.\" Automatically generated by Pod::Man 2.28 (Pod::Simple 3.29) .\" .\" Standard preamble: .\" ======================================================================== .de Sp \" Vertical space (when we can't use .PP) .if t .sp .5v .if n .sp .. .de Vb \" Begin verbatim text .ft CW .nf .ne \\$1 .. .de Ve \" End verbatim text .ft R .fi .. .\" Set up some character translations and predefined strings. \*(-- will .\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left .\" double quote, and \*(R" will give a right double quote. \*(C+ will .\" give a nicer C++. Capital omega is used to do unbreakable dashes and .\" therefore won't be available. \*(C` and \*(C' expand to `' in nroff, .\" nothing in troff, for use with C<>. .tr \(*W- .ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p' .ie n \{\ . ds -- \(*W- . ds PI pi . if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch . if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\" diablo 12 pitch . ds L" "" . ds R" "" . ds C` "" . ds C' "" 'br\} .el\{\ . ds -- \|\(em\| . ds PI \(*p . ds L" `` . ds R" '' . ds C` . ds C' 'br\} .\" .\" Escape single quotes in literal strings from groff's Unicode transform. .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" .\" If the F register is turned on, we'll generate index entries on stderr for .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index .\" entries marked with X<> in POD. Of course, you'll have to process the .\" output yourself in some meaningful fashion. .\" .\" Avoid warning from groff about undefined register 'F'. .de IX .. .nr rF 0 .if \n(.g .if rF .nr rF 1 .if (\n(rF:(\n(.g==0)) \{ . if \nF \{ . de IX . tm Index:\\$1\t\\n%\t"\\$2" .. . if !\nF==2 \{ . nr % 0 . nr F 2 . \} . \} .\} .rr rF .\" ======================================================================== .\" .IX Title "PKCS12 1SSL" .TH PKCS12 1SSL "2015-12-31" "1.0.2a 1.0.2c" "OpenSSL" .\" For nroff, turn off justification. Always turn off hyphenation; it makes .\" way too many mistakes in technical documents. .if n .ad l .nh .SH "NOM" .IX Header "NOM" pkcs12 \- Utilitaire pour les fichiers PKCS#12 .SH "SYNOPSIS" .IX Header "SYNOPSIS" \&\fBopenssl\fR \fBpkcs12\fR [\fB\-export\fR] [\fB\-chain\fR] [\fB\-inkey\fR \fInom_fichier\fR] [\fB\-certfile\fR \fInom_fichier\fR] [\fB\-name\fR \fInom\fR] [\fB\-caname\fR \fInom\fR] [\fB\-in\fR \&\fInom_fichier\fR] [\fB\-out\fR \fInom_fichier\fR] [\fB\-noout\fR] [\fB\-nomacver\fR] [\fB\-nocerts\fR] [\fB\-clcerts\fR] [\fB\-cacerts\fR] [\fB\-nokeys\fR] [\fB\-info\fR] [\fB\-des\fR | \&\fB\-des3\fR | \fB\-idea\fR | \fB\-aes128\fR | \fB\-aes192\fR | \fB\-aes256\fR | \fB\-camellia128\fR | \fB\-camellia192\fR | \fB\-camellia256\fR | \fB\-nodes\fR] [\fB\-noiter\fR] [\fB\-maciter\fR|\fB\-nomaciter\fR|\fB\-nomac\fR] [\fB\-twopass\fR] [\fB\-descert\fR] [\fB\-certpbe\fR \fIalg\fR] [\fB\-keypbe\fR \fIalg\fR] [\fB\-macalg\fR \fIsign\fR] [\fB\-keyex\fR] [\fB\-keysig\fR] [\fB\-password\fR \fIparam\fR] [\fB\-passin\fR \fIparam\fR] [\fB\-passout\fR \&\fIparam\fR] [\fB\-rand\fR \fIfichier(s)\fR] [\fB\-CAfile\fR \fIfichier\fR] [\fB\-CApath\fR \&\fIrép\fR] [\fB\-CSP\fR \fInom\fR] .SH "DESCRIPTION" .IX Header "DESCRIPTION" La commande \fBpkcs12\fR permet la création et l'interprétation de fichiers PKCS#12 (parfois également appelés \s-1PFX\s0). Les fichiers PKCS#12 sont utilisés par plusieurs programmes, entre autres Netscape, \s-1MSIE\s0 et \s-1MS\s0 Outlook. .SH "OPTIONS DE LA COMMANDE" .IX Header "OPTIONS DE LA COMMANDE" Il y a de nombreuses options dont certaines diffèrent selon que l'on génère ou interprète un fichier