.\" Automatically generated by Pod::Man 2.28 (Pod::Simple 3.29)
.\"
.\" Standard preamble:
.\" ========================================================================
.de Sp \" Vertical space (when we can't use .PP)
.if t .sp .5v
.if n .sp
..
.de Vb \" Begin verbatim text
.ft CW
.nf
.ne \\$1
..
.de Ve \" End verbatim text
.ft R
.fi
..
.\" Set up some character translations and predefined strings.  \*(-- will
.\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left
.\" double quote, and \*(R" will give a right double quote.  \*(C+ will
.\" give a nicer C++.  Capital omega is used to do unbreakable dashes and
.\" therefore won't be available.  \*(C` and \*(C' expand to `' in nroff,
.\" nothing in troff, for use with C<>.
.tr \(*W-
.ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p'
.ie n \{\
.    ds -- \(*W-
.    ds PI pi
.    if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch
.    if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\"  diablo 12 pitch
.    ds L" ""
.    ds R" ""
.    ds C` ""
.    ds C' ""
'br\}
.el\{\
.    ds -- \|\(em\|
.    ds PI \(*p
.    ds L" ``
.    ds R" ''
.    ds C`
.    ds C'
'br\}
.\"
.\" Escape single quotes in literal strings from groff's Unicode transform.
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\"
.\" If the F register is turned on, we'll generate index entries on stderr for
.\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index
.\" entries marked with X<> in POD.  Of course, you'll have to process the
.\" output yourself in some meaningful fashion.
.\"
.\" Avoid warning from groff about undefined register 'F'.
.de IX
..
.nr rF 0
.if \n(.g .if rF .nr rF 1
.if (\n(rF:(\n(.g==0)) \{
.    if \nF \{
.        de IX
.        tm Index:\\$1\t\\n%\t"\\$2"
..
.        if !\nF==2 \{
.            nr % 0
.            nr F 2
.        \}
.    \}
.\}
.rr rF
.\" ========================================================================
.\"
.IX Title "X509 1SSL"
.TH X509 1SSL "2015-12-31" "1.0.2a 1.0.2c" "OpenSSL"
.\" For nroff, turn off justification.  Always turn off hyphenation; it makes
.\" way too many mistakes in technical documents.
.if n .ad l
.nh
.SH "NOM"
.IX Header "NOM"
x509 \- Utilitaire d'affichage et de signature de certificat
.SH "SYNOPSIS"
.IX Header "SYNOPSIS"
\&\fBopenssl\fR \fBx509\fR [\fB\-inform \s-1DER\s0\fR|\fB\s-1PEM\s0\fR|\fB\s-1NET\s0\fR] [\fB\-outform
\&\s-1DER\s0\fR|\fB\s-1PEM\s0\fR|\fB\s-1NET\s0\fR] [\fB\-keyform \s-1DER\s0\fR|\fB\s-1PEM\s0\fR] [\fB\-CAform \s-1DER\s0\fR|\fB\s-1PEM\s0\fR]
[\fB\-CAkeyform \s-1DER\s0\fR|\fB\s-1PEM\s0\fR] [\fB\-in\fR \fInom_fichier\fR] [\fB\-out\fR \fInom_fichier\fR]
[\fB\-serial\fR] [\fB\-subject_hash\fR] [\fB\-issuer_hash\fR] [\fB\-ocspid\fR] [\fB\-subject\fR]
[\fB\-issuer\fR] [\fB\-nameopt\fR \fIoption\fR] [\fB\-email\fR] [\fB\-ocsp_uri\fR]
[\fB\-startdate\fR] [\fB\-enddate\fR] [\fB\-purpose\fR] [\fB\-dates\fR] [\fB\-checkend\fR
\&\fInum\fR] [\fB\-modulus\fR] [\fB\-pubkey\fR] [\fB\-fingerprint\fR] [\fB\-alias\fR] [\fB\-noout\fR]
[\fB\-trustout\fR] [\fB\-clrtrust\fR] [\fB\-clrreject\fR] [\fB\-addtrust\fR \fIparam\fR]
[\fB\-addreject\fR \fIparam\fR] [\fB\-setalias\fR \fIparam\fR] [\fB\-days\fR \fIparam\fR]
[\fB\-set_serial\fR \fIn\fR] [\fB\-signkey\fR \fInom_fichier\fR] [\fB\-passin\fR \fIparam\fR]
[\fB\-x509toreq\fR] [\fB\-req\fR] [\fB\-CA\fR \fInom_fichier\fR] [\fB\-CAkey\fR \fInom_fichier\fR]
[\fB\-CAcreateserial\fR] [\fB\-CAserial\fR \fInom_fichier\fR] [\fB\-force_pubkey\fR
\&\fIclef\fR] [\fB\-text\fR] [\fB\-certopt\fR \fIoption\fR] [\fB\-C\fR]
[\fB\-md2\fR|\fB\-md5\fR|\fB\-sha1\fR|\fB\-mdc2\fR] [\fB\-clrext\fR] [\fB\-extfile\fR
\&\fInom_fichier\fR] [\fB\-extensions\fR \fIsection\fR] [\fB\-engine\fR \fIid\fR]
.SH "DESCRIPTION"
.IX Header "DESCRIPTION"
La commande \fBx509\fR a plusieurs rôles. Elle peut être utilisée pour afficher
les informations sur le certificat, convertir les certificats en diverses
formes, signer les demandes de certificat comme les « mini \s-1CA\s0 » ou éditer
les paramètres de confiance du certificat.
.PP
Comme il y a un grand nombre d'options, elles vont se repartir en plusieurs
sections.
.SH "OPTIONS"
.IX Header "OPTIONS"
.SS "\s-1OPTIONS\s0 D’ENTRÉE, \s-1DE SORTIE ET DIVERSES\s0"
.IX Subsection "OPTIONS D’ENTRÉE, DE SORTIE ET DIVERSES"
.IP "\fB\-inform DER|PEM|NET\fR" 4
.IX Item "-inform DER|PEM|NET"
Indique le format normal d’entrée que la commande attendra d’un certificat
X509 mais cela peut changer si d'autres options comme \fB\-req\fR sont
indiquées. Le format \s-1DER\s0 est l'encodage \s-1DER\s0 du certificat et \s-1PEM\s0 est
l'encodage base64 de l'encodage \s-1DER\s0 avec des hauts de page et des pieds de
pages ajoutés. L'option \s-1NET\s0 est un obscur format de serveur Netscape qui est
à présent obsolète.
