.\" Automatically generated by Pod::Man 2.28 (Pod::Simple 3.29) .\" .\" Standard preamble: .\" ======================================================================== .de Sp \" Vertical space (when we can't use .PP) .if t .sp .5v .if n .sp .. .de Vb \" Begin verbatim text .ft CW .nf .ne \\$1 .. .de Ve \" End verbatim text .ft R .fi .. .\" Set up some character translations and predefined strings. \*(-- will .\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left .\" double quote, and \*(R" will give a right double quote. \*(C+ will .\" give a nicer C++. Capital omega is used to do unbreakable dashes and .\" therefore won't be available. \*(C` and \*(C' expand to `' in nroff, .\" nothing in troff, for use with C<>. .tr \(*W- .ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p' .ie n \{\ . ds -- \(*W- . ds PI pi . if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch . if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\" diablo 12 pitch . ds L" "" . ds R" "" . ds C` "" . ds C' "" 'br\} .el\{\ . ds -- \|\(em\| . ds PI \(*p . ds L" `` . ds R" '' . ds C` . ds C' 'br\} .\" .\" Escape single quotes in literal strings from groff's Unicode transform. .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" .\" If the F register is turned on, we'll generate index entries on stderr for .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index .\" entries marked with X<> in POD. Of course, you'll have to process the .\" output yourself in some meaningful fashion. .\" .\" Avoid warning from groff about undefined register 'F'. .de IX .. .nr rF 0 .if \n(.g .if rF .nr rF 1 .if (\n(rF:(\n(.g==0)) \{ . if \nF \{ . de IX . tm Index:\\$1\t\\n%\t"\\$2" .. . if !\nF==2 \{ . nr % 0 . nr F 2 . \} . \} .\} .rr rF .\" ======================================================================== .\" .IX Title "REQ 1SSL" .TH REQ 1SSL "2015-12-31" "1.0.2a 1.0.2c" "OpenSSL" .\" For nroff, turn off justification. Always turn off hyphenation; it makes .\" way too many mistakes in technical documents. .if n .ad l .nh .SH "NOM" .IX Header "NOM" req \- Utilitaire de génération de certificats et de demandes de certificat PKCS#10 .SH "SYNOPSIS" .IX Header "SYNOPSIS" \&\fBopenssl\fR \fBreq\fR [\fB\-inform\fR \fB\s-1PEM\s0\fR|\fB\s-1DER\s0\fR] [\fB\-outform\fR \fB\s-1PEM\s0\fR|\fB\s-1DER\s0\fR] [\fB\-in\fR \fInom_fichier\fR] [\fB\-passin\fR \fIparam\fR] [\fB\-out\fR \fInom_fichier\fR] [\fB\-passout\fR \fIparam\fR] [\fB\-text\fR] [\fB\-pubkey\fR] [\fB\-noout\fR] [\fB\-verify\fR] [\fB\-modulus\fR] [\fB\-new\fR] [\fB\-rand\fR \fIfichier(s)\fR] [\fB\-newkey rsa:\fR\fIbits\fR] [\fB\-newkey\fR \fIalg\fR\fB:\fR\fIfichier\fR] [\fB\-nodes\fR] [\fB\-key\fR \fInom_fichier\fR] [\fB\-keyform\fR \fB\s-1PEM\s0\fR|\fB\s-1DER\s0\fR] [\fB\-keyout\fR \fInom_fichier\fR] [\fB\-keygen_engine\fR \&\fIid\fR] [\fB\-\fR[\fIcondensé\fR]] [\fB\-config\fR \fInom_fichier\fR] [\fB\-subj\fR \fIparam\fR] [\fB\-multivalue\-rdn\fR] [\fB\-x509\fR] [\fB\-days\fR \fIn\fR] [\fB\-set_serial\fR \fIn\fR] [\fB\-asn1\-kludge\fR] [\fB\-no\-asn1\-kludge\fR][\fB\-newhdr\fR] [\fB\-extensions\fR \&\fIsection\fR] [\fB\-reqexts\fR \fIsection\fR] [\fB\-utf8\fR] [\fB\-nameopt\fR] [\fB\-reqopt\fR] [\fB\-subject\fR] [\fB\-subj\fR \fIparam\fR] [\fB\-batch\fR] [\fB\-verbose\fR] [\fB\-engine\fR \&\fIid\fR] .SH "DESCRIPTION" .IX