.\" Automatically generated by Pod::Man 2.28 (Pod::Simple 3.28) .\" .\" Standard preamble: .\" ======================================================================== .de Sp \" Vertical space (when we can't use .PP) .if t .sp .5v .if n .sp .. .de Vb \" Begin verbatim text .ft CW .nf .ne \\$1 .. .de Ve \" End verbatim text .ft R .fi .. .\" Set up some character translations and predefined strings. \*(-- will .\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left .\" double quote, and \*(R" will give a right double quote. \*(C+ will .\" give a nicer C++. Capital omega is used to do unbreakable dashes and .\" therefore won't be available. \*(C` and \*(C' expand to `' in nroff, .\" nothing in troff, for use with C<>. .tr \(*W- .ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p' .ie n \{\ . ds -- \(*W- . ds PI pi . if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch . if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\" diablo 12 pitch . ds L" "" . ds R" "" . ds C` "" . ds C' "" 'br\} .el\{\ . ds -- \|\(em\| . ds PI \(*p . ds L" `` . ds R" '' . ds C` . ds C' 'br\} .\" .\" Escape single quotes in literal strings from groff's Unicode transform. .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" .\" If the F register is turned on, we'll generate index entries on stderr for .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index .\" entries marked with X<> in POD. Of course, you'll have to process the .\" output yourself in some meaningful fashion. .\" .\" Avoid warning from groff about undefined register 'F'. .de IX .. .nr rF 0 .if \n(.g .if rF .nr rF 1 .if (\n(rF:(\n(.g==0)) \{ . if \nF \{ . de IX . tm Index:\\$1\t\\n%\t"\\$2" .. . if !\nF==2 \{ . nr % 0 . nr F 2 . \} . \} .\} .rr rF .\" ======================================================================== .\" .IX Title "VERIFY 1SSL" .TH VERIFY 1SSL "2015-01-30" "1.0.1k" "OpenSSL" .\" For nroff, turn off justification. Always turn off hyphenation; it makes .\" way too many mistakes in technical documents. .if n .ad l .nh .SH "NOM" .IX Header "NOM" verify \- Utilitaire de vérification de certificats .SH "SYNOPSIS" .IX Header "SYNOPSIS" \&\fBopenssl\fR \fBverify\fR [\fB\-CApath\fR \fIrépertoire\fR] [\fB\-CAfile\fR \fIfichier\fR] [\fB\-purpose\fR \fIraison\fR] [\fB\-policy\fR \fIparam\fR] [\fB\-ignore_critical\fR] [\fB\-crl_check\fR] [\fB\-crl_check_all\fR] [\fB\-policy_check\fR] [\fB\-explicit_policy\fR] [\fB\-inhibit_any\fR] [\fB\-inhibit_map\fR] [\fB\-x509_strict\fR] [\fB\-extended_crl\fR] [\fB\-use_deltas\fR] [\fB\-policy_print\fR] [\fB\-untrusted\fR \fIfichier\fR] [\fB\-help\fR] [\fB\-issuer_checks\fR] [\fB\-attime\fR \fIhorodatage\fR] [\fB\-verbose\fR] [\fB\-\fR] [\fIcertificats\fR] .SH "DESCRIPTION" .IX Header "DESCRIPTION" La commande \fBverify\fR vérifie des chaînes de certificats. .SH "OPTIONS DE LA COMMANDE" .IX Header "OPTIONS DE LA COMMANDE" .IP "\fB\-CApath\fR \fIrépertoire\fR" 4 .IX Item "-CApath répertoire" Un répertoire de certificats de confiance. Les certificats devraient avoir des noms de la forme : \fIhachage\fR.0 ou avoir des liens symboliques vers eux de cette forme (« \fIhachage\fR » est le nom de sujet du certificat haché : consultez l'option \fB\-hash\fR de l'utilitaire \fBx509\fR). Sous \s-1UNIX,\s0 le script \&\fBc_rehash\fR créera automatiquement les liens symboliques vers un répertoire de certificats. .IP "\fB\-CAfile\fR \fIfichier\fR" 4 .IX Item "-CAfile fichier" Un fichier avec des certificats de confiance. Le fichier doit contenir des certificats au format \s-1PEM,\s0 concaténés. .IP "\fB\-untrusted\fR \fIfichier\fR" 4 .IX Item "-untrusted fichier" Un fichier avec des certificats qui ne sont pas de confiance. Le fichier doit contenir des certificats au format \s-1PEM,\s0 concaténés. .IP "\fB\-purpose\fR \fIraison\fR" 4 .IX Item "-purpose raison" Le but de ce certificat. Si cette option n'est pas indiquée, \fBverify\fR ne considérera pas la raison