.\" Automatically generated by Pod::Man 2.28 (Pod::Simple 3.29) .\" .\" Standard preamble: .\" ======================================================================== .de Sp \" Vertical space (when we can't use .PP) .if t .sp .5v .if n .sp .. .de Vb \" Begin verbatim text .ft CW .nf .ne \\$1 .. .de Ve \" End verbatim text .ft R .fi .. .\" Set up some character translations and predefined strings. \*(-- will .\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left .\" double quote, and \*(R" will give a right double quote. \*(C+ will .\" give a nicer C++. Capital omega is used to do unbreakable dashes and .\" therefore won't be available. \*(C` and \*(C' expand to `' in nroff, .\" nothing in troff, for use with C<>. .tr \(*W- .ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p' .ie n \{\ . ds -- \(*W- . ds PI pi . if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch . if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\" diablo 12 pitch . ds L" "" . ds R" "" . ds C` "" . ds C' "" 'br\} .el\{\ . ds -- \|\(em\| . ds PI \(*p . ds L" `` . ds R" '' . ds C` . ds C' 'br\} .\" .\" Escape single quotes in literal strings from groff's Unicode transform. .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" .\" If the F register is turned on, we'll generate index entries on stderr for .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index .\" entries marked with X<> in POD. Of course, you'll have to process the .\" output yourself in some meaningful fashion. .\" .\" Avoid warning from groff about undefined register 'F'. .de IX .. .nr rF 0 .if \n(.g .if rF .nr rF 1 .if (\n(rF:(\n(.g==0)) \{ . if \nF \{ . de IX . tm Index:\\$1\t\\n%\t"\\$2" .. . if !\nF==2 \{ . nr % 0 . nr F 2 . \} . \} .\} .rr rF .\" ======================================================================== .\" .IX Title "CA 1SSL" .TH CA 1SSL "2015-12-31" "1.0.2a 1.0.2c" "OpenSSL" .\" For nroff, turn off justification. Always turn off hyphenation; it makes .\" way too many mistakes in technical documents. .if n .ad l .nh .SH "NOM" .IX Header "NOM" ca \- Application minimale d'autorité de certification .SH "SYNOPSIS" .IX Header "SYNOPSIS" \&\fBopenssl\fR \fBca\fR [\fB\-verbose\fR] [\fB\-config\fR \fInom_fichier\fR] [\fB\-name\fR \&\fIsection\fR] [\fB\-gencrl\fR] [\fB\-revoke\fR \fInom_fichier\fR] [\fB\-status\fR \fIsérie\fR] [\fB\-updatedb\fR] [\fB\-crl_reason\fR \fIraison\fR] [\fB\-crl_hold\fR \fIinstruction\fR] [\fB\-crl_compromise\fR \fImoment\fR] [\fB\-crl_CA_compromise\fR \fImoment\fR] [\fB\-crldays\fR \fInombre\fR] [\fB\-crlhours\fR \fInombre\fR] [\fB\-crlexts\fR \fIsection\fR] [\fB\-startdate\fR \fIdate\fR] [\fB\-enddate\fR \fIdate\fR] [\fB\-days\fR \fIparam\fR] [\fB\-md\fR \&\fIalg\fR] [\fB\-policy\fR \fIarg\fR] [\fB\-keyfile\fR \fInom_fichier\fR] [\fB\-keyform \&\s-1PEM\s0\fR|\fB\s-1DER\s0\fR] [\fB\-key\fR \fImot_de_passe\fR] [\fB\-passin\fR \fIparam\fR] [\fB\-cert\fR \&\fIfichier\fR] [\fB\-selfsign\fR] [\fB\-in\fR \fInom_fichier\fR] [\fB\-out\fR \fInom_fichier\fR] [\fB\-notext\fR] [\fB\-outdir\fR \fIrépertoire\fR] [\fB\-infiles\fR] [\fB\-spkac\fR \&\fInom_fichier\fR] [\fB\-ss_cert\fR \fInom_fichier\fR] [\fB\-preserveDN\fR] [\fB\-noemailDN\fR] [\fB\-batch\fR] [\fB\-msie_hack\fR] [\fB\-extensions\fR \fIsection\fR] [\fB\-extfile\fR \fIsection\fR] [\fB\-engine\fR \fIid\fR] [\fB\-subj\fR \fIparam\fR] [\fB\-utf8\fR] [\fB\-multivalue\-rdn\fR] .SH "DESCRIPTION" .IX Header "DESCRIPTION" La commande \fBca\fR est une application d'autorité de certification (\s-1CA\s0 pour « Certificate Authority ») minimale. Elle peut être utilisée pour signer des demandes de certificats sous différentes formes et génère des listes de révocations de certificat (\s-1CRL\s0 pour « Certificate Revocation List »). D'autre part, elle maintient une liste des certificats délivrés et de leur état. .PP Les descriptions des options sont divisées par type d'action. .SH "OPTIONS POUR LES AUTORITÉS DE CERTIFICATION" .IX Header "OPTIONS POUR LES AUTORITÉS DE CERTIFICATION" .IP "\fB\-config\fR \fInom_fichier\fR" 4 .IX Item "-config nom_fichier" Indiquer le nom du fichier de configuration. .IP "\fB\-name\fR \fIsection\fR" 4 .IX Item "-name