Header "DESCRIPTION" La commande \fBreq\fR crée et traite des demandes de certificats au format PKCS#10. En plus, elle peut créer des certificats autosignés servant par exemple de certificats racine d'autorité de certification. .SH "OPTIONS DE LA COMMANDE" .IX Header "OPTIONS DE LA COMMANDE" .IP "\fB\-inform\fR \fB\s-1DER\s0\fR|\fB\s-1PEM\s0\fR" 4 .IX Item "-inform DER|PEM" Indiquer le format d'entrée. L'option \fB\s-1DER\s0\fR utilise l'encodage \s-1ASN1 DER\s0 compatible avec le format PKCS#10. La forme \fB\s-1PEM\s0\fR est le format par défaut : il s'agit du format \fB\s-1DER\s0\fR encodé en base64 avec des lignes supplémentaires au début et à la fin. .IP "\fB\-outform\fR \fB\s-1DER\s0\fR|\fB\s-1PEM\s0\fR" 4 .IX Item "-outform DER|PEM" Indiquer le format de sortie. Les options ont la même signification que pour l'option \fB\-inform\fR. .IP "\fB\-in\fR \fInom_fichier\fR" 4 .IX Item "-in nom_fichier" Indiquer le nom du fichier d'entrée à partir duquel la demande est lue. Par défaut, l'entrée standard sera lue si cette option n'est pas indiquée. Une demande est uniquement lue si les options de création (\fB\-new\fR et \&\fB\-newkey\fR) ne sont pas indiquées. .IP "\fB\-passin\fR \fIparam\fR" 4 .IX Item "-passin param" La source de mot de passe d'entrée. Pour plus de renseignements sur le format de \fIparam\fR, consultez la section \fBPARAMÈTRES \s-1DE PHRASE\s0 SECRÈTE\fR d'\fBopenssl\fR(1). .IP "\fB\-out\fR \fInom_fichier\fR" 4 .IX Item "-out nom_fichier" Indiquer le nom du fichier de sortie. La sortie standard est utilisée par défaut. .IP "\fB\-passout\fR \fIparam\fR" 4 .IX Item "-passout param" La source de mot de passe pour le fichier de sortie. Pour plus de renseignements sur le format de \fIparam\fR, consultez la section \fBPARAMÈTRES \&\s-1DE PHRASE\s0 SECRÈTE\fR d'\fBopenssl\fR(1). .IP "\fB\-text\fR" 4 .IX Item "-text" Afficher la demande de certificat au format texte. .IP "\fB\-subject\fR" 4 .IX Item "-subject" Afficher l'objet de la demande (ou l'objet du certificat si \fB\-x509\fR est indiqué) .IP "\fB\-pubkey\fR" 4 .IX Item "-pubkey" Afficher la clef publique. .IP "\fB\-noout\fR" 4 .IX Item "-noout" Cette option empêche la sortie de la version encodée de la demande. .IP "\fB\-modulus\fR" 4 .IX Item "-modulus" Cette option affiche la valeur du modulo de la clef publique contenue dans la demande. .IP "\fB\-verify\fR" 4 .IX Item "-verify" Vérifier la signature de la demande. .IP "\fB\-new\fR" 4 .IX Item "-new" Cette option génère une nouvelle demande de certificat. Il sera demandé à l'utilisateur de fournir les valeurs des champs nécessaires. Ces champs demandés ainsi que leurs valeurs maximales et minimales sont indiqués dans le fichier de configuration ainsi que dans les extensions. .Sp Si l'option \fB\-key\fR n'est pas utilisée, une nouvelle clef privée \s-1RSA\s0 sera générée en utilisant l'information du fichier de configuration. .IP "\fB\-subj\fR \fIparam\fR" 4 .IX Item "-subj param" Remplacer le champ d'objet de la demande d'entrée par les données indiquées et afficher la demande modifiée. \fIparam\fR doit être formaté comme \&\fB/\fR\fItype0\fR\fB=\fR\fIvaleur0\fR\fB/\fR\fItype1\fR\fB=\fR\fIvaleur1\fR\fB/\fR\fItype2\fR\fB=\fR... où les caractères peuvent être protégés par « \e » (barre oblique inversée), aucun espace n'est