du certificat lors de la vérification de chaîne. Les utilisations actuellement acceptées sont : \fBsslclient\fR, \&\fBsslserver\fR, \fBnssslserver\fR, \fBsmimesign\fR et \fBsmimeencrypt\fR. Consultez la section \fBOPÉRATION \s-1DE\s0 VÉRIFICATION\fR pour de plus amples renseignements. .IP "\fB\-help\fR" 4 .IX Item "-help" Afficher un message sur l'utilisation. .IP "\fB\-verbose\fR" 4 .IX Item "-verbose" Afficher des informations supplémentaires à propos des opérations effectuées. .IP "\fB\-issuer_checks\fR" 4 .IX Item "-issuer_checks" Afficher les diagnostics relatifs aux recherches du certificat émetteur du certificat actuel. Cela montre la raison pour laquelle chaque certificat émetteur candidat a été rejeté. La présence de messages de rejets n'implique pas qu'il y a un problème ; lors du processus de vérification normal, plusieurs rejets peuvent avoir lieu. .IP "\fB\-attime\fR \fIhorodatage\fR" 4 .IX Item "-attime horodatage" Réaliser les vérifications de validation en utilisant la date indiquée par \&\fIhorodatage\fR au lieu de la date système actuelle. \fIhorodatage\fR est le nombre de secondes écoulées depuis le 1er janvier 1970 (date \s-1UNIX\s0). .IP "\fB\-policy\fR \fIparam\fR" 4 .IX Item "-policy param" Activer le traitement de la politique et ajouter \fIparam\fR à user-initial-policy-set (consultez la \s-1RFC 5280\s0). La politique \fIparam\fR peut être un nom d'objet ou un \s-1OID\s0 sous forme numérique. Cet argument peut être fourni plus d'une fois. .IP "\fB\-policy_check\fR" 4 .IX Item "-policy_check" Activer le traitement de la politique de certificat. .IP "\fB\-explicit_policy\fR" 4 .IX Item "-explicit_policy" Définir la variable de politique require-explicit-policy (consultez la \&\s-1RFC 5280\s0). .IP "\fB\-inhibit_any\fR" 4 .IX Item "-inhibit_any" Définir la variable de politique inhibit-any-policy (consultez la \s-1RFC 5280\s0). .IP "\fB\-inhibit_map\fR" 4 .IX Item "-inhibit_map" Définir la variable de politique inhibit-policy-mapping (consultez la \&\s-1RFC 5280\s0). .IP "\fB\-policy_print\fR" 4 .IX Item "-policy_print" Afficher les diagnostics relatifs au traitement de politique. .IP "\fB\-crl_check\fR" 4 .IX Item "-crl_check" Vérifier la fin de validité d'une entité de certificat en essayant de rechercher une liste valable de révocations de certificat. Cela produit une erreur si une liste valable de révocations de certificat ne peut pas être trouvée. .IP "\fB\-crl_check_all\fR" 4 .IX Item "-crl_check_all" Vérifier la validité de \fBtous\fR les certificats de la chaîne en essayant de rechercher une liste valable de révocations de certificat. .IP "\fB\-ignore_critical\fR" 4 .IX Item "-ignore_critical" Normalement, si une extension critique non gérée mais présente n'est pas prise en charge par OpenSSL, le certificat est rejeté (conformément à la \&\s-1RFC 5280\s0). Si cette option est définie, les extensions critiques sont ignorées. .IP "\fB\-x509_strict\fR" 4 .IX Item "-x509_strict" Pour une conformité X.509 stricte, désactiver les contournements non conformes pour les certificats cassés. .IP "\fB\-extended_crl\fR" 4 .IX Item "-extended_crl" Activer les fonctionnalités étendues de liste de révocations de certificat, comme les listes indirectes de révocations de certificat et les clefs de signature alternatives de liste de révocations de certificat. .IP "\fB\-use_deltas\fR" 4 .IX Item "-use_deltas" Activer la prise en charge pour les deltas de listes de révocations de certificat. .IP "\fB\-check_ss_sig\fR" 4 .IX Item "-check_ss_sig" Vérifier la signature du certificat racine autosigné de l'autorité de certification. C'est désactivé par défaut parce que cela n'ajoute aucune sécurité. .IP "\fB\-\fR" 4 .IX Item "-" Indiquer la dernière option. Tous les arguments suivants sont considérés comme des fichiers de certificat. C'est pratique si le premier nom de fichier de certificat commence par un \fB\-\fR. .IP "\fBcertificats\fR" 4 .IX Item "certificats" Un ou plusieurs certificats à vérifier. Si aucun certificat n'est donné, \&\fBverify\fR essayera de lire un certificat depuis l'entrée standard. Les certificats devraient être au format \s-1PEM.