PKCS#12. L'opération par défaut est l'interprétation de fichier PKCS#12. Pour la création d'un fichier PKCS#12, il faut utiliser l'option \fB\-export\fR (voir ci-dessous). .SH "OPTIONS D'INTERPRÉTATION" .IX Header "OPTIONS D'INTERPRÉTATION" .IP "\fB\-in\fR \fInom_fichier\fR" 4 .IX Item "-in nom_fichier" Indique le nom du fichier PKCS#12 à interpréter. Par défaut, l'entrée standard est lue. .IP "\fB\-out\fR \fInom_fichier\fR" 4 .IX Item "-out nom_fichier" Le nom du fichier où seront écrits les certificats et les clés privées. Par défaut, ce sera la sortie standard. Ils sont tous écrits au format \s-1PEM.\s0 .IP "\fB\-passin\fR \fIparam\fR" 4 .IX Item "-passin param" Le fichier PKCS#12 source des mots de passe (c'est\-à\-dire le fichier d'entrée). Pour plus d'informations sur le format de \fIparam\fR, voir la section \fBPARAMÈTRES \s-1DE PHRASE\s0 SECRÈTE\fR d'\fIopenssl\fR\|(1). .IP "\fB\-passout\fR \fIparam\fR" 4 .IX Item "-passout param" La source de la phrase secrète à utiliser pour le chiffrement des clés privées générées. Pour plus de renseignements sur le format de \fIparam\fR, consultez la section \fBPARAMÈTRES \s-1DE PHRASE\s0 SECRÈTE\fR d'\fIopenssl\fR\|(1). .IP "\fB\-password\fR \fIparam\fR" 4 .IX Item "-password param" Avec \fB\-export\fR, \fB\-password\fR est équivalent à \fB\-passout\fR. Sinon, \&\fB\-password\fR est équivalent à \fB\-passin\fR. .IP "\fB\-noout\fR" 4 .IX Item "-noout" Cette option empêche l'ajout des clés et des certificats vers la version de sortie du fichier PKCS#12. .IP "\fB\-clcerts\fR" 4 .IX Item "-clcerts" Sortie uniquement des certificats clients (et non des certificats \s-1CA\s0). .IP "\fB\-cacerts\fR" 4 .IX Item "-cacerts" Sortie uniquement des certificats \s-1CA \s0(et non des certificats clients). .IP "\fB\-nocerts\fR" 4 .IX Item "-nocerts" Aucun certificat ne sera sorti. .IP "\fB\-nokeys\fR" 4 .IX Item "-nokeys" Aucune clé privée ne sera sortie. .IP "\fB\-info\fR" 4 .IX Item "-info" Sortie d'informations supplémentaires sur la structure du fichier PKCS#12, sur les algorithmes employés et sur les nombres d'itérations. .IP "\fB\-des\fR" 4 .IX Item "-des" Utilisation du chiffrement \s-1DES\s0 pour les clés privées avant la sortie. .IP "\fB\-des3\fR" 4 .IX Item "-des3" Utilisation du chiffrement triple \s-1DES\s0 pour les clés privées avant la sortie, c'est l'algorithme utilisé par défaut. .IP "\fB\-idea\fR" 4 .IX Item "-idea" Utilisation du chiffrement \s-1IDEA\s0 pour les clés privées avant la sortie. .IP "\fB\-aes128\fR, \fB\-aes192\fR, \fB\-aes256\fR" 4 .IX Item "-aes128, -aes192, -aes256" Utilisation du chiffrement \s-1AES\s0 pour les clés privées avant la sortie. .IP "\fB\-camellia128\fR, \fB\-camellia192\fR, \fB\-camellia256\fR" 4 .IX Item "-camellia128, -camellia192, -camellia256" Utilisation du chiffrement Camellia pour les clés privées avant la sortie. .IP "\fB\-nodes\fR" 4 .IX Item "-nodes" Ne pas chiffrer les clés privées du tout. .IP "\fB\-nomacver\fR" 4 .IX Item "-nomacver" Ne pas vérifier l'intégrité \s-1MAC\s0 avant la lecture du fichier. .IP "\fB\-twopass\fR" 4 .IX Item "-twopass" Demander des mots de passe distincts pour l'intégrité et le chiffrement ; la plupart des logiciels supposent toujours l'égalité, ainsi cette option rendra le fichier PKCS#12 illisible pour ces logiciels. .SH "OPTIONS DE CRÉATION DE FICHIER" .IX Header "OPTIONS DE CRÉATION DE FICHIER" .IP "\fB\-export\fR" 4 .IX Item "-export" Cette option indique qu'un fichier PKCS#12 sera généré plutôt qu'analysé. .IP "\fB\-out\fR \fInom_fichier\fR" 4 .IX Item "-out nom_fichier" Indique le nom du fichier