section" Indiquer la section du fichier de configuration à utiliser (remplace \&\fBdefault_ca\fR dans la section \fBca\fR). .IP "\fB\-in\fR \fInom_fichier\fR" 4 .IX Item "-in nom_fichier" Un nom de fichier en entrée contenant une seule demande de certificat à signer par l'autorité de certification. .IP "\fB\-ss_cert\fR \fInom_fichier\fR" 4 .IX Item "-ss_cert nom_fichier" Un seul certificat autosigné à signer par l'autorité de certification. .IP "\fB\-spkac\fR \fInom_fichier\fR" 4 .IX Item "-spkac nom_fichier" Un fichier contenant une unique clef publique Netscape signée, un défi (challenge) et des données supplémentaires à signer par l'autorité de certification. Consultez la section \fB\s-1FORMAT SPKAC\s0\fR pour des informations sur le format d’entrée et sortie demandé. .IP "\fB\-infiles\fR" 4 .IX Item "-infiles" Si elle est présente, ce doit être la dernière option. Tous les paramètres suivants sont interprétés comme des noms de fichiers contenant des demandes de certificat. .IP "\fB\-out\fR \fInom_fichier\fR" 4 .IX Item "-out nom_fichier" Le fichier de sortie où les certificats seront dirigés. Par défaut il s'agit de la sortie standard. Les détails des certificats y seront également précisés au format \s-1PEM \s0(sauf que \fB\-spkac\fR utilise le format \s-1DER\s0 en sortie). .IP "\fB\-outdir\fR \fIrépertoire\fR" 4 .IX Item "-outdir répertoire" Le répertoire qui contiendra les certificats. Les certificats seront écrits vers des fichiers nommés par le numéro de série en hexadécimal portant le suffixe « .pem ». .IP "\fB\-cert\fR" 4 .IX Item "-cert" Le fichier de certificat de l'autorité de certification. .IP "\fB\-keyfile\fR \fInom_fichier\fR" 4 .IX Item "-keyfile nom_fichier" La clef privée avec laquelle signer les demandes. .IP "\fB\-keyform \s-1PEM\s0\fR|\fB\s-1DER\s0\fR" 4 .IX Item "-keyform PEM|DER" Le format des données du ficher de clef privée (\s-1PEM\s0 par défaut). .IP "\fB\-key\fR \fImot_de_passe\fR" 4 .IX Item "-key mot_de_passe" Le mot de passe utilisé pour chiffrer la clef privée. Sur certains systèmes les paramètres de la ligne de commande sont visibles (par exemple sous \s-1UNIX\s0 avec l'utilitaire « ps »), une certaine prudence est donc nécessaire en utilisant de cette option. .IP "\fB\-selfsign\fR" 4 .IX Item "-selfsign" Indiquer que les certificats émis sont à signer avec la clef utilisée pour signer les demandes de certificat (donnée avec \fB\-keyfile\fR). Les demandes de certificat signées avec une clef différente sont ignorés. Si \fB\-spkac\fR, \&\fB\-ss_cert\fR ou \fB\-gencrl\fR sont donnés, \fB\-selfsign\fR est ignoré. .Sp Une des conséquences d'utiliser \fB\-selfsign\fR est que le certificat autosigné apparaît parmi les entrées de la base de données de certificats (consultez l'option de configuration \fBdatabase\fR), et utilise le même compteur de numéro de série que tous les autres certificats signés avec le même certificat autosigné. .IP "\fB\-passin\fR \fIparam\fR" 4 .IX Item "-passin param" La source du mot de passe de la clef. Pour plus d'informations sur le format de \fIparam\fR, consultez la section \fBPARAMÈTRES \s-1DE PHRASE\s0 SECRÈTE\fR d'\fIopenssl\fR\|(1). .IP "\fB\-verbose\fR" 4 .IX Item "-verbose" Afficher des précisions supplémentaires sur les opérations effectuées. .IP "\fB\-notext\fR" 4 .IX Item "-notext" Ne pas inclure la version texte d'un certificat dans le fichier de sortie. .IP "\fB\-startdate\fR \fIdate\fR" 4 .IX Item "-startdate date" Définir la date de début de validité explicitement. Le format de date utilisé est \s-1AAMMJJHHMMSSZ \s0(comme pour une structure UTCTime \s-1ASN1\s0). .IP "\fB\-enddate date\fR" 4 .IX Item "-enddate date" Définir la date de fin de validité explicitement. Le format de date utilisé est \s-1AAMMJJHHMMSSZ \s0(comme pour une structure UTCTime \s-1ASN1\s0). .IP "\fB\-days\fR \fIparam\fR" 4 .IX Item "-days param" La durée en jour pendant laquelle le certificat sera certifié. .IP "\fB\-md\fR \fIalg\fR" 4 .IX Item "-md alg" Le type de hachage (« digest ») de message à utiliser. md5, sha1 et mdc2 font partie des valeurs possibles. Cette option s'applique aussi aux listes de révocations de certificat. .IP "\fB\-policy\fR \fIparam\fR" 4 .IX Item "-policy param" Cette option définit la « politique » d'autorité de certification à utiliser. Il s'agit d'une section du fichier de configuration indiquant les champs qui sont obligatoires ou qui doivent correspondre au certificat de l'autorité de certification. Consultez la section \fB\s-1FORMAT DES POLITIQUES\s0\fR pour plus d'informations. .IP "\fB\-msie_hack\fR" 4 .IX Item "-msie_hack" C'est une option de compatibilité ascendante pour faire fonctionner \fBca\fR avec les très vieilles versions du Certificate Enrollment Control « certenr3 » d'\s-1IE.