.IP "\fB\-outform DER|PEM|NET\fR" 4
.IX Item "-outform DER|PEM|NET"
Indique le format de sortie. Les options ont la même signification que pour
l'option \fB\-inform\fR.
.IP "\fB\-in\fR \fInom_fichier\fR" 4
.IX Item "-in nom_fichier"
Indique le nom du fichier d'entrée à partir duquel le certificat sera
lu. Par défaut, le certificat est lu depuis l'entrée standard si cette
option est omise.
.IP "\fB\-out\fR \fInom_fichier\fR" 4
.IX Item "-out nom_fichier"
Indique le nom du fichier de sortie. La sortie standard est utilisée par
défaut.
.IP "\fB\-md2|\-md5|\-sha1|\-mdc2\fR" 4
.IX Item "-md2|-md5|-sha1|-mdc2"
La fonction de hachage à utiliser. Cela affecte toute option de signature ou
d'affichage qui utilise un condensé, comme les options \fB\-fingerprint\fR,
\&\fB\-signkey\fR et \fB\-CA\fR. Si elle n'est pas spécifiée, alors \s-1SHA1\s0 est
utilisée. Si la clé utilisée pour s'identifier est une clé \s-1DSA,\s0 alors cette
option n'a pas d'effet : \s-1SHA1\s0 est toujours utilisée avec les clés \s-1DSA.\s0
.IP "\fB\-engine\fR \fIid\fR" 4
.IX Item "-engine id"
Indiquer un moteur (en utilisant son identifiant unique \fIid\fR) conduira
\&\fBx509\fR à essayer d'obtenir une référence fonctionnelle pour le moteur
indiqué, et l'initialiser si nécessaire. Le moteur sera ensuite utilisé par
défaut pour tous les algorithmes disponibles.
.SS "\s-1OPTIONS D\s0'\s-1AFFICHAGE\s0"
.IX Subsection "OPTIONS D'AFFICHAGE"
Remarque : les options \fB\-alias\fR et \fB\-purpose\fR sont également des options
d'affichage mais elles sont décrites dans la section \fBPARAMÈTRES \s-1DE
CONFIANCE\s0\fR.
.IP "\fB\-text\fR" 4
.IX Item "-text"
Affiche le certificat sous forme de texte. Tous les détails sont affichés, y
compris la clé publique, les algorithmes de signature, les noms d'émetteur
et de sujet, le numéro de série des extensions présentes et tous les
paramètres de confiance.
.IP "\fB\-certopt\fR \fIoption\fR" 4
.IX Item "-certopt option"
Personnalise le format de sortie utilisé avec \fB\-text\fR. L'\fIoption\fR peut
être une simple option ou plusieurs options séparées par des
virgules. \fB\-certopt\fR peut également être utilisé plus d'une fois pour
définir plusieurs options. Voir la section \fB\s-1OPTIONS DE TEXTE\s0\fR pour de plus
amples informations.
.IP "\fB\-noout\fR" 4
.IX Item "-noout"
Cette option empêche la sortie de la version codée de la demande.
.IP "\fB\-pubkey\fR" 4
.IX Item "-pubkey"
Affiche la structure \fISubjectPublicKeyInfo\fR du certificat au format \s-1PEM.\s0
.IP "\fB\-modulus\fR" 4
.IX Item "-modulus"
Cette option affiche la valeur du modulo de la clé publique contenue dans le
certificat.
.IP "\fB\-serial\fR" 4
.IX Item "-serial"
Affiche le numéro de série du certificat.
.IP "\fB\-subject_hash\fR" 4
.IX Item "-subject_hash"
Affiche le « hash » du nom du sujet du certificat. Cela est utilisé dans
OpenSSL pour former un index permettant de rechercher un certificat dans un
répertoire avec le nom de sujet.
.IP "\fB\-issuer_hash\fR" 4
.IX Item "-issuer_hash"
Affiche le « hash » du nom de l'émetteur du certificat.
.IP "\fB\-ocspid\fR" 4
.IX Item "-ocspid"
Affiche les valeurs de hachage \s-1OCSP\s0 pour le nom du sujet et la clé publique.
.IP "\fB\-hash\fR" 4
.IX Item "-hash"
Synonyme de « \-subject_hash »  pour des raisons de compatibilité
descendante.
.IP "\fB\-subject_hash_old\fR" 4
.IX Item "-subject_hash_old"
Affiche le « hash » du nom de sujet du certificat en utilisant l'ancien
algorithme utilisé dans les versions d'OpenSSL avant 1.0.0.
.IP "\fB\-issuer_hash_old\fR" 4
.IX Item "-issuer_hash_old"
Affiche le « hash » du nom de l'émetteur du certificat en utilisant l'ancien
algorithme utilisé dans les versions d'OpenSSL avant 1.0.0.
.IP "\fB\-subject\fR" 4
.IX Item "-subject"
Affiche le nom du sujet.
.IP "\fB\-issuer\fR" 4
.IX Item "-issuer"
Affiche le nom de l'émetteur.
.IP "\fB\-nameopt\fR \fIoption\fR" 4
.IX Item "-nameopt option"
L'option qui détermine la façon dont les noms d'objet ou d'émetteur sont
affichés. L'argument \fIoption\fR peut être une simple option ou plusieurs
options séparées par des virgules. Vous pouvez également utiliser
\&\fB\-nameopt\fR plus d'une fois pour définir plusieurs options. Voir la section
\&\fB\s-1OPTIONS DE NOM\s0\fR pour de plus amples informations.
.IP "\fB\-email\fR" 4
.IX Item "-email"
Affiche la ou les adresses électroniques le cas échéant.
.IP "\fB\-ocsp_uri\fR" 4
.IX Item "-ocsp_uri"
Affiche la ou les adresses du répondeur \s-1OCSP\s0 le cas échéant.
.IP "\fB\-startdate\fR" 4
.IX Item "-startdate"
Affiche la date de début du certificat, qui correspond à la date
« notBefore » (littéralement « pas avant »).