ignoré. .IP "\fB\-rand\fR \fIfichier(s)\fR" 4 .IX Item "-rand fichier(s)" Un ou plusieurs fichiers contenant des données aléatoires utilisées pour initialiser le générateur de nombres pseudoaléatoires, ou une socket \s-1EGD \&\s0(consultez \fIRAND_egd\fR\|(3)). Plusieurs fichiers peuvent être indiqués en utilisant le séparateur du système d'exploitation : « \fB;\fR » pour Windows, « \fB,\fR » pour OpenVMS et « \fB:\fR » pour tous les autres. .IP "\fB\-newkey\fR \fIparam\fR" 4 .IX Item "-newkey param" Cette option crée une nouvelle demande de certificat et une nouvelle clef privée. Le paramètre utilise l'une des formes suivantes : \&\fBrsa:\fR\fInombre_bits\fR, où \fInombre_bits\fR est le nombre de bits, génère une clef \s-1RSA\s0 de taille \fInombre_bits\fR. Si \fInombre_bits\fR n'est pas indiqué, c'est\-à\-dire que \fB\-newkey rsa\fR est utilisé, la taille de clef par défaut, indiquée dans le fichier de configuration, est utilisée. .Sp Tous les autres algorithmes gèrent la forme \fB\-newkey\fR \fIalg\fR\fB:\fR\fIfichier\fR, où \fIfichier\fR peut être un fichier de paramètres d'algorithme, créé par la commande \fBgenpkey \-genparam\fR ou un certificat X.509 pour une clef avec l'algorithme approprié. .Sp \&\fBparam:\fR\fIfichier\fR génère une clef en utilisant le \fIfichier\fR de paramètres ou de certificats, l'algorithme est déterminé par les paramètres. \fIalg\fR\fB:\fR\fIfichier\fR utilise l'\fIalg\fRorithme indiqué et le \&\fIfichier\fR de paramètres. Les deux algorithmes doivent correspondre sinon cela produit une erreur. \fIalg\fR n'indique que l'algorithme, et les paramètres, si nécessaires, doivent être indiqués avec l'option \fB\-pkeyopt\fR. .Sp \&\fBdsa:\fR\fIfichier\fR génère une clef \s-1DSA\s0 utilisant les paramètres du fichier \&\fIfichier\fR. \fBec:\fR\fIfichier\fR génère une clef \s-1EC \s0(utilisable à la fois avec les algorithmes \s-1ECDSA\s0 ou \s-1ECDH\s0), \fBgost2001:\fR\fIfichier\fR génère une clef \s-1GOST R 34.10\-2001 \s0(nécessite que le moteur \fBccgost\fR soit configuré dans le fichier de configuration). Si seul \fBgost2001\fR est indiqué, un jeu de paramètres devrait être indiqué par \fB\-pkeyopt\fR \fIjeu_param\fR\fB:\fR\fIX\fR .IP "\fB\-pkeyopt\fR \fIopt\fR\fB:\fR\fIvaleur\fR" 4 .IX Item "-pkeyopt opt:valeur" Définir l'option \fIopt\fR de l'algorithme à clef publique à \&\fIvaleur\fR. L’ensemble exact d'options prises en charge dépend de l'algorithme à clef publique utilisé et de son implémentation. Consultez \&\fB\s-1OPTIONS DE\s0 GÉNÉRATION \s-1DE CLEF\s0\fR dans la page de manuel \fBgenpkey\fR(1) pour plus de précisions. .IP "\fB\-key\fR \fInom_fichier\fR" 4 .IX Item "-key nom_fichier" Indiquer le fichier de clef privée à lire. Les clefs privées au format PKCS#8 sont aussi acceptées pour les fichiers au format \s-1PEM.\s0 .IP "\fB\-keyform\fR \fB\s-1PEM\s0\fR|\fB\s-1DER\s0\fR" 4 .IX Item "-keyform PEM|DER" Le format du fichier de la clef privée indiqué avec l'option \fB\-key\fR. \s-1PEM\s0 est le format par défaut. .IP "\fB\-keyout\fR \fInom_fichier\fR" 4 .IX Item "-keyout nom_fichier" Donner le nom de fichier où la clef privée créée sera écrite. Par défaut, le nom indiqué par le fichier de configuration est utilisé. .IP "\fB\-nodes\fR" 4 .IX Item "-nodes" Avec cette option, si une clef privée est créée, elle