\s0 .SH "OPÉRATION DE VÉRIFICATION" .IX Header "OPÉRATION DE VÉRIFICATION" Le programme \fBverify\fR utilise les mêmes fonctions que les vérifications internes \s-1SSL\s0 et S/MIME, par conséquent cette description s'applique aussi à ces opérations de vérification. .PP Une différence fondamentale existe entre les opérations de vérification réalisées par le programme \fBverify\fR : à chaque fois que c'est possible, une tentative de continuer est essayée après une erreur, alors que l'opération de vérification se serait normalement arrêtée après la première erreur. Cela permet de déterminer tous les problèmes avec une chaîne de certificats. .PP L'opération de vérification est constituée de plusieurs étapes séparées. .PP D'abord, une chaîne de certificats est construite à partir du certificat fourni jusqu'au certificat racine de l'autorité de certification. C'est une erreur si la chaîne complète ne peut pas être construite. La chaîne est construite en recherchant le certificat émetteur du certificat actuel. Si le certificat trouvé est son propre émetteur, il est considéré comme le certificat racine de l'autorité de certification. .PP Le processus de « recherche du certificat émetteur » lui\-même implique un certain nombre d'étapes. Jusqu'à la version 0.9.5a d'OpenSSL, le premier certificat dont le nom de sujet correspond au nom de l'émetteur du certificat actuel était considéré comme le certificat émetteur. Dans OpenSSL 0.9.6 et les versions suivantes, tous les certificats dont le nom de sujet correspond au nom de l'émetteur du certificat actuel sont sujets à d'autres tests. Les composants identificateurs concernant la clef d'autorité du certificat actuel (s'ils existent) doivent correspondre au sujet de l'identificateur de clef (s'il existe), et l'émetteur, le numéro de série de l'émetteur candidat, en plus de l'extension keyUsage de l'émetteur candidat (s'il existe), doivent permettre la signature de certificat. .PP La recherche commence par la liste de certificats qui ne sont pas de confiance, et si aucune correspondance n'est trouvée, la recherche continue avec les certificats de confiance. Le certificat racine de l'autorité de certification est toujours recherché dans la liste des certificats de confiance : si le certificat à vérifier est un certificat racine, alors une correspondance exacte doit être trouvée dans la liste des certificats de confiance. .PP La deuxième opération est de vérifier toutes les extensions des certificats qui ne sont pas de confiance, en cohérence avec la raison fournie. Si l'option \fB\-purpose\fR n'est pas incluse, aucune vérification n'est réalisée. Le certificat fourni ou « feuille » (\s-1VS\s0 racine) doit avoir des extensions compatibles avec la raison fournie et tous les autres certificats doivent aussi être des certificats d'autorité de certification valables. Les extensions exactes nécessaires sont décrites plus en détail dans la section \&\fB\s-1EXTENSIONS DE CERTIFICATS\s0\fR de l'utilitaire \fBx509\fR. .PP La troisième opération est de vérifier les réglages de confiance du certificat racine de l'autorité de certification. Le certificat racine de l'autorité de certification devrait être de confiance pour la raison fournie. Par compatibilité avec les versions précédentes de SSLeay et OpenSSL, un certificat sans réglages de confiance est considéré valable dans tous les cas. .PP La dernière opération est de vérifier la validité de la chaîne de certificats. La période de validité est vérifiée par rapport à l'heure actuelle du système et les dates notBefore et notAfter du certificat. Les signatures de certificat sont aussi vérifiées à ce moment. .PP Si toutes les opérations se terminent avec succès, alors le