.IP "\fB\-enddate\fR" 4
.IX Item "-enddate"
Affiche la date d'expiration du certificat, qui correspond à la date
« notAfter » (littéralement « pas après »).
.IP "\fB\-dates\fR" 4
.IX Item "-dates"
Affiche les dates de début et de fin du certificat.
.IP "\fB\-checkend\fR \fIparam\fR" 4
.IX Item "-checkend param"
Vérifie si le certificat expire dans les prochaines \fIparam\fR secondes et
quitte avec une valeur de retour non nulle si c’est le cas, ou zéro sinon.
.IP "\fB\-fingerprint\fR" 4
.IX Item "-fingerprint"
Affiche l'empreinte de la version encodée \s-1DER\s0 de l'ensemble du certificat
(voir les options d'empreinte).
.IP "\fB\-C\fR" 4
.IX Item "-C"
Affiche le certificat sous la forme d'un fichier source C.
.SS "PARAMÈTRES \s-1DE CONFIANCE\s0"
.IX Subsection "PARAMÈTRES DE CONFIANCE"
Veuillez noter que ces options sont expérimentales et peuvent être amenées à
changer.
.PP
Un \fBcertificat de confiance\fR est un certificat ordinaire auquel plusieurs
éléments d'information supplémentaires sont rattachés, tels que les
utilisations permises et interdites du certificat et un « alias ».
.PP
Normalement, quand un certificat est contrôlé, au moins un certificat doit
être « de confiance ». Par défaut, un certificat de confiance doit être
stocké localement et doit être une autorité de certification racine : toute
chaîne de certificat à la fin de ce certificat est alors utilisable dans
n'importe quel but.
.PP
Les paramètres de confiance sont actuellement utilisés avec une autorité de
certification racine. Ils permettent un contrôle plus fin des différentes
certifications racines ayant divers usages. Par exemple, un \s-1CA\s0 est fiable
pour le client \s-1SSL,\s0 mais pas pour l'utilisation d'un serveur \s-1SSL.\s0
.PP
Voir la description de l'utilitaire \fBverify\fR pour plus d'informations sur
la signification des paramètres de confiance.
.PP
Les futures versions d'OpenSSL reconnaîtront les paramètres de confiance sur
n'importe quel certificat : pas seulement les autorités de certification
racine.
.IP "\fB\-trustout\fR" 4
.IX Item "-trustout"
Permet à \fBx509 \fR de délivrer un certificat \fBde confiance\fR. Un certificat
ordinaire ou de confiance peut être entré, mais par défaut un certificat
ordinaire est sorti et les paramètres de confiance sont rejetés. Avec
l'option \fB\-trustout\fR un certificat de confiance est sorti. Un certificat de
confiance est sorti automatiquement si les paramètres de confiance sont
modifiés.
.IP "\fB\-setalias\fR \fIparam\fR" 4
.IX Item "-setalias param"
Définit l'alias du certificat. Cela permettra au certificat d'être référencé
par un surnom par exemple  « Le certificat de Steve ».
.IP "\fB\-alias\fR" 4
.IX Item "-alias"
Fournit en sortie l'alias de certificat, s’il existe.
.IP "\fB\-clrtrust\fR" 4
.IX Item "-clrtrust"
Efface toutes les utilisations autorisées ou de confiance du certificat.
.IP "\fB\-clrreject\fR" 4
.IX Item "-clrreject"
Efface tous les usages interdits ou rejetés du certificat.
.IP "\fB\-addtrust\fR \fIparam\fR" 4
.IX Item "-addtrust param"
Ajoute une utilisation de confiance de certificat. Tout nom d'objet peut
être utilisé ici, mais actuellement seulement \fBclientAuth\fR (utilisation de
client \s-1SSL\s0), \fBserverAuth\fR (utilisation de serveur \s-1SSL\s0) et
\&\fBemailProtection\fR (courriel S/MIME) sont utilisés. D'autres applications
OpenSSL peuvent définir d'autres utilisations.
.IP "\fB\-addreject\fR \fIparam\fR" 4
.IX Item "-addreject param"
Ajoute un usage interdit. Les mêmes valeurs que l'option \fB\-addtrust\fR sont
acceptées.
.IP "\fB\-purpose\fR" 4
.IX Item "-purpose"
Cette option effectue des tests sur les extensions de certificat et affiche
les résultats. Pour une description plus complète, voir la section des
\&\fB\s-1EXTENSIONS DE CERTIFICAT\s0\fR.
.SS "\s-1OPTIONS POUR LA SIGNATURE\s0"
.IX Subsection "OPTIONS POUR LA SIGNATURE"
L'utilitaire \fBx509\fR peut être utilisé pour signer des certificats et des
demandes : il peut donc se comporter comme une « mini \s-1CA\s0 ».
.IP "\fB\-signkey\fR \fInom_fichier\fR" 4
.IX Item "-signkey nom_fichier"
Cette option autorise le fichier d'entrée à être autosigné avec la clé
privée fournie.
.Sp
Si le fichier d'entrée est un certificat, il définit le nom de l'émetteur
comme nom de sujet (c’est\-à\-dire, le rend autosigné), change la clé publique
à la valeur fournie et modifie les dates de début et de fin. La date de
début est réglée sur l'heure courante et la date de fin est réglée à une
valeur déterminée par l'option \fB\-days\fR. Toutes les extensions de certificat
sont conservées sauf si l'option \fB\-clrext\fR est fournie.
.Sp
Si l'entrée est une demande de certificat, alors un certificat autosigné est
créé en utilisant la clé privée fournie et utilisera le nom de l'objet dans
la demande.
.IP "\fB\-passin\fR \fIparam\fR" 4
.IX Item "-passin param"
La source du mot de passe de la clef. Pour plus d'informations sur le format
de \fIparam\fR, consultez la section \fBPARAMÈTRES \s-1DE PHRASE\s0 SECRÈTE\fR
d'\fBopenssl\fR(1).
.IP "\fB\-clrext\fR" 4
.IX Item "-clrext"
Supprime toutes les extensions d'un certificat. Cette option est utilisée
quand un certificat est créé à partir d'un autre certificat (par exemple
avec les options \fB\-signkey\fR ou \fB\-CA\fR). Normalement, toutes les extensions
sont conservées.