ne sera pas chiffrée. .IP "\fB\-\fR[\fIcondensé\fR]" 4 .IX Item "-[condensé]" Indiquer le type de condensé à utiliser pour signer la demande (comme \&\fB\-md5\fR ou \fB\-sha1\fR). Si elle est présente, cette option prévaut à celle donnée dans le fichier de configuration. .Sp Certains algorithmes à clef publique pourraient écraser ce choix. Par exemple, les signatures \s-1DSA\s0 utilisent toujours \s-1SHA1,\s0 les signatures \s-1GOST R 34.10\s0 utilisent toujours \s-1GOST R 34.11\-94 \s0(\fB\-md_gost94\fR). .IP "\fB\-config\fR \fInom_fichier\fR" 4 .IX Item "-config nom_fichier" Permettre d'utiliser un fichier de configuration alternatif, à la place de celui indiqué lors de la compilation ou avec la variable d'environnement \&\fB\s-1OPENSSL_CONF\s0\fR. .IP "\fB\-subj\fR \fIparam\fR" 4 .IX Item "-subj param" Définir le nom de sujet pour les nouvelles demandes ou remplace le nom de sujet lors du traitement d'une demande. \fIparam\fR doit être formaté comme \&\fB/\fR\fItype0\fR\fB=\fR\fIvaleur0\fR\fB/\fR\fItype1\fR\fB=\fR\fIvaleur1\fR\fB/\fR\fItype2\fR\fB=\fR... où les caractères peuvent être protégés par « \e » (barre oblique inversée), aucun espace n'est ignoré. .IP "\fB\-multivalue\-rdn\fR" 4 .IX Item "-multivalue-rdn" Cette option force l'argument de \fB\-subj\fR à être interprété avec une prise en charge complète des \s-1RDN\s0 multivaleurs. Exemple : .Sp \&\fI/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=Jean Dupont\fR .Sp Si \fB\-multi\-rdn\fR est utilisée, alors la valeur de l'\s-1UID\s0 est \fI123456+CN=Jean Dupont\fR. .IP "\fB\-x509\fR" 4 .IX Item "-x509" Cette option génère un certificat autosigné à la place d'une demande de certificat. Elle est utilisée typiquement pour générer des certificats de test ou le certificat autosigné racine d'une autorité de certification. Les extensions à ajouter au certificat, s'il y en a, sont indiquées dans le fichier de configuration. À moins d'être précisé par l'option \fBset_serial\fR, un grand nombre aléatoire sera utilisé pour le numéro de série. .IP "\fB\-days\fR \fIn\fR" 4 .IX Item "-days n" Lorsque l'option \fB\-x509\fR est utilisée, elle indique le nombre de jours pendant lesquels le certificat sera certifié. La valeur par défaut est 30 jours. .IP "\fB\-set_serial\fR \fIn\fR" 4 .IX Item "-set_serial n" Numéro de série à utiliser lors de l'affichage d'un certificat autosigné. Cela peut être indiqué comme une valeur décimale, ou hexadécimale si elle est précédée par \fB0x\fR. Des numéros de série négatifs peuvent être utilisés mais ce n'est pas conseillé. .IP "\fB\-extensions\fR \fIsection\fR" 4 .IX Item "-extensions section" .PD 0 .IP "\fB\-reqexts\fR \fIsection\fR" 4 .IX Item "-reqexts section" .PD Ces options précisent des sections alternatives d'extension de certificat (si l'option \fB\-x509\fR est présente), ou de demandes de certificat à inclure. Cela permet d'utiliser des sections différentes du même fichier de configuration servant à des propos variés. .IP "\fB\-utf8\fR" 4 .IX Item "-utf8" Cette option indique que les valeurs des champs doivent être interprétées comme des chaînes \s-1UTF\-8.\s0 Par défaut, elles sont interprétées comme des chaînes \s-1ASCII.