PKCS#12 de sortie. La sortie standard est utilisée par défaut. .IP "\fB\-in\fR \fInom_fichier\fR" 4 .IX Item "-in nom_fichier" Le nom du fichier à partir duquel les certificats et les clés privées sont lues. Par défaut, ce sera l'entrée standard. Ils doivent tous être au format \&\s-1PEM. L\s0'ordre n'est pas important, mais une clé privée et le certificat correspondant devraient être présents. Si des certificats supplémentaires sont présents, ils seront également inclus dans le fichier PKCS#12. .IP "\fB\-inkey\fR \fInom_fichier\fR" 4 .IX Item "-inkey nom_fichier" Le fichier à partir duquel sera lue la clé privée. Si cette option n'est pas présente, la clé doit faire partie du fichier d'entrée. .IP "\fB\-name\fR \fInom\fR" 4 .IX Item "-name nom" Indique le \fInom\fR convivial du certificat et de la clé privée. Ce nom est normalement affiché dans les contrôles de liste par les logiciels qui utilisent ce fichier. .IP "\fB\-certfile\fR \fInom_fichier\fR" 4 .IX Item "-certfile nom_fichier" Un nom de fichier à partir duquel des certificats supplémentaires seront lus. .IP "\fB\-caname\fR \fInom\fR" 4 .IX Item "-caname nom" Indique le \fInom\fR convivial pour d'autres certificats. Cette option peut être utilisée plusieurs fois et correspondre alors aux certificats par ordre d'apparition. Netscape ignore les noms conviviaux des autres certificats alors que \s-1MSIE\s0 les affiche. .IP "\fB\-pass\fR \fIparam\fR, \fB\-passout\fR \fIparam\fR" 4 .IX Item "-pass param, -passout param" Le fichier PKCS#12 source des mots de passe (c'est\-à\-dire le fichier d'entrée). Pour plus d'informations sur le format de \fIparam\fR, voir la section \fBPARAMÈTRES \s-1DE PHRASE\s0 SECRÈTE\fR d'\fIopenssl\fR\|(1). .IP "\fB\-passin\fR \fIparam\fR" 4 .IX Item "-passin param" La source de la phrase secrète à utiliser pour l'encodage des clés privées de sortie. Pour plus d'informations sur le format de \fIparam\fR, consultez la section \fBPARAMÈTRES \s-1DE PHRASE\s0 SECRÈTE\fR d'\fIopenssl\fR\|(1). .IP "\fB\-chain\fR" 4 .IX Item "-chain" Avec cette option, le programme tente d'inclure toute la chaîne de certification dans le certificat utilisateur. Le répertoire standard \s-1CA\s0 est utilisé pour cette recherche. Un échec de cette recherche est considérée comme une erreur fatale. .IP "\fB\-descert\fR" 4 .IX Item "-descert" Chiffrer le certificat avec \s-1DES,\s0 cela peut rendre le certificat inutilisable avec certains logiciels autorisés à l'exportation (« export grade », utilisation d'un chiffrement faible). Par défaut, la clé privée est chiffrée en triple \s-1DES\s0 et le certificat en utilisant un \s-1RC2\s0 à 40 bits. .IP "\fB\-keypbe\fR \fIalg\fR, \fB\-certpbe\fR \fIalg\fR" 4 .IX Item "-keypbe alg, -certpbe alg" Ces options permettent le choix de l'algorithme de chiffrement pour la clé privée et les certificats. Tous les noms d'algorithme PKCS#5 v1.5 ou PKCS#12 \s-1PBE\s0 peuvent être utilisés (consultez la section \fB\s-1NOTES\s0\fR pour obtenir plus de renseignements). Si un nom d'algorithme (comme ceux affichés par la commande \fBlist-cipher-algorithms\fR) est indiqué, alors il est utilisé avec PKCS#5 v2.0. Pour des raisons d'interopérabilité, il est conseillé de n'utiliser que les algorithmes PKCS#12. .IP "\fB\-keyex\fR|\fB\-keysig\fR" 4 .IX Item "-keyex|-keysig" Indique que la clé privée est utilisée uniquement pour l'échange de clé ou la signature. Cette option est uniquement interprétée par \s-1MSIE\s0 et des produits similaires \s-1MS.