\s0 Elle utilise UniversalStrings pour presque tout. Puisque l'ancien centre de contrôle est victime de plusieurs bogues de sécurité, son utilisation est fortement déconseillée. Le centre de contrôle plus récent « Xenroll » n'a pas besoin de cette option. .IP "\fB\-preserveDN\fR" 4 .IX Item "-preserveDN" Normalement, l'ordre des \s-1DN\s0 d'un certificat est le même que l'ordre des champs dans la section de politique. Quand l'option est définie, l'ordre est le même que celui de la demande. C'est surtout par compatibilité avec l'ancien Enrollment Control d'\s-1IE\s0 qui n'acceptait les certificats que si leurs \s-1DN\s0 correspondaient à l'ordre de la demande. Ce n'est plus nécessaire avec Xenroll. .IP "\fB\-noemailDN\fR" 4 .IX Item "-noemailDN" Le \s-1DN\s0 d'un certificat peut contenir le champ \s-1EMAIL\s0 s'il est présent dans le \&\s-1DN\s0 de la demande, cependant c'est une bonne politique de n'avoir que l'adresse électronique configurée dans l'extension altName du certificat. Quand cette option est définie, le champ \s-1EMAIL\s0 est retiré de l'objet du certificat et défini seulement dans les extensions éventuellement présentes. Le mot-clef \fBemail_in_dn\fR peut être utilisé dans le fichier de configuration pour activer ce comportement. .IP "\fB\-batch\fR" 4 .IX Item "-batch" Activer le mode par lot. Aucune question ne sera posée et tous les certificats seront signés automatiquement. .IP "\fB\-extensions\fR \fIsection\fR" 4 .IX Item "-extensions section" La \fIsection\fR du fichier de configuration contenant les extensions de certificat à ajouter lors de l'émission d'un certificat (\fBx509_extensions\fR par défaut si l'option \fB\-extfile\fR n'est pas utilisée). Si aucune section n'est présente, un certificat V1 est créé. Si la section d'extensions est présente (même vide), un certificat V3 est créé. Consultez la page de manuel \&\fIx509v3_config\fR\|(5) pour obtenir des précisions sur le format de section d'extensions. .IP "\fB\-extfile\fR \fIfichier\fR" 4 .IX Item "-extfile fichier" Un fichier de configuration supplémentaire pour y lire les extensions de certificat (en utilisant la section par défaut si l'option \fB\-extensions\fR n'est pas présente). .IP "\fB\-engine\fR \fIid\fR" 4 .IX Item "-engine id" Indiquer un moteur (en utilisant son identifiant unique \fIid\fR) qui force \&\fBca\fR à essayer d'obtenir une référence fonctionnelle pour le moteur indiqué, et l'initialiser si nécessaire. Le moteur sera ensuite utilisé par défaut pour tous les algorithmes disponibles. .IP "\fB\-subj\fR \fIparam\fR" 4 .IX Item "-subj param" Remplacer le nom de sujet donné dans la demande. \fIparam\fR doit être formaté comme \&\fB/\fR\fItype0\fR\fB=\fR\fIvaleur0\fR\fB/\fR\fItype1\fR\fB=\fR\fIvaleur1\fR\fB/\fR\fItype2\fR\fB=\fR... où les caractères peuvent être protégées par « \e » (barre oblique inversée), aucun espace n'est ignoré. .IP "\fB\-utf8\fR" 4 .IX Item "-utf8" Cette option indique que les valeurs des champs doivent être interprétées comme des chaînes \s-1UTF\-8.\s0 Par défaut, elles sont interprétées comme des chaînes \s-1ASCII.