\s0 Cela signifie que les valeurs des champs, qu'elles soient demandées sur le terminal ou fournies par le fichier de configuration, doivent être des chaînes \s-1UTF\-8\s0 valables. .IP "\fB\-nameopt\fR \fIoption\fR" 4 .IX Item "-nameopt option" Option qui détermine la façon d'afficher les noms de sujet ou d'émetteur. L'argument \fIoption\fR peut être une seule option ou plusieurs options séparées par des virgules. Le paramètre \fB\-nameopt\fR peut aussi être utilisé plus d'une fois pour définir plusieurs options. Consultez la page de manuel \fIx509\fR\|(1) pour plus de précisions. .IP "\fB\-reqopt\fR" 4 .IX Item "-reqopt" Personnaliser le format de sortie utilisé avec \fB\-text\fR. L'argument \&\fIoption\fR peut être une seule option ou plusieurs options séparées par des virgules. .Sp Consultez la discussion sur l'option \fB\-certopt\fR dans la page de manuel de la commande \fBx509\fR. .IP "\fB\-asn1\-kludge\fR" 4 .IX Item "-asn1-kludge" Par défaut, la commande \fBreq\fR génère des demandes de certificats sans attributs dans un format PKCS#10 valable. Toutefois, certaines autorités de certification n'acceptent que des demandes sans attributs sous une forme non valable qui est produite avec cette option. .Sp Plus précisément, les attributs d'une demande de certificat PKCS#10 sont définies comme un ensemble d'attributs (\fB\s-1SET OF\s0 Attribute\fR). Ils ne sont \&\fBpas de type \s-1OPTIONAL\s0\fR, ainsi, si aucun attribut n'est présent, une entrée vide \fB\s-1SET OF\s0\fR devrait le signaler. La forme non valable n'inclut pas cette entrée alors que la forme valable le fait. .Sp Remarquez que très peu d'autorités de certification nécessitent encore l'utilisation de cette option. .IP "\fB\-no\-asn1\-kludge\fR" 4 .IX Item "-no-asn1-kludge" Inverser l'effet de \fB\-asn1\-kludge\fR. .IP "\fB\-newhdr\fR" 4 .IX Item "-newhdr" Ajouter le mot \fB\s-1NEW\s0\fR aux lignes de début et de fin du fichier \s-1PEM\s0 de la demande de certificat créée. Certains logiciels (Netscape certificate server) et certaines autorités de certification en ont besoin. .IP "\fB\-batch\fR" 4 .IX Item "-batch" Mode non interactif. .IP "\fB\-verbose\fR" 4 .IX Item "-verbose" Afficher des précisions supplémentaires à propos des opérations effectuées. .IP "\fB\-engine\fR \fIid\fR" 4 .IX Item "-engine id" Indiquer un moteur (en utilisant son identifiant unique \fIid\fR) forcera \&\fBreq\fR à essayer d'obtenir une référence fonctionnelle pour le moteur indiqué et l'initialiser si nécessaire. Le moteur sera ensuite utilisé par défaut pour tous les algorithmes disponibles. .IP "\fB\-keygen_engine\fR \fIid\fR" 4 .IX Item "-keygen_engine id" Indiquer un moteur (en utilisant son identifiant unique \fIid\fR) à utiliser pour les opérations de génération de clef. .SH "FORMAT DU FICHIER DE CONFIGURATION" .IX Header "FORMAT DU FICHIER DE CONFIGURATION" Les options de configuration sont indiquées dans la section \fBreq\fR du fichier de configuration. Comme avec tous les fichiers de configuration, si aucune valeur n'est donnée dans la section correspondante (c'est\-à\-dire \&\fBreq\fR), la section initiale sans nom ou la section \fBdefault\fR est également parcourue. .PP Les options disponibles sont décrites en détail ci-dessous. .IP "\fBinput_password output_password\fR" 4 .IX Item "input_password output_password" Les mots de passe pour le fichier de clef privée d'entrée (si présent) et pour le fichier de clef