.IP "\fB\-keyform\fR \fB\s-1PEM\s0\fR|\fB\s-1DER\s0\fR" 4
.IX Item "-keyform PEM|DER"
Indique le format (\s-1DER\s0 ou \s-1PEM\s0) du fichier de clé privée utilisé par l'option
\&\fB\-signkey\fR.
.IP "\fB\-days\fR \fIparam\fR" 4
.IX Item "-days param"
Indique le nombre de jours pendant lesquels le certificat doit être
valable. La valeur par défaut est de 30 jours.
.IP "\fB\-x509toreq\fR" 4
.IX Item "-x509toreq"
Convertit le certificat en demande de certificat. L'option \fB\-signkey\fR est
utilisée pour passer la clé privée.
.IP "\fB\-req\fR" 4
.IX Item "-req"
Par défaut, un certificat est attendu en entrée. Avec cette option une
demande de certificat est attendue à la place.
.IP "\fB\-set_serial\fR \fIn\fR" 4
.IX Item "-set_serial n"
Précise le numéro de série à utiliser. Cette option peut être utilisée avec
l'option \fB\-signkey\fR ou \fB\-CA\fR. Si elle est utilisée en conjonction avec
l'option \fB\-CA\fR le fichier de numéro de série (comme spécifié par l'option
<\-CAserial> ou \fB\-CAcreateserial\fR) n'est pas utilisé.
.Sp
Le numéro de série peut être décimal ou hexadécimal (si précédé par
\&\fI0x\fR). Des numéros de série négatifs peuvent aussi être utilisés, mais leur
utilisation n'est pas recommandée.
.IP "\fB\-CA\fR \fInom_fichier\fR" 4
.IX Item "-CA nom_fichier"
Précise le certificat \s-1CA\s0 à utiliser pour la signature. Lorsque cette option
est présente, \fBx509\fR se comporte comme une « mini \s-1CA\s0 ». Le fichier d'entrée
est signé par cette autorité de certification en utilisant cette option :
c’est\-à\-dire, le nom de l'émetteur est le nom d’objet de la \s-1CA\s0 et est signé
numériquement à l'aide de la clé privée de la \s-1CA.\s0
.Sp
Cette option est normalement combinée avec l'option \fB\-req\fR. Sans l'option
\&\fB\-req\fR l'entrée est un certificat qui doit être autosigné.
.IP "\fB\-CAkey\fR \fInom_fichier\fR" 4
.IX Item "-CAkey nom_fichier"
Définit la clé privée de la \s-1CA\s0 avec laquelle signer un certificat. Si cette
option n'est pas spécifiée, alors il est supposé que la clé privée est
présente dans le fichier de certificat de la \s-1CA.\s0
.IP "\fB\-CAserial\fR \fInom_fichier\fR" 4
.IX Item "-CAserial nom_fichier"
Définit le fichier de numéro de série de la \s-1CA\s0 à utiliser.
.Sp
Lorsque l'option \fB\-CA\fR est utilisée pour signer un certificat, un numéro de
série indiqué dans un fichier est utilisé. Ce fichier se compose d'une ligne
contenant un nombre pair de chiffres hexadécimaux avec le numéro de série à
utiliser. Après chaque utilisation, le numéro de série est incrémenté et
écrit à nouveau dans le fichier.
.Sp
Le nom de fichier par défaut se compose du nom de base du fichier de
certificat de la \s-1CA\s0 avec « .srl » comme extension. Par exemple, si le
fichier de certificat \s-1CA\s0 est appelé « mycacert.pem », il s'attend à trouver
un fichier de numéro de série appelé « mycacert.srl ».
.IP "\fB\-CAcreateserial\fR" 4
.IX Item "-CAcreateserial"
Avec cette option, le fichier de numéro de série de la \s-1CA\s0 est créé s'il
n'existe pas : il contiendra le numéro de série « 02 » et le certificat qui
a été signé aura le 1 comme numéro de série. Normalement, si l'option \fB\-CA\fR
est spécifiée et que le fichier n'existe pas, c'est une erreur.
.IP "\fB\-extfile\fR \fInom_fichier\fR" 4
.IX Item "-extfile nom_fichier"
Fichier contenant les extensions de certificat à utiliser. S'il n'est pas
spécifié, alors aucune extension n'est ajoutée au certificat.
.IP "\fB\-extensions\fR \fIsection\fR" 4
.IX Item "-extensions section"
La section où prendre les extensions de certificats à ajouter. Si cette
option n'est pas spécifiée, alors les extensions devraient soit être
contenues dans la section sans nom (défaut) ou alors la section par défaut
devrait contenir une variable appelée « extensions » qui contient la section
à utiliser. Voir la page de manuel de
\&\fBx509v3_config\fR(5) pour les détails du format de
section des extensions.
.IP "\fB\-force_pubkey\fR \fIclé\fR" 4
.IX Item "-force_pubkey clé"
Quand un certificat est créé, définit sa clé publique à \fIclé\fR à la place de
la clé dans le certificat ou demande de certificat. Cette option est utile
pour créer des certificats lorsque l'algorithme ne peut pas signer
normalement les demandes, par exemple \s-1DH.\s0
.Sp
Le format ou la \fIclé\fR peuvent être spécifiés en utilisant l'option
\&\fB\-keyform\fR.
.SS "\s-1OPTIONS DE NOM\s0"
.IX Subsection "OPTIONS DE NOM"
L’option de ligne de commande \fBnameopt\fR détermine la façon dont les noms de
l'objet et de l'émetteur sont affichés. Si aucune option \fBnameopt\fR n'est
présente, le format par défaut « oneline » est utilisé, ce qui est
compatible avec les versions précédentes d'OpenSSL. Chaque option est
décrite en détail ci-dessous, toutes les options peuvent être précédées d'un
\&\fB\-\fR pour désactiver l'option. Seules les quatre premières seront
normalement utilisées.
.IP "\fBcompat\fR" 4
.IX Item "compat"
Utilise l'ancien format. Cela est équivalent à ne spécifier aucune option de
nom.