certificat est considéré valable. Si n'importe quelle opération échoue, alors le certificat est incorrect. .SH "DIAGNOSTIC" .IX Header "DIAGNOSTIC" Quand une opération de vérification échoue, les messages de sortie peuvent être un peu abscons. La forme globale du message d'erreur est : .PP .Vb 2 \& server.pem: /C=AU/ST=Queensland/O=CryptSoft Pty Ltd/CN=Test CA (1024 bit) \& error 24 at 1 depth lookup:invalid CA certificate .Ve .PP La première ligne contient le nom du certificat en cours de vérification suivi par le nom de sujet du certificat. La deuxième ligne contient le numéro d'erreur et la profondeur. La profondeur est le nombre de certificats ayant été vérifiés quand un problème a été détecté, avec zéro pour le certificat vérifié lui\-même, puis un pour l'autorité de certification qui a signé le certificat et ainsi de suite. Enfin, la version texte du numéro d'erreur est présentée. .PP Une liste exhaustive des codes d'erreur et messages est montrée ci-dessous, cela inclut également le nom du code d'erreur tel qu'il est défini dans le fichier d'en\-têtes \fIx509_vfy.h\fR. Certains codes d'erreur sont définis mais jamais renvoyés : ce sont ceux décrits comme « inutilisés ». .IP "\fB0 X509_V_OK: ok\fR" 4 .IX Item "0 X509_V_OK: ok" L'opération a réussi. .IP "\fB2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: unable to get issuer certificate\fR" 4 .IX Item "2 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT: unable to get issuer certificate" Le certificat émetteur d'un certificat recherché est introuvable. Cela signifie normalement que la liste de certificats de confiance n'est pas complète. .IP "\fB3 X509_V_ERR_UNABLE_TO_GET_CRL: unable to get certificate \s-1CRL\s0\fR" 4 .IX Item "3 X509_V_ERR_UNABLE_TO_GET_CRL: unable to get certificate CRL" La liste de révocations de certificat est introuvable. .IP "\fB4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE: unable to decrypt certificate's signature\fR" 4 .IX Item "4 X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE: unable to decrypt certificate's signature" La signature de certificat n'a pas pu être déchiffrée. Cela signifie que la valeur de signature réelle n'a pas pu être déterminée, plutôt qu'elle ne correspond pas à la valeur attendue, ce n'est significatif que pour les clefs \s-1RSA.\s0 .IP "\fB5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE: unable to decrypt \s-1CRL\s0's signature\fR" 4 .IX Item "5 X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE: unable to decrypt CRL's signature" La signature de liste de révocations de certificat n'a pas pu être déchiffrée : cela signifie que la valeur de signature réelle n'a pas pu être déterminée, plutôt qu'elle ne correspond pas à la valeur attendue. Inutilisé. .IP "\fB6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY: unable to decode issuer public key\fR" 4 .IX Item "6 X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY: unable to decode issuer public key" La clef publique du certificat SubjectPublicKeyInfo n'a pas pu être lue. .IP "\fB7 X509_V_ERR_CERT_SIGNATURE_FAILURE: certificate signature failure\fR" 4 .IX Item "7 X509_V_ERR_CERT_SIGNATURE_FAILURE: certificate signature failure" La signature du certificat est incorrecte. .IP "\fB8 X509_V_ERR_CRL_SIGNATURE_FAILURE: \s-1CRL\s0 signature failure\fR" 4 .IX Item "8 X509_V_ERR_CRL_SIGNATURE_FAILURE: CRL signature failure" La signature du certificat est incorrecte. .IP "\fB9 X509_V_ERR_CERT_NOT_YET_VALID: certificate is not yet valid\fR" 4 .IX Item "9 X509_V_ERR_CERT_NOT_YET_VALID: certificate is not yet valid" Le certificat n'est pas encore valable : la date notBefore est après la date actuelle. .IP "\fB10 X509_V_ERR_CERT_HAS_EXPIRED: certificate has expired\fR" 4 .IX Item "10 X509_V_ERR_CERT_HAS_EXPIRED: certificate has expired" Le certificat a expiré : c'est parce que la date notAfter est avant la date actuelle. .IP "\fB11 X509_V_ERR_CRL_NOT_YET_VALID: \s-1CRL\s0 is not yet valid\fR" 4 .IX Item "11 X509_V_ERR_CRL_NOT_YET_VALID: CRL is not yet valid" La liste de révocations de certificat n'est pas encore valable. .IP "\fB12 X509_V_ERR_CRL_HAS_EXPIRED: \s-1CRL\s0 has expired\fR" 4 .IX Item "12 X509_V_ERR_CRL_HAS_EXPIRED: CRL has expired" La liste de révocations de certificat a expiré. .IP "\fB13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD: format error in certificate's notBefore field\fR" 4 .IX Item "13 X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD: format error in certificate's notBefore field" Le champ notBefore du certificat contient une date incorrecte. .IP "\fB14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD: format error in certificate's notAfter field\fR" 4 .IX Item "14 X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD: format error in certificate's notAfter field" Le champ notAfter du certificat contient une date incorrecte. .IP "\fB15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD: format error in \s-1CRL\s0's lastUpdate field\fR" 4 .IX Item "15 X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD: format error in CRL's lastUpdate field" Le champ lastUpdate de la liste de révocations de certificat contient une date incorrecte. .IP "\fB16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD: format error in \s-1CRL\s0's nextUpdate field\fR" 4 .IX Item "16 X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD: format error in CRL's nextUpdate field" Le champ nextUpdate de la liste de révocations de certificat contient une date incorrecte. .IP "\fB17 X509_V_ERR_OUT_OF_MEM: out of memory\fR" 4 .IX Item "17 X509_V_ERR_OUT_OF_MEM: out of memory" Une erreur s'est produite en essayant d'allouer de la mémoire. Cela ne devrait jamais arriver. .IP "\fB18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT: self signed certificate\fR" 4 .IX Item "18 X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT: self signed certificate" Le certificat passé est autosigné et le même certificat est introuvable dans la liste des certificats de confiance. .IP "\fB19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: self signed certificate in certificate chain\fR" 4 .IX Item "19 X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN: self signed certificate in certificate chain" La chaîne de certificats aurait pu être construite en utilisant des certificats qui ne sont pas de confiance mais le certificat racine est introuvable localement. .IP "\fB20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: unable to get local issuer certificate\fR" 4 .IX Item "20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: unable to get local issuer certificate" Le certificat émetteur est introuvable : cela arrive si le certificat émetteur d'un certificat qui n'est pas de confiance est introuvable. .IP "\fB21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE: unable to verify the first certificate\fR" 4 .IX Item "21 X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE: unable to verify the first certificate" Aucune signature n'a pu être vérifiée car la chaîne ne contient qu'un seul certificat et il n'est pas autosigné. .IP "\fB22 X509_V_ERR_CERT_CHAIN_TOO_LONG: certificate chain too long\fR" 4 .IX Item "22 X509_V_ERR_CERT_CHAIN_TOO_LONG: certificate chain too long" La longueur de la chaîne de certificats est plus grande que la profondeur maximale fournie. Inutilisé. .IP "\fB23 X509_V_ERR_CERT_REVOKED: certificate revoked\fR" 4 .IX Item "23 X509_V_ERR_CERT_REVOKED: certificate revoked" Le certificat a été révoqué. .IP "\fB24 X509_V_ERR_INVALID_CA: invalid \s-1CA\s0 certificate\fR" 4 .IX Item "24 X509_V_ERR_INVALID_CA: invalid CA certificate" Un certificat de l'autorité de certification est incorrect. Soit ce n'est pas une autorité de certification, soit ses extensions ne sont pas cohérentes avec la raison fournie. .IP "\fB25 X509_V_ERR_PATH_LENGTH_EXCEEDED: path length