\s0 Cela signifie que les valeurs des champs, qu'elles soient demandées sur le terminal ou fournies par le fichier de configuration, doivent être des chaînes \s-1UTF\-8\s0 valables. .IP "\fB\-multivalue\-rdn\fR" 4 .IX Item "-multivalue-rdn" Cette option force l'argument de \fB\-subj\fR à être interprété avec une prise en charge complète des \s-1RDN\s0 multivaleurs. Exemple : .Sp \&\fI/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=Jean Dupont\fR .Sp Si \fB\-multi\-rdn\fR est utilisée, alors la valeur de l'\s-1UID\s0 est \fI123456+CN=Jean Dupont\fR. .SH "OPTIONS POUR LES LISTES DE RÉVOCATIONS DE CERTIFICAT (CRL)" .IX Header "OPTIONS POUR LES LISTES DE RÉVOCATIONS DE CERTIFICAT (CRL)" .IP "\fB\-gencrl\fR" 4 .IX Item "-gencrl" Cette option génère une liste de révocations de certificat basée sur les renseignements du fichier d'index. .IP "\fB\-crldays\fR \fInombre\fR" 4 .IX Item "-crldays nombre" Le nombre de jours avant passage à la liste de révocations de certificat suivante. Ce nombre de jours, qui est décompté à partir de la date d'exécution, permet de définir la date à placer dans le champ nextUpdate de la liste de révocations de certificat. .IP "\fB\-crlhours\fR \fInombre\fR" 4 .IX Item "-crlhours nombre" Le nombre d'heures avant passage à la liste de révocations de certificat suivante. .IP "\fB\-revoke\fR \fInom_fichier\fR" 4 .IX Item "-revoke nom_fichier" Le nom du fichier contenant un certificat à retirer. .IP "\fB\-status\fR \fIsérie\fR" 4 .IX Item "-status série" Afficher l’état de révocation du certificat avec le numéro de série indiqué et quitter. .IP "\fB\-updatedb\fR" 4 .IX Item "-updatedb" Mettre à jour l’index de la base de donnée pour purger les certificats expirés. .IP "\fB\-crl_reason\fR \fIraison\fR" 4 .IX Item "-crl_reason raison" La raison du retrait, où la raison vaut : \fBunspecified\fR (« non précisée »), \&\fBkeyCompromise\fR (« clef compromise »), \fBCACompromise\fR (« autorité de certification compromise »), \fBaffiliationChanged\fR (« changement d'affiliation »), \fBsuperseded\fR (« remplacé »), \fBcessationOfOperation\fR (« cessation d'activité »), \fBcertificateHold\fR (« certificat suspendu ») ou \&\fBremoveFromCRL\fR (« retiré de la liste de révocations de certificat »). La casse de la \fIraison\fR n'a pas besoin de correspondre. L'ajout d'une raison au retrait forcera l'utilisation d'une \s-1CRL\s0 v2. .Sp En pratique, \fBremoveFromCRL\fR n'est pas particulièrement utile parce qu'elle n'est utilisée que pour les listes de révocations de certificat « delta », qui ne sont pas implémentées pour l'instant. .IP "\fB\-crl_hold\fR \fIinstruction\fR" 4 .IX Item "-crl_hold instruction" Définir le code de raison de révocation d'une liste de révocations de certificat à \fBcertificateHold\fR et l'instruction de suspension à \&\fIinstruction\fR qui doit être un \s-1OID.\s0 Même si n'importe quel \s-1OID\s0 peut être utilisé, seuls \fBholdInstructionNone\fR (dont l'utilisation est déconseillée par la \s-1RFC 2459\s0), \fBholdInstructionCallIssuer\fR ou \fBholdInstructionReject\fR seront normalement utilisés. .IP "\fB\-crl_compromise\fR \fImoment\fR" 4 .IX Item "-crl_compromise moment" Définir la raison de révocation à \fBkeyCompromise\fR et la date de la compromission à \fImoment\fR. \fImoment\fR doit être au format GeneralizedTime, c'est\-à\-dire \fB\s-1AAAAMMDDHHMMSSZ\s0\fR. .IP "\fB\-crl_CA_compromise\fR \fImoment\fR" 4 .IX Item "-crl_CA_compromise moment" Il s'agit de la même chose que \fBcrl_compromise\fR, mais la raison de révocation est définie à \fBCACompromise\fR. .IP "\fB\-crlexts\fR \fIsection\fR" 4 .IX Item "-crlexts section" La section du fichier de configuration contenant des extensions \s-1CRL\s0 à inclure. Si aucune section d'extension \s-1CRL\s0 n'est présente, une \s-1CRL V1\s0 est créée, sinon une \s-1CRL V2\s0 sera créée, même si la section en question est vide. Les extensions \s-1CRL\s0 indiquées sont des extensions \s-1CRL\s0 et \fBnon\fR des extensions d'entrée \s-1CRL.\s0 Remarquez que certains logiciels (par exemple Netscape) ne gèrent pas les \s-1CRL V2.