.IP "\fB\s-1RFC2253\s0\fR" 4
.IX Item "RFC2253"
Affiche les noms compatibles avec la \s-1RFC2253.\s0 Équivalent à \fBesc_2253\fR,
\&\fBesc_ctrl\fR, \fBesc_msb\fR, \fButf8\fR, \fBdump_nostr\fR, \fBdump_unknown\fR,
\&\fBdump_der\fR, \fBsep_comma_plus\fR, \fBdn_rev\fR et \fBsname\fR.
.IP "\fBoneline\fR" 4
.IX Item "oneline"
Un format d’une seule ligne qui est plus lisible qu’avec la \s-1RFC2253.\s0 Il
revient à spécifier les options \fBesc_2253\fR, \fBesc_ctrl\fR, \fBesc_msb\fR,
\&\fButf8\fR, \fBdump_nostr\fR, \fBdump_der\fR, \fBuse_quote\fR, \fBsep_comma_plus_space\fR,
\&\fBspace_eq\fR et \fBsname\fR.
.IP "\fBmultiline\fR" 4
.IX Item "multiline"
Un format multiligne. Il est équivalent à \fBesc_ctrl\fR, \fBesc_msb\fR,
\&\fBsep_multiline\fR, \fBspace_eq\fR, \fBlname\fR et \fBalign\fR.
.IP "\fBesc_2253\fR" 4
.IX Item "esc_2253"
Protège les caractères « spéciaux » requis par la \s-1RFC2253\s0 dans un champ,
c'est\-à\-dire \fB,+"<>;\fR. De plus, \fB#\fR est protégé au début d'une
chaîne ainsi que l’espace au début ou à la fin d'une chaîne.
.IP "\fBesc_ctrl\fR" 4
.IX Item "esc_ctrl"
Protège les caractères de contrôle : ceux dont la valeur \s-1ASCII\s0 est
inférieure à 0x20 (espace) et le caractère (0x7f) de suppression. Ils sont
protégés en utilisant la notation \eXX de la \s-1RFC2253 \s0(où \s-1XX\s0 sont deux
chiffres hexadécimaux représentant la valeur du caractère).
.IP "\fBesc_msb\fR" 4
.IX Item "esc_msb"
Protège les caractères avec l'ensemble \s-1MSB,\s0 c'est\-à\-dire avec des valeurs
\&\s-1ASCII\s0 supérieures à 127.
.IP "\fBuse_quote\fR" 4
.IX Item "use_quote"
Protège quelques caractères en entourant toute la chaîne avec les caractères
\&\fB"\fR. Sans cette option, tout l'échappement est réalisé avec le caractère
\&\fB\e\fR.
.IP "\fButf8\fR" 4
.IX Item "utf8"
Convertit d'abord toutes les chaînes au format \s-1UTF8.\s0 Cela est requis par la
\&\s-1RFC2253.\s0 Si vous êtes assez chanceux pour avoir un terminal compatible \s-1UTF8,\s0
alors l'utilisation de cette option (et \fBsans\fR la mise en \fBesc_msb\fR) peut
entraîner l'affichage correct des caractères multi-octets
(internationaux). Si cette option n'est pas présente, alors les caractères
multi-octets plus grands que 0xff seront représentés en utilisant le format
\&\eUXXXX pour 16 bits et \eWXXXXXXXX pour 32 bits. Aussi, si cette option est
désactivée, toute chaîne \s-1UTF8\s0 sera d'abord convertie en caractères.
.IP "\fBignore_type\fR" 4
.IX Item "ignore_type"
Cette option ne vise en aucune façon à interpréter les caractères
multi-octets. Leurs octets de contenu sont simplement affichés comme si un
octet représentait un caractère. Cela est utile à des fins de diagnostic,
mais se traduira par une sortie plutôt étrange.
.IP "\fBshow_type\fR" 4
.IX Item "show_type"
Montre le type de la chaîne de caractère \s-1ASN1.\s0 Le type précède le contenu
des champs. Par exemple « \s-1BMPSTRING :\s0 Bonjour tout le monde ».
.IP "\fBdump_der\fR" 4
.IX Item "dump_der"
Lorsque cette option est utilisée, tous les champs qui doivent être affichés
en hexadécimal seront affichés en utilisant l'encodage \s-1DER\s0 du champ. Sinon
seulement les octets de contenu seront affichés. Les deux options utilisent
le format \fB#XXXX...\fR de la \s-1RFC2253.\s0
.IP "\fBdump_nostr\fR" 4
.IX Item "dump_nostr"
Vide les types qui ne sont pas des chaînes de caractères (par exemple \s-1OCTET
STRING\s0). Si cette option n'est pas activée, alors les types qui ne sont pas
des chaînes de caractères seront affichés comme si chaque octet de contenu
représente un seul caractère.
.IP "\fBdump_all\fR" 4
.IX Item "dump_all"
Vide tous les champs. Lorsque cette option est utilisée avec \fBdump_der\fR,
elle permet le codage \s-1DER\s0 de la structure devant être déterminée sans
ambiguïté.
.IP "\fBdump_unknown\fR" 4
.IX Item "dump_unknown"
Vide tout champ dont l'\s-1OID\s0 n'est pas reconnu par OpenSSL.
.IP "\fBsep_comma_plus\fR, \fBsep_comma_plus_space\fR, \fBsep_semi_plus_space\fR, \fBsep_multiline\fR" 4
.IX Item "sep_comma_plus, sep_comma_plus_space, sep_semi_plus_space, sep_multiline"
Ces options déterminent les séparateurs de champs. Le premier caractère est
entre les « Relative Distinguished Name » (\s-1RDN\s0) et le second entre plusieurs
« Attribute Value Assertion » (\s-1AVA\s0) (plusieurs sont très rares et leur
utilisation est déconseillée). Les options se terminant par « espace »
placent en outre une espace après le séparateur pour une meilleure
lisibilité. \fBsep_multiline\fR utilise un caractère de saut de ligne pour le
séparateur des \s-1RDN\s0 et un \fB+\fR entouré d'espaces pour le séparateur des
\&\s-1AVA.\s0 Il indente aussi les champs par quatre caractères.
.IP "\fBdn_rev\fR" 4
.IX Item "dn_rev"
Inverse les champs des \s-1DN.\s0 Cela est requis par la \s-1RFC2253.\s0 Comme un effet
secondaire, cela inverse également l'ordre de plusieurs \s-1AVA\s0 mais cela est
permis.