privée de sortie (si une clef est créée). Les options de ligne de commande \fBpassin\fR et \fBpassout\fR remplacent les valeurs du fichier de configuration. .IP "\fBdefault_bits\fR" 4 .IX Item "default_bits" Indique la taille par défaut des clefs, en bits. Si elle n'est pas indiquée, la valeur 512 est utilisée. Elle est utilisée lors de l'emploi de l'option \&\fB\-new\fR. Elle peut être écrasée par l'option \fB\-newkey\fR. .IP "\fBdefault_keyfile\fR" 4 .IX Item "default_keyfile" C'est le nom de fichier par défaut où la clef privée sera écrite. Si elle n'est pas indiquée, la clef sera écrite sur la sortie standard. Cela peut être écrasé par l'option \fB\-keyout\fR. .IP "\fBoid_file\fR" 4 .IX Item "oid_file" Indique le fichier contenant des \fB\s-1IDENTIFIANTS D\s0'\s-1OBJET\s0\fR supplémentaires. Chaque ligne est constituée de la forme numérique de l'identifiant d'objet suivie d'un espace puis du libellé court suivi à son tour d'un espace et finalement du libellé long. .IP "\fBoid_section\fR" 4 .IX Item "oid_section" Indique une section du fichier de configuration contenant d'autres identifiants d'objet. Chaque ligne est constituée du libellé court de l'identifiant d'objet suivi de \fB=\fR et de la forme numérique. Le libellé court et le libellé long sont identiques quand cette option est utilisée. .IP "\fB\s-1RANDFILE\s0\fR" 4 .IX Item "RANDFILE" Indique le fichier où les graines pour les nombres aléatoires sont lues et écrites, ou une socket \s-1EGD \s0(consultez \fIRAND_egd\fR\|(3)). C'est utilisé pour la génération de clef privée. .IP "\fBencrypt_key\fR" 4 .IX Item "encrypt_key" Si cela vaut \fBno\fR, lors de la génération d'une clef privée, elle n'est \&\fBpas\fR chiffrée. Cela équivaut à l'option \fB\-nodes\fR de la ligne de commande. Pour assurer la compatibilité, \fBencrypt_rsa_key\fR est une option équivalente. .IP "\fBdefault_md\fR" 4 .IX Item "default_md" Cette option indique l'algorithme à utiliser pour les condensés. \fBmd5\fR, \&\fBsha1\fR et \fBmdc2\fR font partie des valeurs possibles. Si cette option n'est pas présente, \s-1MD5\s0 sera utilisé. Cette option peut être écrasée avec l'option correspondante de la ligne de commande. .IP "\fBstring_mask\fR" 4 .IX Item "string_mask" Cette option masque l'utilisation de certains types de chaîne de caractères dans certains champs. La plupart des utilisateurs n'auront pas besoin de modifier cette option. .Sp Elle peut se voir affecter diverses valeurs : \fBdefault\fR qui est la valeur par défaut et qui utilise PrintableStrings, T61Strings et BMPStrings. Si la valeur \fBpkix\fR est indiquée, uniquement PrintableStrings et BMPStrings seront utilisées. C'est conforme à la recommandation \s-1PKIX\s0 dans la \&\s-1RFC 2459.\s0 Si l'option \fButf8only\fR est employée, alors seules les UTF8Strings sont employées : c'est la recommandation \s-1PKIX\s0 dans la \s-1RFC 2459\s0 pour après 2003. Finalement l'option \fBnombstr\fR utilise seulement PrintableStrings et T61Strings : certains logiciels ont des problèmes avec les BMPStrings et les UTF8Strings, en particulier Netscape. .IP "\fBreq_extensions\fR" 4 .IX Item "req_extensions" Indique la section du fichier de configuration contenant une liste d'extensions à ajouter à la demande de certificat. Elle peut être remplacée par l'option \fB\-reqexts\fR