\s0 Consultez la page de manuel \&\fIx509v3_config\fR\|(5) pour obtenir des précisions sur le format de section d'extensions. .SH "OPTIONS DU FICHIER DE CONFIGURATION" .IX Header "OPTIONS DU FICHIER DE CONFIGURATION" La section du fichier de configuration contenant des options pour \fBca\fR est trouvée de la façon suivante : si l'option de ligne de commande \fB\-name\fR est utilisée, elle précise le nom de la section à utiliser. Autrement, la section qui sera utilisée est celle mentionnée l'option \fBdefault_ca\fR de la section \fBca\fR du fichier de configuration (ou dans la section par défaut du fichier de configuration). À part \fBdefault_ca\fR, les options suivantes sont lues directement dans la section \fBca\fR : \s-1RANDFILE \&\s0 preserve msie_hack .PP À l'exception de \fB\s-1RANDFILE\s0\fR, c'est probablement un bogue et cela risque d'être modifié dans les prochaines versions. .PP De nombreuses options du fichier de configuration sont identiques à celles de la ligne de commande. Si une option est présente à la fois dans le fichier de configuration et sur la ligne de commande, la valeur de la ligne de commande est prise en compte. Une option décrite comme obligatoire doit être présente soit dans le fichier de configuration soit sur la ligne de commande (si c'est possible). .IP "\fBoid_file\fR" 4 .IX Item "oid_file" Indiquer le fichier contenant des \fB\s-1IDENTIFIANTS D\s0'\s-1OBJET\s0\fR supplémentaires. Chaque ligne est constituée de la forme numérique de l'identifiant d'objet suivie d'un espace puis du libellé court suivi à son tour d'un espace et finalement du libellé long. .IP "\fBoid_section\fR" 4 .IX Item "oid_section" Indiquer une section du fichier de configuration contenant d'autres identifiants d'objet. Chaque ligne est constituée du libellé court de l'identifiant d'objet suivi de \fB=\fR et de la forme numérique. Le libellé court et le libellé long sont identiques quand cette option est utilisée. .IP "\fBnew_certs_dir\fR" 4 .IX Item "new_certs_dir" Identique à l'option de ligne de commande \fB\-outdir\fR. Elle indique le répertoire où les nouveaux certificats seront placés. Obligatoire. .IP "\fBcertificate\fR" 4 .IX Item "certificate" Identique à \fB\-cert\fR. Elle indique le fichier contenant le certificat de l'autorité de certification. Obligatoire. .IP "\fBprivate_key\fR" 4 .IX Item "private_key" Identique à l'option \fB\-keyfile\fR. Le fichier contenant la clef privée de l'autorité de certification. Obligatoire. .IP "\fB\s-1RANDFILE\s0\fR" 4 .IX Item "RANDFILE" Un fichier utilisé pour lire et écrire les renseignements initiateurs de nombre aléatoire ou une socket \s-1EGD \s0(consultez \fIRAND_egd\fR\|(3)). .IP "\fBdefault_days\fR" 4 .IX Item "default_days" Identique à l'option \fB\-days\fR. La durée en jour pendant laquelle le certificat sera certifié. .IP "\fBdefault_startdate\fR" 4 .IX Item "default_startdate" Identique à l'option \fB\-startdate\fR. La date de début de validité du certificat. Si cette option est absente, la date actuelle sera utilisée. .IP "\fBdefault_enddate\fR" 4 .IX Item "default_enddate" Identique à l'option \fB\-enddate\fR. Soit cette option, soit \fBdefault_days\fR (où les équivalents en ligne de commande) doivent être présent. .IP "\fBdefault_crl_hours default_crl_days\fR" 4 .IX Item "default_crl_hours default_crl_days" Identiques aux options \fB\-crlhours\fR et \fB\-crldays\fR. Uniquement utilisées si aucune des options n'est présente sur la ligne de commande. Au moins une de ces options doit être indiquée pour générer une liste de révocations de certificat. .IP "\fBdefault_md\fR" 4 .IX Item "default_md" Identique à l'option \fB\-md\fR. Le type de condensé de message à utiliser. Obligatoire. .IP "\fBdatabase\fR" 4 .IX Item "database" Le fichier texte (base de données) à utiliser. Obligatoire. Ce fichier doit être présent même s'il est initialement vide. .IP "\fBunique_subject\fR" 4 .IX Item "unique_subject" Si la valeur \fByes\fR est donnée, les entrées valables de certificat dans la base de données doivent avoir des objets uniques. Si la valeur \fBno\fR est donnée, plusieurs entrées valables de certificat peuvent avoir les mêmes objets. La valeur par défaut est \fByes\fR, par compatibilité avec les plus anciennes versions d'OpenSSL (avant 0.9.8). Cependant, pour faciliter le remplacement des certificats d'autorité de certification, l'utilisation de la valeur \fBno\fR est recommandée, en particulier si combinée avec l'option \&\fB\-selfsign\fR de la ligne de commande. .IP "\fBserial\fR" 4 .IX Item "serial" Un fichier texte contenant le prochain numéro de série à utiliser en hexadécimal. Obligatoire. Ce fichier doit être présent et contenir un numéro de série valable. .IP "\fBcrlnumber\fR" 