.IP "\fBnofname\fR, \fBsname\fR, \fBlname\fR, \fBoid\fR" 4
.IX Item "nofname, sname, lname, oid"
Ces options modifient la façon dont le nom de domaine est
affiché. \fBnofname\fR n'affiche pas le champ du tout. \fBsname\fR utilise la
forme « nom court » (\s-1CN\s0 pour commonName par exemple). \fBlname\fR utilise la
forme longue. \fBoid\fR représente l'\s-1OID\s0 sous forme numérique et est utile à
des fins de diagnostic.
.IP "\fBalign\fR" 4
.IX Item "align"
Aligne les valeurs de champ pour une sortie plus lisible. Seulement
utilisable avec \fBsep_multiline\fR.
.IP "\fBspace_eq\fR" 4
.IX Item "space_eq"
Place des espaces autour du caractère \fB=\fR qui suit le nom de champ.
.SS "\s-1OPTIONS POUR LA SORTIE TEXTE\s0"
.IX Subsection "OPTIONS POUR LA SORTIE TEXTE"
Comme pour la personnalisation du format du nom de sortie, il est également
possible de personnaliser les champs réellement affichés en utilisant les
options \fBcertopt\fR lorsque l'option de \fBtext\fR est présente. Le comportement
par défaut est d'afficher tous les domaines.
.IP "\fBcompatible\fR" 4
.IX Item "compatible"
Utilise l'ancien format. Cela est équivalent à ne spécifier aucune option de
sortie du tout.
.IP "\fBno_header\fR" 4
.IX Item "no_header"
N'affiche pas les informations d'en\-tête : c'est\-à\-dire les lignes
comprenant « certificat » et « Data ».
.IP "\fBno_version\fR" 4
.IX Item "no_version"
N'affiche pas le numéro de version.
.IP "\fBno_serial\fR" 4
.IX Item "no_serial"
N'affiche pas le numéro de série.
.IP "\fBno_signame\fR" 4
.IX Item "no_signame"
N'affiche pas l'algorithme de signature utilisé.
.IP "\fBno_validity\fR" 4
.IX Item "no_validity"
N'affiche pas la validité, à savoir les champs de \fBnotBefore\fR et
\&\fBnotAfter\fR.
.IP "\fBno_subject\fR" 4
.IX Item "no_subject"
N'affiche pas le nom de l'objet.
.IP "\fBno_issuer\fR" 4
.IX Item "no_issuer"
N'affiche pas le nom de l'émetteur.
.IP "\fBno_pubkey\fR" 4
.IX Item "no_pubkey"
N'affiche pas la clé publique.
.IP "\fBno_sigdump\fR" 4
.IX Item "no_sigdump"
N'affiche pas la signature du certificat en hexadécimal.
.IP "\fBno_aux\fR" 4
.IX Item "no_aux"
N'affiche pas les informations de confiance du certificat.
.IP "\fBno_extensions\fR" 4
.IX Item "no_extensions"
N'affiche pas toutes les extensions de X509v3.
.IP "\fBext_default\fR" 4
.IX Item "ext_default"
Conserve le comportement de l'extension par défaut : essaie d'afficher les
extensions de certificat non prises en charge.
.IP "\fBext_error\fR" 4
.IX Item "ext_error"
Affiche un message d'erreur pour les extensions de certificat non prises en
charge.
.IP "\fBext_parse\fR" 4
.IX Item "ext_parse"
Analyse avec \s-1ASN1\s0 les extensions non prises en charge.
.IP "\fBext_dump\fR" 4
.IX Item "ext_dump"
Affichage hexadécimal des extensions non prises en charges.
.IP "\fBca_default\fR" 4
.IX Item "ca_default"
La valeur utilisée par l'utilitaire \fBca\fR. Équivalent à \fBno_issuer\fR,
\&\fB\s-1NO_PUBKEY\s0\fR, \fBno_header\fR, \fBno_version\fR, \fBno_sigdump\fR et \fBno_signame\fR.
.SH "EXEMPLES"
.IX Header "EXEMPLES"
Remarque : dans ces exemples, le « \e » signifie que l'exemple doit être sur
une seule ligne.
.PP
Affiche le contenu d'un certificat :
.PP
.Vb 1
\& openssl x509 \-in cert.pem \-noout \-text
.Ve
.PP
Affiche le numéro de série du certificat :
.PP
.Vb 1
\& openssl x509 \-in cert.pem \-noout \-serial
.Ve
.PP
Affiche le nom du sujet du certificat :
.PP
.Vb 1
\& openssl x509 \-in cert.pem \-noout \-subject
.Ve
.PP
Affiche le nom du sujet du certificat au format de la \s-1RFC 2253 :\s0
.PP
.Vb 1
\& openssl x509 \-in cert.pem \-noout \-subject \-nameopt RFC2253
.Ve
.PP
Affiche le nom du sujet du certificat en une seule ligne sur un terminal
supportant \s-1UTF8 :\s0
.PP
.Vb 1
\& openssl x509 \-in cert.pem \-noout \-subject \-nameopt oneline,\-esc_msb
.Ve
.PP
Affiche l'empreinte \s-1MD5\s0 du certificat :
.PP
.Vb 1
\& openssl x509 \-in cert.pem \-noout \-fingerprint
.Ve
.PP
Affiche l'empreinte \s-1SHA1\s0 du certificat :
.PP
.Vb 1
\& openssl x509 \-sha1 \-in cert.pem \-noout \-fingerprint
.Ve
.PP
Convertit un certificat du format \s-1PEM\s0 vers le format \s-1DER :\s0
.PP
.Vb 1
\& openssl x509 \-in cert.pem \-inform PEM \-out cert.der \-outform DER
.Ve
.PP
Convertit un certificat en une demande de certificat :
.PP
.Vb 1
\& openssl x509 \-x509toreq \-in cert.pem \-out req.pem \-signkey key.pem
.Ve
.PP
Convertit une demande de certificat en un certificat autosigné en utilisant
les extensions pour une \s-1CA :\s0
.PP
.Vb 2
\& openssl x509 \-req \-in careq.pem \-extfile openssl.cnf \-extensions v3_ca \e
\&        \-signkey key.pem \-out cacert.pem
.Ve
.PP
Signe une demande de certificat en utilisant le certificat précédent de la
\&\s-1CA\s0 et ajoute les extensions de certificat utilisateur :
.PP
.Vb 2
\& openssl x509 \-req \-in req.pem \-extfile openssl.cnf \-extensions v3_usr \e
\&        \-CA cacert.pem \-CAkey key.pem \-CAcreateserial