de la ligne de commande. Consultez la page de manuel \fIx509v3_config\fR\|(5) pour obtenir des précisions sur le format de la section d'extensions. .IP "\fBx509_extensions\fR" 4 .IX Item "x509_extensions" Indique la section du fichier de configuration contenant une liste d'extensions à ajouter aux certificats générés avec l'option \fB\-x509\fR. Elle peut être remplacée par l'option \fB\-extensions\fR de la ligne de commande. .IP "\fBprompt\fR" 4 .IX Item "prompt" Si cela vaut \fBno\fR, aucun champ du certificat ne sera demandé à l'utilisateur et les valeurs du fichier de configuration sont prises d'office. Cela change également le format attendu des sections \&\fBdistinguished_name\fR et \fBattributes\fR. .IP "\fButf8\fR" 4 .IX Item "utf8" Si définie à \fByes\fR, alors les valeurs des champs doivent être interprétées comme des chaînes \s-1UTF\-8.\s0 Par défaut, elles sont interprétées comme des chaînes \s-1ASCII.\s0 Cela signifie que les valeurs des champs, qu'elles soient demandées sur le terminal ou fournies par le fichier de configuration, doivent être des chaînes \s-1UTF\-8\s0 valables. .IP "\fBattributes\fR" 4 .IX Item "attributes" Indique la section contenant les attributs pour les demandes : son format est identique à celui de la section \fBdistinguished_name\fR. Typiquement, ces attributs contiennent les types challengePassword et unstructuredName. Ils sont actuellement ignorés par les utilitaires de signature d'OpenSSL mais peuvent être requis par certaines autorités de certification. .IP "\fBdistinguished_name\fR" 4 .IX Item "distinguished_name" Indique la section contenant les champs des noms distinctifs (« distinguished name ») à demander lors d'une génération de certificat ou d'une demande de certificat. Le format est décrit dans la section suivante. .SH "FORMAT DES SECTIONS DE NOM DISTINCTIF ET D'ATTRIBUT" .IX Header "FORMAT DES SECTIONS DE NOM DISTINCTIF ET D'ATTRIBUT" Il y a deux formats différents pour les sections de nom distinctif et d'attribut. Lorsque l'option \fBprompt\fR vaut \fBno\fR, alors ces sections contiennent uniquement les noms des champs et leurs valeurs. Par exemple : .PP .Vb 3 \& CN=Mon Nom \& OU=Mon Organisation \& emailAddress=quelqu_un@example.org .Ve .PP Cela permet aux programmes externes (par exemple des interfaces graphiques) de générer un fichier modèle à passer à \fBreq\fR. Un exemple de ce type de fichier de configuration se trouve dans la section \fB\s-1EXEMPLES\s0\fR. .PP Dans l'absence de l'option \fBprompt\fR ou si celle-ci ne vaut pas \fBno\fR, le fichier contient des informations pour la demande à l'invite de commandes. Cela se présente sous la forme suivante : .PP .Vb 4 \& nomChamp="invite" \& nomChamp_default="Valeur du champ par défaut" \& nomChamp_min= 2 \& nomChamp_max= 4 .Ve .PP « nomChamp » est le nom du champ à utiliser, par exemple commonName (ou \s-1CN,\s0 nom commun). La chaîne « invite » est affichée lors de la demande à l'utilisateur. Si l'utilisateur ne saisit rien, alors la valeur par défaut, « nomChamp_default », est utilisée ; en l'absence de valeur par défaut, le champ est omis. Un champ peut toujours être omis, en présence de valeur par défaut, en saisissant uniquement le caractère « . ». .PP Le nombre de caractères saisis doit être entre les limites de nomChamp_min et nomChamp_max : il peut y avoir d'autres contraintes basées sur le champ utilisé (par exemple, countryName doit toujours avoir une longueur de deux et doit entrer dans un PrintableString). .PP Certains champs (comme organizationName) peuvent être utilisés plus d'une fois dans un \s-1DN.