4 .IX Item "crlnumber" Un fichier texte contenant le prochain numéro de liste de révocations de certificat à utiliser en hexadécimal. Le numéro ne sera inséré dans les listes de révocations de certificat que si le fichier existe. Si ce fichier est présent, il doit contenir un numéro valable de liste de révocations de certificat. .IP "\fBx509_extensions\fR" 4 .IX Item "x509_extensions" Identique à \fB\-extensions\fR. .IP "\fBcrl_extensions\fR" 4 .IX Item "crl_extensions" Identique à \fB\-crlexts\fR. .IP "\fBpreserve\fR" 4 .IX Item "preserve" Identique à \fB\-preserveDN\fR. .IP "\fBemail_in_dn\fR" 4 .IX Item "email_in_dn" Identique à \fB\-noemailDN\fR. Si vous voulez que le champ \s-1EMAIL\s0 soit supprimé du \s-1DN\s0 du certificat, définissez\-le simplement à « no ». S'il n'est pas présent, le champ \s-1EMAIL\s0 sera permis dans le \s-1DN\s0 du certificat par défaut. .IP "\fBmsie_hack\fR" 4 .IX Item "msie_hack" Identique à \fB\-msie_hack\fR. .IP "\fBpolicy\fR" 4 .IX Item "policy" Identique à \fB\-policy\fR. Obligatoire. Consultez la section \fB\s-1FORMAT DES POLITIQUES\s0\fR pour plus de renseignements. .IP "\fBname_opt\fR, \fBcert_opt\fR" 4 .IX Item "name_opt, cert_opt" Ces options permettent au format utilisé d'afficher les précisions du certificat lors de la demande de confirmation de signature à l'utilisateur. Tous les paramètres pris en charge par les options \&\fB\-nameopt\fR et \fB\-certopt\fR des utilitaires \fBx509\fR peuvent être utilisés ici, sauf que \fBno_signame\fR et \fBno_sigdump\fR sont définis de façon permanente et ne peuvent pas être désactivés (parce que le certificat n'a pas été signé à ce moment, donc la signature du certificat ne peut pas être affichée). .Sp Par commodité, les valeurs \fBca_default\fR sont acceptées par les deux pour produire une sortie raisonnable. .Sp Si aucune option n'est présente, le format utilisé dans les versions précédentes d'OpenSSL est utilisé. L'utilisation de l'ancien format est \&\fBfortement\fR déconseillée, parce qu'il n'affiche que les champs mentionnés dans la section \fBpolicy\fR, ne gère pas correctement les types de chaîne multicaractère et n'affiche pas les extensions. .IP "\fBcopy_extensions\fR" 4 .IX Item "copy_extensions" Déterminer la façon de traiter les extensions des demandes de certificat. Si définie à \fBnone\fR, ou si cette option n'est pas présente, alors les extensions sont ignorées et ne sont pas copiées vers le certificat. Si définie à \fBcopy\fR, toutes les extensions présentes dans la demande qui ne sont pas déjà présentes sont copiées vers le certificat. Si définie à \&\fBcopyall\fR, toutes les extensions de la demande sont copiées vers le certificat : si l'extension est déjà présente dans le certificat, elle est d'abord supprimée. Consultez la section \fB\s-1AVERTISSEMENTS\s0\fR avant d'utiliser cette option. .Sp L'utilisation principale de cette option est de permettre à une demande de certificat de fournir des valeurs pour certaines extensions comme subjectAltName. .SH "FORMAT DES POLITIQUES" .IX Header "FORMAT DES POLITIQUES" La section \fBpolicy\fR consiste en un jeu de variables qui correspondent aux champs \s-1DN\s0 du certificat. Si la valeur est « match », la valeur du champ doit être identique au champ du même nom du certificat de l'autorité de certification. Si la valeur est « supplied », il doit être présent. Si la valeur est « optional », sa présence n'est pas obligatoire. Tout champ ne figurant pas dans la section policy est supprimé à moins que l'option \&\fB\-preserveDN\fR ne soit activée, mais c'est plus une bizarrerie qu'un comportement attendu. .SH "FORMAT SPKAC" .IX Header "FORMAT SPKAC" L'entrée fournie à la ligne de commande \fB\-spkac\fR est une clef publique signée Netscape et un défi. Cela provient habituellement d'une balise \&\fB\s-1KEYGEN\s0\fR dans un formulaire \s-1HTML\s0 pour créer une nouvelle clef privée. Il est toutefois possible de créer des \s-1SPKAC\s0 en utilisant l'utilitaire \&\fBspkac\fR. .PP Le fichier devrait contenir la variable \s-1SPKAC\s0 avec la valeur de la clef \&\s-1SPARK\s0 ainsi que les éléments \s-1DN\s0 sous forme de paires nom-valeurs. Si besoin