.Ve
.PP
Définit un certificat à être approuvé pour l'utilisation par un client \s-1SSL\s0
et règle son alias à « \s-1CA\s0 classe 1 de Steve »
.PP
.Vb 2
\& openssl x509 \-in cert.pem \-addtrust clientAuth \e
\&        \-setalias "CA classe 1 de Steve" \-out trust.pem
.Ve
.SH "NOTES"
.IX Header "NOTES"
Le format \s-1PEM\s0 utilise les lignes d'en\-tête et de bas de page suivantes :
.PP
.Vb 2
\& \-\-\-\-\-BEGIN CERTIFICATE\-\-\-\-\-
\& \-\-\-\-\-END CERTIFICATE\-\-\-\-\-
.Ve
.PP
Il prendra également en charge les fichiers contenant :
.PP
.Vb 2
\& \-\-\-\-\-BEGIN X509 CERTIFICATE\-\-\-\-\-
\& \-\-\-\-\-END X509 CERTIFICATE\-\-\-\-\-
.Ve
.PP
Les certificats de confiance ont les lignes :
.PP
.Vb 2
\& \-\-\-\-\-BEGIN TRUSTED CERTIFICATE\-\-\-\-\-
\& \-\-\-\-\-END TRUSTED CERTIFICATE\-\-\-\-\-
.Ve
.PP
La conversion au format \s-1UTF8\s0 utilisée avec les options de nom considère que
\&\fIT61Strings\fR utilise le jeu de caractères \s-1ISO8859\-1.\s0 Cela est faux, mais
Netscape et \s-1MSIE\s0 font ainsi, ainsi que de nombreux certificats. Ainsi, bien
que ce ne soit pas correct, la plupart des certificats ont plus de chances
de s’afficher correctement.
.PP
L'option \fB\-fingerprint\fR prend le condensé du certificat codé \s-1DER.\s0 Cela est
communément appelé « une empreinte ». En raison de la nature des condensats
de message, l'empreinte d'un certificat est propre à ce certificat, et deux
certificats ayant la même empreinte peuvent être considérés comme étant les
mêmes.
.PP
L'empreinte Netscape utilise \s-1MD5\s0 alors que celle de \s-1MSIE\s0 utilise \s-1SHA1.\s0
.PP
L'option \fB\-email\fR recherche le nom de l'objet et l'extension de nom
alternatif de sujet. Seules les adresses de courriel uniques seront
affichées : la même adresse ne sera pas affichée plus d'une fois.
.SH "EXTENSIONS DE CERTIFICAT"
.IX Header "EXTENSIONS DE CERTIFICAT"
L'option \fB\-purpose\fR vérifie les extensions de certificat et détermine ce
pourquoi le certificat peut être utilisé. Les contrôles réels réalisés sont
assez complexes et comprennent diverses bidouilles et des solutions de
contournement des certificats et des logiciels cassés.
.PP
Le même code est utilisé lors de la vérification des certificats non
approuvés dans les chaînes : cette section est utile si une chaîne est
rejetée par l’utilitaire \fBverify\fR.
.PP
Le drapeau d'extension \fIbasicConstraints\fR de la \s-1CA\s0 est utilisé pour
déterminer si le certificat peut être utilisé comme une \s-1CA.\s0 Si le drapeau de
la \s-1CA\s0 est vrai, alors il est une autorité de certification, si le drapeau de
la \s-1CA\s0 est faux, alors il n'est pas une \s-1CA. \s0\fBToutes\fR les autorités de
certification doivent avoir le drapeau de la \s-1CA\s0 à vrai.
.PP
Si l'extension \fIbasicConstraints\fR est absente, alors le certificat est
considéré comme une « \s-1CA\s0 possible ». Les autres extensions sont contrôlées
selon l'utilisation prévue du certificat. Un avertissement est donné dans ce
cas, car le certificat ne devrait vraiment pas être considéré comme une
autorité de certification : mais il est permis d'être une \s-1CA\s0 pour contourner
certains logiciels cassés.
.PP
Si le certificat est un certificat V1 (et donc n'a pas d’extension) et qu’il
est autosigné, il est également supposé être une \s-1CA\s0 mais un avertissement
est de nouveau donné : c'est pour contourner le problème des racines
Verisign qui sont des certificats V1 autosignés.
.PP
Si l'extension \fIkeyUsage\fR est présente, des restrictions supplémentaires
sont faites sur les utilisations du certificat. Un certificat de \s-1CA \s0\fBdoit\fR
avoir le bit \fIkeyCertSign\fR défini si l'extension \fIkeyUsage\fR est présente.
.PP
L'extension de l’utilisation de clé étendue impose des restrictions
supplémentaires sur les utilisations de certificats. Si cette extension est
présente (critique ou non) la clé ne peut être utilisée aux fins prévues.
.PP
Une description complète de chaque contrôle est livrée ci-dessous. Les
commentaires sur \fIbasicConstraints\fR, \fIKeyUsage\fR et les certificats V1
ci-dessus s'appliquent à \fBtous\fR les certificats de \s-1CA.\s0
.IP "\fB\s-1SSL\s0 Client\fR" 4
.IX Item "SSL Client"
L'extension d'utilisation de clé étendue doit être absente ou inclure l'\s-1OID\s0
« web client authentication ». \fIkeyUsage\fR doit être absent ou doit avoir le
bit \fIdigitalSignature\fR activé. Le type de certificat Netscape doit être
absent ou il doit avoir le bit \fB\s-1SSL\s0 client\fR activé.
.IP "\fB\s-1SSL\s0 Client \s-1CA\s0\fR" 4
.IX Item "SSL Client CA"
L'extension d'utilisation de clé étendue doit être absente ou inclure l'\s-1OID\s0
« web client authentication ». Le type de certificat Netscape doit être
absent ou doit avoir le bit de \fB\s-1SSL CA\s0\fR activé : cela est utilisé comme un
contournement si l'extension \fIbasicConstraints\fR est absente.