\s0 Normalement, des logiciels « export grade » permettent seulement l'échange de clés \s-1RSA\s0 à 512 bits pour le chiffrement, et une clé de longueur arbitraire pour la signature. L'option \fB\-keysig\fR marque la clé pour une utilisation exclusivement pour des signatures. Une telle clé peut alors être utilisée pour la signature S/MIME, authenticode (signature par contrôles ActiveX) et l'identification de clients \s-1SSL,\s0 toutefois, uniquement \s-1MSIE 5.0\s0 et supérieur supportent l'utilisation de clés de signature pour l'identification de clients \s-1SSL.\s0 .IP "\fB\-macalg\fR \fIsign\fR" 4 .IX Item "-macalg sign" Indiquer l'algorithme de signature \s-1MAC.\s0 Sans précision, \s-1SHA1\s0 sera utilisé. .IP "\fB\-nomaciter\fR, \fB\-noiter\fR" 4 .IX Item "-nomaciter, -noiter" Ces options déterminent le nombre d'itérations pour les algorithmes \s-1MAC\s0 et certains algorithmes de clés. À moins de vouloir produire des fichiers compatibles avec \s-1MSIE 4.0,\s0 ces options peuvent être omises. .Sp Pour décourager des attaques utilisant des dictionnaires importants de mots de passe communs, l'algorithme dérivant les clés des mots de passe peut se voir appliqué un nombre d'itérations : cela a pour effet de répéter une certaine partie de l'algorithme et ralentit l'opération. Le \s-1MAC\s0 est employé pour s'assurer l'intégrité du fichier, mais comme il aura normalement le même mot de passe que les clés et les certificats, il peut aussi se voir attaqué. Par défaut, le nombre d'itérations du \s-1MAC\s0 et du chiffrement sont de 2048, en utilisant ces options, le nombre d'itérations \s-1MAC\s0 et du chiffrement peuvent être mis à 1. Comme cela réduit la sécurité des informations, elles ne devraient être utilisées qu'en cas de nécessité. La plupart des logiciels acceptent un nombre arbitraire d'itérations et pour \s-1MAC\s0 et pour l'encodage. \s-1MSIE 4.0\s0 ne le prend pas en charge pour \s-1MAC\s0 et nécessite alors l'option \fB\-nomaciter\fR. .IP "\fB\-maciter\fR" 4 .IX Item "-maciter" Cette option est incluse pour assurer la compatibilité avec d'anciennes versions pour forcer le nombre d'itérations pour \s-1MAC. C\s0'est actuellement le comportement par défaut. .IP "\fB\-nomac\fR" 4 .IX Item "-nomac" Ne pas essayer de fournir l'intégrité \s-1MAC.\s0 .IP "\fB\-rand\fR \fIfichier(s)\fR" 4 .IX Item "-rand fichier(s)" Un ou plusieurs fichiers contenant des données aléatoires utilisées pour initialiser le générateur de nombres pseudoaléatoires, ou une socket \s-1EGD \&\s0(consultez \fIRAND_egd\fR\|(3)). Plusieurs fichiers peuvent être indiqués en utilisant le séparateur du système d'exploitation : « \fB;\fR » pour Windows, « \fB,\fR » pour OpenVMS et « \fB:\fR » pour tous les autres. .IP "\fB\-CAfile\fR \fIfichier\fR" 4 .IX Item "-CAfile fichier" Stockage d'autorité de certification en tant que fichier. .IP "\fB\-CApath\fR \fIrép\fR" 4 .IX Item "-CApath rép" Stockage d'autorité de certification en tant que répertoire. Ce répertoire doit être un répertoire de certificats standard : c'est\-à\-dire avec des liens correspondant aux hachages des noms d'objet (obtenu par \fBx509 \-hash\fR) pointant vers chaque certificat. .IP "\fB\-CSP\fR \fInom\fR" 4 .IX Item "-CSP nom" Écrire un nom comme un nom \s-1CSP\s0 Microsoft .SH "NOTES" .IX Header "NOTES" Malgré le nombre important d'options, la plupart de celles-ci ne sont utilisées que très rarement. Pour l'interprétation de fichiers PKCS#12, seules \fB\-in\fR et \fB\-out\fR sont nécessaires, pour la création, \fB\-export\fR et \&\fB\-name\fR sont utilisées également. .PP Si aucune des options \fB\-clcerts\fR, \fB\-cacerts\fR ou \fB\-nocerts\fR n'est présente, alors tous