est d'inclure le même élément plusieurs fois, il est possible de le faire précéder par un nombre et un « . ». .PP Lors du traitement du format \s-1SPKAC,\s0 la sortie est au format \s-1DER\s0 si l’attribut \fB\-out\fR est utilisé, mais au format \s-1PEM\s0 si elle est envoyée vers la sortie standard ou que l’attribut \fB\-outdir\fR est utilisé. .SH "EXEMPLES" .IX Header "EXEMPLES" Note : ces exemples supposent que l'arborescence \fBca\fR est déjà en place et que les fichiers liés existent. Cela nécessite généralement la création d'un certificat et d'une clef privée pour l'autorité de certification avec \&\fBreq\fR, un fichier de numéro de série et un fichier d'index vide. Tous ces fichiers doivent être placés dans les répertoires correspondants. .PP Afin d'utiliser le fichier de configuration type ci-dessous, il faut créer les répertoires demoCA, demoCA/prive et demoCA/nouvcerts. Le certificat de l'autorité de certification doit être copié dans demoCA/certca.pem et sa clef privée dans demoCA/prive/clefca.pem. Un fichier demoCA/serie doit être créé contenant par exemple « 01 » et un fichier d'index vide doit être créé dans demoCA/index.txt. .PP Signer une demande de certificat : .PP .Vb 1 \& openssl ca \-in dem.pem \-out nouvcert.pem .Ve .PP Signer une demande de certificat utilisant des extensions d'autorité de certification : .PP .Vb 1 \& openssl ca \-in dem.pem \-extensions v3_ca \-out nouvcert.pem .Ve .PP Générer une liste de révocations de certificat : .PP .Vb 1 \& openssl ca \-gencrl \-out crl.pem .Ve .PP Signer plusieurs demandes : .PP .Vb 1 \& openssl ca \-infiles dem1.pem dem2.pem dem3.pem .Ve .PP Certifier un \s-1SPKAC\s0 Netscape : .PP .Vb 1 \& openssl ca \-spkac spkac.txt .Ve .PP Un fichier \s-1SPKAC\s0 type (lignes tronquées pour la lisibilité) : .PP .Vb 5 \& SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5 \& CN=Steve Test \& emailAddress=steve@openssl.org \& 0.OU=Groupe OpenSSL \& 1.OU=Un autre groupe .Ve .PP Un fichier de configuration type avec les sections pour \fBca\fR : .PP .Vb 2 \& [ ca ] \& default_ca = CA_defaut # la section ca par défaut \& \& [ CA_defaut ] \& \& dir = ./demoCA # répertoire principal \& database = $dir/index.txt # fichier index \& new_certs_dir = $dir/nouvcerts # rép. nouveaux certificats \& \& certificate = $dir/certca.pem # le certificat de la CA \& serial = $dir/serie # fichier de numéro de série \& private_key = $dir/prive/clefca.pem # clef privée de la CA \& RANDFILE = $dir/prive/.alea # fichier de numéro aléatoire \& \& default_days = 365 # durée de certification \& default_crl_days= 30 # durée avant la prochaine CRL \& default_md = md5 # hachage à utiliser \& \& policy = politique_def # politique par défaut \& email_in_dn = no # pas d\*(Aqadresse élec. dans le DN \& \& name_opt = ca_default # option d\*(Aqaff. de nom de sujet \& cert_opt = ca_default # option d\*(Aqaff. de certificat \& copy_extensions = none # sans copie d\*(Aqextensions de dem. \& \& [ politique_def ] \& countryName = supplied \& stateOrProvinceName = optional \& organizationName = optional \& organizationalUnitName = optional \& commonName = supplied \& emailAddress = optional .Ve .SH "FICHIERS" .IX Header "FICHIERS" Note : l'emplacement de tous les fichiers peut changer en fonction des options de compilation, des entrées dans le fichier de configuration, des variables d'environnement ou des options de la ligne de commande. Les valeurs ci-dessous sont les valeurs par défaut. .PP .Vb 10 \& /usr/local/ssl/lib/openssl.cnf \- fichier de configuration maître \& ./demoCA \- répertoire principal de la CA \& ./demoCA/cacert.pem \- certificat de la CA \& ./demoCA/private/cakey.pem \- clef privée de la CA \& ./demoCA/serial \- fichier des numéros de série de la CA \& ./demoCA/serial.old \- sauvegarde de ./demoCA/serial \& ./demoCA/index.txt \- base de données en texte de la CA \& ./demoCA/index.txt.old \- sauvegarde de ./demoCA/index.txt \& ./demoCA/certs \- fichier de sortie du certificat \& ./demoCA/.rnd \- graine pour l\*(Aqaléa de la CA .Ve .SH "VARIABLES D'ENVIRONNEMENT" .IX Header "VARIABLES D'ENVIRONNEMENT" \&\fB\s-1OPENSSL_CONF\s0\fR contient l'emplacement du