constraint exceeded\fR" 4 .IX Item "25 X509_V_ERR_PATH_LENGTH_EXCEEDED: path length constraint exceeded" Le paramètre de longueur de chemin basicConstraints a été dépassé. .IP "\fB26 X509_V_ERR_INVALID_PURPOSE: unsupported certificate purpose\fR" 4 .IX Item "26 X509_V_ERR_INVALID_PURPOSE: unsupported certificate purpose" Le certificat fourni n'a pas pu être utilisé pour la raison fournie. .IP "\fB27 X509_V_ERR_CERT_UNTRUSTED: certificate not trusted\fR" 4 .IX Item "27 X509_V_ERR_CERT_UNTRUSTED: certificate not trusted" Le certificat racine de l'autorité de certification n'est pas marqué de confiance pour la raison fournie. .IP "\fB28 X509_V_ERR_CERT_REJECTED: certificate rejected\fR" 4 .IX Item "28 X509_V_ERR_CERT_REJECTED: certificate rejected" Le certificat racine de l'autorité de certification est marqué pour rejeter la raison fournie. .IP "\fB29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH: subject issuer mismatch\fR" 4 .IX Item "29 X509_V_ERR_SUBJECT_ISSUER_MISMATCH: subject issuer mismatch" Le certificat émetteur candidat actuel a été rejeté car son nom de sujet ne correspondait pas au nom d'émetteur du certificat actuel. Affiché seulement quand l'option \fB\-issuer_checks\fR est activée. .IP "\fB30 X509_V_ERR_AKID_SKID_MISMATCH: authority and subject key identifier mismatch\fR" 4 .IX Item "30 X509_V_ERR_AKID_SKID_MISMATCH: authority and subject key identifier mismatch" Le certificat émetteur candidat actuel a été rejeté car son objet d'identificateur de clef était présent et ne correspondait pas à l'identificateur de clef d'autorité du certificat actuel. Affiché seulement quand l'option \fB\-issuer_checks\fR est activée. .IP "\fB31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH: authority and issuer serial number mismatch\fR" 4 .IX Item "31 X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH: authority and issuer serial number mismatch" Le certificat émetteur candidat actuel a été rejeté car son nom d'émetteur et son numéro de série étaient présents et ne correspondaient pas à l'identificateur de clef d'autorité du certificat actuel. Affiché seulement quand l'option \fB\-issuer_checks\fR est activée. .IP "\fB32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN:key usage does not include certificate signing\fR" 4 .IX Item "32 X509_V_ERR_KEYUSAGE_NO_CERTSIGN:key usage does not include certificate signing" Le certificat émetteur candidat actuel a été rejeté car son extension keyUsage ne permet pas la signature de certificat. .IP "\fB50 X509_V_ERR_APPLICATION_VERIFICATION: application verification failure\fR" 4 .IX Item "50 X509_V_ERR_APPLICATION_VERIFICATION: application verification failure" Une erreur spécifique à l'application. Inutilisé. .SH "BOGUES" .IX Header "BOGUES" Bien que les vérifications d'émetteur constituent une amélioration considérable par rapport à l'ancienne technique, elles souffrent encore des limites de l'interface de programmation X509_LOOKUP sous-jacente. Une conséquence de cela est que les certificats de confiance avec un nom de sujet correspondant doivent soit apparaître dans un fichier (comme indiqué avec l'option \fB\-CAfile\fR), soit dans un répertoire (comme indiqué avec l'option \fB\-CApath\fR). S'ils apparaissent dans les deux, alors seuls les certificats du fichier seront reconnus. .PP Les versions précédentes d'OpenSSL considèrent que les certificats avec les mêmes noms de sujet sont identiques et les gèrent mal. .PP Les versions précédentes de cette documentation inversaient la signification des codes d'erreur \fBX509_V_ERR_UNABLE_TO_GET_ISSUER_CERT\fR et \fB20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY\fR. .SH "VOIR AUSSI" .IX Header "VOIR AUSSI" \&\fBx509\fR(1) .SH "TRADUCTION" .IX Header "TRADUCTION" La traduction de cette page de manuel est maintenue par les membres de la liste . Veuillez signaler toute erreur de traduction par un rapport de bogue sur le paquet manpages-fr-extra.