyée à l’ hôte sur le port n.
chemin indique le nom de chemin d'accès HTTP à
utiliser ou « / » par défaut.
- -timeout secondes
- Délai de connexion au répondeur OCSP en seconde.
- -CAfile fichier, -CApath rép
- Fichier ou chemin d'accès contenant les certificats de confiance.
Ils sont utilisés pour vérifier la signature dans la
réponse OCSP.
- -verify_other fichier
- Fichier contenant les certificats supplémentaires où tenter
de localiser le certificat de signature de réponse OCSP. Certains
répondeurs omettent le certificat du signataire réel de la
réponse : cette option permet de fournir le certificat
nécessaire dans ces cas là.
- -trust_other
- Les certificats indiqués par l'option -verify_other
devraient être explicitement de confiance et aucune
vérification supplémentaire ne sera effectuée.
C’est utile lorsque la chaîne complète de certificats
répondeur n'est pas disponible ou quand faire confiance à
une autorité de certification racine n'est pas
approprié.
- -VAfile fichier
- Fichier contenant les certificats de répondeur explicitement
approuvés. Équivalent aux options -verify_other et
-trust_other.
- -noverify
- Ne pas essayer de vérifier la signature de réponse OCSP ou
les valeurs de nonce. Cette option ne sera normalement utilisée que
pour le débogage, car elle désactive toute
vérification du certificat des répondeurs.
- -no_intern
- Ignorer les certificats contenus dans la réponse OCSP lors de la
recherche du certificat des signataires. Avec cette option, le certificat
des signataires doit être indiqué avec les options
-verify_other ou -VAfile
- -no_signature_verify
- Ne pas vérifier la signature de réponse OCSP. Puisque cette
option tolère les signatures non valables des réponses OCSP,
elle ne devrait être utilisée qu’à des fins de
test.
- -no_cert_verify
- Ne pas vérifier du tout le certificat des signataires de
réponse OCSP. Puisque cette option permet à la
réponse OCSP d’être signée par
n’importe quel certificat, elle ne devrait être
utilisée qu’à des fins de test.
- -no_chain
- Ne pas utiliser les certificats dans la réponse comme des
certificats supplémentaires d’autorité non
fiables.
- -no_cert_checks
- Ne pas effectuer de contrôle supplémentaire sur le
certificat des signataires de réponse OCSP. C'est-à-dire, ne
pas faire de contrôle pour vérifier que le certificat des
signataires est autorisé à fournir les informations
d'état nécessaires : par conséquent, cette
option ne devrait être utilisée qu’à des fins
de test.
- -validity_period n, -status_age age
- Ces options indiquent la plage de temps, en seconde, qui sera
tolérée dans une réponse OCSP. Chaque réponse
d'état de certificat comprend un temps notBefore et un temps
notAfter. Le temps actuel devrait se situer entre ces deux valeurs,
mais l'intervalle entre les deux temps peut n’être que de
quelques secondes. En pratique, les horloges du répondeur et des
clients OCSP peuvent ne pas être précisément
synchronisées et donc ce type de contrôle peut
échouer. Pour éviter cela, l’option
-validity_period peut être utilisée pour indiquer une
plage d'erreur acceptable en secondes, la valeur par défaut est de
5 minutes.
Si le temps notAfter est omis dans une réponse, cela signifie
que de nouvelles informations d'état sont disponibles
immédiatement. Dans ce cas, l'âge du champ notBefore
est vérifié pour voir s’il n'est pas plus vieux que
age en seconde. Par défaut, cette vérification
supplémentaire n'est pas effectuée.
- -md5|-sha1|-sha256|-ripemod160|...
- Cette option définit l’algorithme de signature à
utiliser pour l'identification de certificat dans la demande OCSP. Par
défaut, SHA-1 est utilisé.
OPTIONS DE SERVEUR OCSP¶
- -index fichier
- fichier est un fichier texte d'indices au format ca
contenant des informations de révocations de certificat.
Si l'option -index est indiquée, l'utilitaire ocsp est
en mode répondeur, sinon il est en mode client. La ou les demandes
que les répondeurs traitent peuvent être soit
indiquées sur la ligne de commande (avec des options -issuer
et -serial), soit fournies dans un fichier (en utilisant l'option
-respin) ou à l’aide de clients OCSP externes (si
-port ou -url sont indiquées).
Si l'option -index est présente, alors les options -CA
et -rsigner doivent également être
présentes.
- -CA fichier
- Certificat d’autorité correspondant aux informations de
révocations de -indexfile.
- -rsigner fichier
- Le certificat à utiliser pour signer les réponses OCSP.
- -rother fichier
- Certificats supplémentaires à inclure dans la réponse
OCSP.
- -resp_no_certs
- Ne pas inclure les certificats dans la réponse OCSP.
- -resp_key_id
- Identifier le certificat de signataire en utilisant l'identifiant de clef,
par défaut, cela consiste à utiliser le nom
d’objet.
- -rkey fichier
- La clef privée à utiliser pour signer les réponses
OCSP : en cas d’absence, le fichier indiqué dans
l'option -rsigner est utilisé.
- -port num
- Port où écouter les demandes OCSP. Le port peut
également être indiqué par l'option -url
.