fichier de configuration principal qui peut être modifié avec l'option en ligne de commande \fB\-config\fR. .SH "RESTRICTIONS" .IX Header "RESTRICTIONS" Le fichier d'index est une partie cruciale du processus et toute corruption peut s'avérer difficile à rattraper. Bien qu'il soit possible théoriquement de reconstruire l'index à partir des certificats délivrés et d'une liste de révocations de certificat récente, aucune option ne permet de faire cela. .PP Les fonctionnalités des \s-1CRL V2\s0 telles que la prise en charge des delta \s-1CRL\s0 ne sont pas gérées actuellement. .PP Même s'il est possible d'entrer et de traiter plusieurs demandes en même temps, il est impossible d'inclure plus d'un \s-1SPKAC\s0 ou certificat autosigné. .SH "BOGUES" .IX Header "BOGUES" L'utilisation d'une base de données texte en mémoire peut s'avérer problématique, en particulier avec un nombre important de certificats à gérer, justement du fait que cette base se trouve en mémoire. .PP La commande \fBca\fR a réellement besoin d'être réécrite ou les fonctionnalités nécessaires devraient être fournie par une commande ou interface pour permettre à des utilitaires plus orientés utilisateurs (scripts Perl ou interface graphique) de traiter les choses correctement. Les scripts \&\fB\s-1CA\s0.sh\fR et \fB\s-1CA\s0.pl\fR aident un petit peu en ce sens. .PP Tous les champs d'une demande qui ne sont pas présents dans la politique sont supprimés silencieusement. Cela n'arrive pas si l'option \fB\-preserveDN\fR est utilisée. Pour renforcer l'absence du champ \s-1EMAIL\s0 dans le \s-1DN,\s0 conformément aux suggestions des \s-1RFC,\s0 quelque soit le contenu de l'objet de la demande, l'option \fB\-noemailDN\fR peut être utilisée. Le comportement devrait être plus simple et configurable. .PP L'annulation de certaines commandes en refusant de certifier un certificat peut résulter en un fichier vide. .SH "AVERTISSEMENTS" .IX Header "AVERTISSEMENTS" La commande \fBca\fR est capricieuse et parfois peu facile d'utilisation. .PP La commande \fBca\fR a eu pour objectif initial d'être un exemple montrant comment se servir d'une autorité de certification. Elle n'a pas été créée pour servir d'application pour une autorité de certification complète, cependant certaines personnes s'en servent dans ce but. .PP La commande \fBca\fR est effectivement une commande mono-utilisateur, aucun verrouillage n'est fait sur les divers fichiers, et des tentatives d'accès simultanées à un même fichier d'index peuvent produire des résultats imprévisibles. .PP L'option \fBcopy_extensions\fR devrait être utilisée avec précaution. Un risque de sécurité est possible si l'attention nécessaire n'est pas fournie. Par exemple, si une demande de certificat contient une extension basicConstraints avec \s-1CA:TRUE\s0 et que la valeur \fBcopy_extensions\fR est définie à \fBcopyall\fR et que l'utilisateur ne s'en rend pas compte quand le certificat est affiché, alors cela fournira au demandeur un certificat d'autorité de certification valable. .PP Cette situation peut être évitée en définissant \fBcopy_extensions\fR à \fBcopy\fR et en incluant basicConstraints avec \s-1CA:FALSE\s0 dans le fichier de configuration. Dans ce cas, si la demande contient une extension basicConstraints, elle sera ignorée. .PP Il est aussi conseillé d'inclure les valeurs pour les autres extensions comme \fBkeyUsage\fR pour éviter qu'une demande fournisse ses propres valeurs. .PP Des restrictions supplémentaires peuvent être ajoutées au certificat de l'autorité de certification lui\-même. Par exemple si le certificat de l'autorité de certification contient : .PP .Vb 1 \& basicConstraints = CA:TRUE, pathlen:0 .Ve .PP alors même si un certificat est émis avec \s-1CA:TRUE,\s0 il ne sera pas valable. .SH "VOIR AUSSI" .IX Header "VOIR AUSSI" \&\fIreq\fR\|(1), \fIspkac\fR\|(1), \fIx509\fR\|(1), \&\s-1\fICA\s0.pl\fR\|(1), \fIconfig\fR\|(5), \&\fIx509v3_config\fR\|(5) .SH "TRADUCTION" .IX Header "TRADUCTION" Cette page de manuel a été traduite par stolck en 2002 et est maintenue par la liste . Veuillez signaler toute erreur de traduction par un rapport de bogue sur le paquet manpages-fr-extra.