les certificats seront générés par ordre d'apparition dans les fichiers source PKCS#12. De plus, il n'y a aucune garantie que le premier certificat trouvé est celui correspondant à la clé privée. Certains logiciels nécessitant une clé privée supposent que le premier certificat du fichier correspond à la clé privée : cela n'est pas forcément toujours le cas. En utilisant l'option \fB\-clcerts\fR le problème est résolu en incluant uniquement le certificat correspondant à la clé privée. Si besoin est, les certificats \s-1CA\s0 peuvent être générés à part avec les options \fB\-nokeys \&\-cacerts\fR. .PP Les options \fB\-keypbe\fR et \fB\-certpbe\fR permettent de préciser l'algorithme de chiffrement pour la clé privée et pour les certificats. Normalement, les valeurs par défauts devraient convenir, mais certains logiciels ne gèrent pas les clés privées encodées avec triple \s-1DES,\s0 alors l'option \fB\-keypbe \&\s-1PBE\-SHA1\-RC2\-40\s0\fR réduit le chiffrement de la clé privée à un \s-1RC2\s0 de 40 bits. Une description complète de tous les algorithmes est contenue dans la page de manuel de \fBpkcs8\fR. .SH "EXEMPLES" .IX Header "EXEMPLES" Interprétation d'un fichier PKCS#12 et sortie vers un fichier : .PP .Vb 1 \& openssl pkcs12 \-in fichier.p12 \-out fichier.pem .Ve .PP Sortie des certificats clients uniquement : .PP .Vb 1 \& openssl pkcs12 \-in fichier.p12 \-clcerts \-out fichier.pem .Ve .PP Ne pas chiffrer la clé privée : .PP .Vb 1 \& openssl pkcs12 \-in fichier.p12 \-out fichier.pem \-nodes .Ve .PP Afficher les informations sur un fichier PKCS#12 : .PP .Vb 1 \& openssl pkcs12 \-in fichier.p12 \-info \-noout .Ve .PP Créer un fichier PKCS#12 : .PP .Vb 2 \& openssl pkcs12 \-export \-in fichier.pem \-out fichier.p12 \e \& \-name "Mon certificat" .Ve .PP Inclure des certificats supplémentaires : .PP .Vb 2 \& openssl pkcs12 \-export \-in fichier.pem \-out fichier.p12 \e \& \-name "Mon certificat" \-certfile autres_cert.pem .Ve .SH "BOGUES" .IX Header "BOGUES" Certains disent que toute la norme PKCS#12 n'est qu'un gros bogue. .PP Les versions d'OpenSSL avant 0.9.6a avaient un bogue dans les routines de génération de clé PKCS#12. Dans certaines circonstances rares, cela pouvait conduire à un fichier PKCS#12 chiffré avec une clé non valable. Ainsi certains fichiers PKCS#12 d'autres implémentations (\s-1MSIE\s0 ou Netscape) qui déclenchaient ce bogue ne pouvaient pas être déchiffrés par OpenSSL et inversement OpenSSL produisait des fichiers non déchiffrables par d'autres implémentations. La probabilité de produire un tel fichier est relativement faible : inférieure à 1 sur 256. .PP Une conséquence de la correction de ce bogue est que de tels fichiers PKCS#12 ne peuvent être interprétés avec une version corrigée. L'utilitaire \&\fBpkcs12\fR signale alors que le \s-1MAC\s0 est valable, mais le déchiffrement des clés privées extraites est voué à l'échec. .PP Ce problème peut être contourné en extrayant les clés privées et les certificats avec une version ancienne d'OpenSSL puis en recréant le fichier PKCS#12 avec une version plus récente à partir des clés et des certificats. Par exemple : .PP .Vb 3 \& old\-openssl \-in mauvais.p12 \-out cert_clé.pem \& openssl \-in cert_clé.pem \-export \-name "Mon fichier PKCS#12" \e \& \-out corrige.p12 .Ve .SH "VOIR AUSSI" .IX Header "VOIR AUSSI" \&\fIpkcs8\fR\|(1) .SH "TRADUCTION" .IX Header "TRADUCTION" Cette page de manuel a été traduite par Eltrai en 2002 et est maintenue par la liste . Veuillez signaler toute erreur de traduction par un rapport de bogue sur le paquet manpages-fr-extra.