- -nrequest n
- Le serveur OCSP se terminera après avoir reçu n
demandes, par défaut sans limite.
- -nmin n, -ndays n
- Temps en minute ou jour pendant lequel les informations fraîches de
révocations ne sont pas disponibles : utilisé dans le
champ nextUpdate. Si aucune option n'est présente, alors le
champ nextUpdate est omis, ce qui signifie que les informations
fraîches de révocations sont disponibles
immédiatement.
Vérification de réponse OCSP.¶
La réponse OCSP suit les règles précisées dans la
RFC 2560.
Initialement, le certificat de répondeur OCSP est localisé puis la
signature de la demande OCSP vérifiée en utilisant la clef
publique du certificat de répondeur.
Ensuite, une vérification normale de certificat est effectuée sur
le certificat de répondeur OCSP en construisant une chaîne de
certificats dans le processus. Les emplacements de certificats de confiance
utilisés pour construire la chaîne peuvent être
indiqués par les options
-CAfile et
-CApath ou ils seront
recherchés dans le répertoire standard des certificats OpenSSL.
Si la première vérification échoue, alors le processus de
vérification OCSP s'arrête avec une erreur.
Sinon, le certificat d'autorité de certification émettrice dans la
demande est comparé au certificat de répondeur OCSP : en
cas de correspondance, la vérification OCSP réussit.
Sinon, le certificat d’autorité du répondeur OCSP est
comparé au certificat d’autorité émis dans la
demande. En cas de correspondance, et que l’utilisation de clef
étendue OCSPSigning est présente dans le certificat de
répondeur OCSP, la vérification OCSP réussit.
Sinon, la confiance de l’autorité de certification racine des
autorités de certification des répondeurs OCSP est
vérifiée pour la signature OCSP. Si c’est le cas, la
vérification OCSP réussit.
Si aucune de ces vérifications ne réussit, la vérification
OCSP échoue.
Ce que cela signifie effectivement est que si le certificat du répondeur
OCSP est autorisé directement par l’autorité de
certificat à propos de laquelle il publie des informations de
révocations (et qu’il est correctement configuré), alors
la vérification réussira.
Si le répondeur OCSP est un « répondeur
global » qui peut donner des précisions sur plusieurs
autorités de certification et possède sa propre chaîne de
certificats distincte, alors son autorité de certification racine peut
être de confiance pour la signature OCSP. Par exemple :
openssl x509 -in CAocsp.pem -addtrust OCSPSigning -out CAconfiance.pem
Alternativement, le certificat de répondeur lui-même peut
être approuvé explicitement avec l'option
-VAfile.
NOTES¶
Comme indiqué précédemment, la plupart des options de
vérification sont à des fins de test ou de débogage.
Normalement, seules les options
-CApath,
-CAfile et (si le
répondeur est un « VA global »)
-VAfile doivent être utilisées.
Le serveur OCSP n'est utile qu’à des fins de test et de
démonstration : il n'est pas vraiment utilisable comme un
répondeur OCSP complet. Il ne contient qu'une gestion très
basique de la requête HTTP et ne peut que gérer la forme POST
des requêtes OCSP. Il gère également les demandes en
série, il ne peut donc pas répondre à de nouvelles
demandes avant d’avoir traité l’actuelle. Le format de
fichier texte d'index de la révocation est également inefficace
pour de grandes quantités de données de révocations.
L’application
ocsp peut être exécutée en mode
répondeur à l’aide d’un script CGI en utilisant
les options
-respin et
-respout.
EXEMPLES¶
Créer une demande OCSP et écrire dans un fichier :
openssl ocsp -issuer émetteur.pem -cert c1.pem -cert c2.pem \
-reqout dem.der
Envoyer une requête à un répondeur OCSP avec l'URL
http://ocsp.example.com/, sauvegarder la réponse dans un fichier et
l’afficher au format texte :
openssl ocsp -issuer émetteur.pem -cert c1.pem -cert c2.pem \
-url http://ocsp.example.com/ -resp_text -respout rep.der
Lire une réponse OCSP et l’afficher au format texte :
openssl ocsp -respin rep.der -text
Serveur OCSP sur le port 8888 utilisant une configuration
ca standard et
un certificat de répondeur séparé. Toutes les demandes et
les réponses sont envoyées dans un fichier :
openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem \
-CA demoCA/cacert.pem -text -out log.txt
Comme ci-dessus mais en se terminant après traitement d'une
demande :
openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem \
-CA demoCA/cacert.pem -nrequest 1
Demander des informations d'état en utilisant une demande
générée en interne :
openssl ocsp -index demoCA/index.txt -rsigner rcert.pem \
-CA demoCA/cacert.pem -issuer demoCA/cacert.pem -serial 1
Demander des informations d’état en utilisant une demande lue dans
un fichier, écrire la réponse dans un second fichier.
openssl ocsp -index demoCA/index.txt -rsigner rcert.pem \
-CA demoCA/cacert.pem -reqin dem.der -respout rep.der
TRADUCTION¶
La traduction de cette page de manuel est maintenue par les membres de la liste
<debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler
toute erreur de traduction par un rapport de bogue sur le paquet
manpages-fr-extra.