.IP "\fB\s-1SSL\s0 Server\fR" 4
.IX Item "SSL Server"
L'extension d'utilisation de clé étendue doit être absente ou inclure l'\s-1OID\s0
« web client authentication » et/ou l'un des \s-1OID SGC. \s0\fIkeyUsage\fR doit être
absent ou avoir un des bits \fIdigitalSignature\fR, \fIkeyEncipherment\fR activé,
ou les deux. Le type de certificat Netscape doit être absent ou avoir le bit
\&\fB\s-1SSL\s0 server\fR activé.
.IP "\fB\s-1SSL\s0 Server \s-1CA\s0\fR" 4
.IX Item "SSL Server CA"
L'extension d'utilisation de clé étendue doit être absente ou inclure l'\s-1OID\s0
« web server authentication » et/ou l'un des \s-1OID SGC.\s0 Le type de certificat
Netscape doit être absent ou le bit de \fB\s-1SSL CA\s0\fR doit être activé : il est
utilisé comme contournement si l'extension \fIbasicConstraints\fR est absente.
.IP "\fBNetscape \s-1SSL\s0 Server\fR" 4
.IX Item "Netscape SSL Server"
Pour que les clients \s-1SSL\s0 Netscape puisse se connecter à un serveur \s-1SSL,\s0 il
doit avoir le bit \fIkeyEncipherment\fR activé si l'extension \fIkeyUsage\fR est
présente. Ce n'est pas toujours valable parce que certaines suites de
chiffrement utilisent la clé pour la signature numérique. Sinon, il est
identique à un serveur \s-1SSL\s0 normal.
.IP "\fBCommon S/MIME Client Tests\fR" 4
.IX Item "Common S/MIME Client Tests"
L'extension d'utilisation de clé étendue doit être absente ou inclure l'\s-1OID\s0
« email protection ». Le type de certificat Netscape doit être absent ou
devrait avoir le bit S/MIME activé. Si le bit S/MIME n'est pas défini dans
le type de certificat Netscape, le bit \fB\s-1SSL\s0 client\fR est toléré comme une
alternative, mais un message d'avertissement apparaît : c'est parce que
certains certificats Verisign ne fixent pas le bit S/MIME.
.IP "\fBS/MIME Signing\fR" 4
.IX Item "S/MIME Signing"
En plus de « common S/MIME client tests », le bit \fIdigitalSignature\fR doit
être activé si l'extension \fIkeyUsage\fR est présente.
.IP "\fBS/MIME Encryption\fR" 4
.IX Item "S/MIME Encryption"
En plus de « common S/MIME client tests », le bit \fIkeyEncipherment\fR doit
être activé si l'extension \fIkeyUsage\fR est présente.
.IP "\fBS/MIME \s-1CA\s0\fR" 4
.IX Item "S/MIME CA"
L'extension d'utilisation de clé étendue doit être absente ou inclure l'\s-1OID\s0
« email protection ». Le type de certificat Netscape doit être absent ou
doit avoir le bit \fBS/MIME \s-1CA\s0\fR activé : cela est utilisé comme contournement
si l'extension \fIbasicConstraints\fR est absente.
.IP "\fB\s-1CRL\s0 Signing\fR" 4
.IX Item "CRL Signing"
L'extension \fIkeyUsage\fR doit être absente ou doit avoir le bit \fB\s-1CRL\s0
signing\fR activé.
.IP "\fB\s-1CRL\s0 Signing \s-1CA\s0\fR" 4
.IX Item "CRL Signing CA"
Les contrôles normaux de la \s-1CA\s0 s'appliquent. Sauf dans ce cas, l'extension
\&\fIbasicConstraints\fR doit être présente.
.SH "BOGUES"
.IX Header "BOGUES"
Les extensions dans les certificats ne sont pas transférées à des demandes
de certificats et vice versa.
.PP
Il est possible de produire des certificats ou des demandes valides en
indiquant une mauvaise clé privée ou en utilisant des options incompatibles
dans certains cas : cela doit être vérifié.
.PP
Il devrait y avoir des options pour définir explicitement des choses telles
que les dates de début et de fin, plutôt qu'un décalage par rapport à
l'heure actuelle.
.PP
Le code pour implémenter le comportement de \fIverify\fR décrit dans les
\&\fBPARAMÈTRES \s-1DE CONFIANCE\s0\fR est en cours d'élaboration. Il décrit ainsi le
comportement attendu plutôt que le comportement actuel. Il est à espérer
qu'il saura représenter la réalité dans OpenSSL 0.9.5 et plus tard.
.SH "VOIR AUSSI"
.IX Header "VOIR AUSSI"
\&\fBreq\fR(1), \fBca\fR(1), \fBgenrsa\fR(1),
\&\fBgendsa\fR(1), \fBverify\fR(1),
\&\fBx509v3_config\fR(5)
.SH "HISTORIQUE"
.IX Header "HISTORIQUE"
Avant OpenSSL 0.9.8, l’algorithme de hachage par défaut pour les clés \s-1RSA\s0
était \s-1MD5\s0
.PP
L'algorithme de hachage utilisé dans les options \fB\-subject_hash\fR et
\&\fB\-issuer_hash\fR avant OpenSSL 1.0.0 était basé sur l'algorithme \s-1MD5\s0 obsolète
et l'encodage du nom distinctif. Dans OpenSSL 1.0.0 et plus tard, il est
basé sur une version canonique de \s-1DN\s0 en utilisant \s-1SHA1.\s0 Cela signifie que
tous les répertoires utilisant l'ancienne forme doivent avoir leurs liens
reconstruits à l'aide de \fBc_rehash\fR ou similaire.
.SH "TRADUCTION"
.IX Header "TRADUCTION"
La traduction de cette page de manuel est maintenue par
les membres de la liste <debian\-l10n\-french \s-1AT\s0 lists \s-1DOT\s0 debian \s-1DOT\s0 org>.
Veuillez signaler toute erreur de traduction par un rapport de bogue sur
le paquet manpages-fr-extra.