NOM¶
rsa - Traitement de clefs RSA
SYNOPSIS¶
openssl rsa [
-inform PEM|
NET|
DER]
[
-outform PEM|
NET|
DER] [
-in
nom_fichier] [
-passin param] [
-out
nom_fichier] [
-passout param] [
-sgckey]
[
-aes128] [
-aes192] [
-aes256] [
-camellia128]
[
-camellia192] [
-camellia256] [
-des] [
-des3]
[
-idea] [
-text] [
-noout] [
-modulus]
[
-check] [
-pubin] [
-pubout] [
-RSAPublicKey_in] [
-RSAPublicKey_out] [
-engine id]
DESCRIPTION¶
La commande
rsa gère les clefs RSA. Elles peuvent être
converties vers et à partir de plusieurs formes et leurs composants
peuvent être affichés.
Remarque : cette commande
utilise le format compatible SSLeay pour le chiffrement des clefs
privées. Des applications plus récentes devraient utiliser le
format plus sûr PKCS#8 en utilisant la commande
pkcs8.
OPTIONS DE LA COMMANDE¶
- -inform DER|NET|PEM
- Indique le format d'entrée. L'option DER utilise l'encodage
ASN1 DER compatible avec le format PKCS#1 RSAPrivateKey ou le format
SubjectPublicKeyInfo. La forme PEM est le format par défaut
: il s'agit du format DER encodée en base64 avec des lignes
supplémentaires au début et à la fin. En
entrée, les clefs privées au format PKCS#8 sont
également acceptées. Le format NET est décrit
dans la section NOTES.
- -outform DER|NET|PEM
- Indique le format de sortie. Les options ont la même signification
que pour l'option -inform.
- -in nom_fichier
- Indique le nom du fichier d'entrée à partir duquel la clef
sera lue. Par défaut, la clef est lue depuis l'entrée
standard si cette option est omise. Si la clef est chiffrée, un mot
de passe sera demandé à l'invite de commande.
- -passin param
- La source de mot de passe d'entrée. Pour plus de renseignements sur
le format de param, consultez la section PARAMÈTRES DE
PHRASE SECRÈTE d' openssl(1).
- -out nom_fichier
- Indique le nom du fichier de sortie où sera écrite la clef.
Par défaut, la clef est écrite sur la sortie standard si
cette option est omise. Si des options de chiffrement ont
été indiquées, un mot de passe sera demandé.
Le fichier de sortie ne devra pas être le même que le
fichier d'entrée.
- -passout mot_de_passe
- La source de mot de passe pour le fichier de sortie. Pour plus de
renseignements sur le format de param, consultez la section
PARAMÈTRES DE PHRASE SECRÈTE
d'openssl(1).
- -sgckey
- Utiliser l'algorithme modifié NET, utilisé avec certaines
version de clefs Microsoft IIS et SGC.
- -aes128 | -aes192 | -aes256 | -camellia128 |
-camellia192 | -camellia256 | -des | -des3 |
-idea
- Ces options chiffrent la clef privée produite avec l'algorithme de
chiffrement indiqué. Un mot de passe (ou une phrase) sera
demandé. Si aucune de ces options n'est indiquée, la clef
sera écrite en texte brut. Ainsi une clef chiffrée pourra
être lue avec l'utilitaire rsa, afin de supprimer le mot de
passe (sans option de chiffrement) ou encore d'ajouter ou modifier un mot
de passe avec les options de chiffrement appropriées. Cette option
n'est disponible qu'avec le format PEM pour les fichiers de sortie.
- -text
- Affiche les différentes composantes des clefs privées ou
publiques au format texte en plus de la version encodée.
- -noout
- Cette option empêche la sortie de la version encodée de la
clef.
- -modulus
- Cette option affiche la valeur du modulo de la clef.
- -check
- Cette option vérifie la cohérence de la clef privé
RSA.
- -pubin
- Par défaut, une clef privée est lue à partir du
fichier d'entrée : avec cette option, une clef publique est
lue à sa place.
- -pubout
- Par défaut, une clef privée est produite. Avec cette option,
une clef publique est produite à sa place. Cette option est
automatiquement activée si l'entrée est une clef
publique.
- -RSAPublicKey_in, -RSAPublicKey_out
- Comme -pubin et -pubout, sauf que le format
RSAPublicKey est utilisé.
- -engine id
- Indique un moteur (en utilisant son identifiant unique id) qui
force rsa à essayer d'obtenir une référence
fonctionnelle pour le moteur indiqué, et l'initialiser si
nécessaire. Le moteur sera ensuite utilisé par défaut
pour tous les algorithmes disponibles.
NOTES¶
Le format de clef privée PEM utilise les lignes de début et de fin
suivantes :
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
Le format de clef publique PEM utilise les lignes de début et de fin
suivantes :
-----BEGIN PUBLIC KEY-----
-----END PUBLIC KEY-----
Le format
RSAPublicKey PEM utilise les lignes de début et de fin
suivantes :
-----BEGIN RSA PUBLIC KEY-----
-----END RSA PUBLIC KEY-----
Le format
NET est compatible avec les anciennes versions des fichiers
.key des serveurs Netscape et Microsoft IIS, qui utilisent RC4 sans sel comme
méthode de chiffrement. Il n'est pas très sûr et ne
devrait être utilisé que si nécessaire.
Certaines version plus récentes de IIS ont des données
supplémentaires dans les fichiers .key exportés. Pour les
utiliser avec cet utilitaire, utilisez un éditeur binaire pour
rechercher la chaîne « private-key », puis
recherchez la séquence d'octets 0x30, 0x82 (il s'agit d'une SEQUENCE
ASN1). Copier toutes les données à parti de ce point dans un
autre fichier que vous pourrez utiliser avec l'utilitaire
rsa avec
l'option
-inform NET. Si vous obtenez une erreur après
avoir fourni le mot de passe, essayez l'option
-sgckey.
EXEMPLES¶
Pour enlever la phrase secrète d'une clef privée RSA :
openssl rsa -in key.pem -out keyout.pem
Pour chiffrer une clef privée en utilisant l'algorithme DES
triple :
openssl rsa -in key.pem -des3 -out keyout.pem
Pour convertir une clef privée du format PEM vers le format DER :
openssl rsa -in key.pem -outform DER -out keyout.der
Pour afficher les composants d'une clef privée sur la sortie
standard :
openssl rsa -in key.pem -text -noout
Pour afficher uniquement la partie publique d'une clef privée :
openssl rsa -in key.pem -pubout -out pubkey.pem
Pour afficher la partie publique d'une clef privée au format
RSAPublicKey :
openssl rsa -in key.pem -RSAPublicKey_out -out pubkey.pem
BOGUES¶
Le paramètre en ligne de commande pour le mot de passe ne fonctionne pas
pour l'instant avec le format
NET.
Une option devrait permettre d'automatiser le traitement des fichiers.key, sans
avoir à les éditer soi-même.
VOIR AUSSI¶
pkcs8(1),
dsa(1),
genrsa(1),
gendsa(1)
TRADUCTION¶
La traduction de cette page de manuel est maintenue par les membres de la liste
<debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler
toute erreur de traduction par un rapport de bogue sur le paquet
manpages-fr-extra.