\s0 Cela pose problème car dans les fichiers de configuration, le même nom de champ ne sera pas pris en compte à deux reprises. Pour éviter ce problème, si le nomChamp contient des caractères suivi d'un point (« . »), ils seront ignorés. Ainsi, par exemple, une deuxième entrée pour organizationName peut être entrée en l'appelant « 1.organizationName ». .PP Les noms de champ permis sont les libellés longs ou courts de tous les identifiants d'objet. Ceux-ci sont compilés avec OpenSSL et incluent les libellés longs usuels comme commonName, countryName, localityName, organizationName, organizationUnitName, stateOrProvinceName. En plus, emailAddress est présent tout comme name, surname, givenName, initials et dnQualifier. .PP Des identifiants d'objet supplémentaires peuvent être définis dans un fichier (\fBoid_file\fR) ou une section (\fBoid_section\fR) dans le fichier de configuration. Tous les champs supplémentaires sont traités comme des DirectoryString. .SH "EXEMPLES" .IX Header "EXEMPLES" Examiner et vérifier une demande de certificat : .PP .Vb 1 \& openssl req \-in dem.pem \-text \-verify \-noout .Ve .PP Créer une clef privée et générer la demande de certificat correspondante : .PP .Vb 2 \& openssl genrsa \-out clef.pem 1024 \& openssl req \-new \-key clef.pem \-out dem.pem .Ve .PP La même chose en utilisant uniquement req : .PP .Vb 1 \& openssl req \-newkey rsa:1024 \-keyout clef.pem \-out dem.pem .Ve .PP Générer un certificat racine autosigné : .PP .Vb 1 \& openssl req \-x509 \-newkey rsa:1024 \-keyout clef.pem \-out clef.pem .Ve .PP Exemple d'un fichier indiqué avec l'option \fBoid_file\fR : .PP .Vb 2 \& 1.2.3.4 nomCourt Un nom plus long \& 1.2.3.6 autreNom Autre nom plus long .Ve .PP Exemple d'une section pouvant être référencée par \fBoid_section\fR en utilisant l'expansion de variables : .PP .Vb 2 \& testoid1=1.2.3.5 \& testoid2=${testoid1}.6 .Ve .PP Fichier de configuration type demandant les valeurs des champs : .PP .Vb 6 \& [ req ] \& default_bits = 1024 \& default_keyfile = clefpriv.pem \& distinguished_name = dem_noms_distinctifs \& attributes = dem_attributs \& x509_extensions = v3_ca \& \& dirstring_type = nobmp \& \& [ dem_noms_distinctifs ] \& countryName = Nom du pays (code 2 lettres ) \& countryName_default = FR \& countryName_min = 2 \& countryName_max = 2 \& \& localityName = Nom du lieu (par exemple, la ville) \& \& organizationalUnitName = Nom d\*(Aqunité dans l\*(Aqorganisation (sec.) \& \& commonName = Nom commun (par exemple, VOTRE nom) \& commonName_max = 64 \& \& emailAddress = Adresse électronique \& emailAddress_max = 40 \& \& [ dem_attributs ] \& challengePassword = Un mot de passe \& challengePassword_min = 4 \& challengePassword_max = 20 \& \& [ v3_ca ] \& \& subjectKeyIdentifier=hash \& authorityKeyIdentifier=keyid:always,issuer:always \& basicConstraints = CA:true .Ve .PP Configuration type contenant toutes les valeurs des champs : .PP .Vb 1 \& RANDFILE = $ENV::HOME/.rnd \& \& [ req ] \& default_bits = 1024 \& default_keyfile = fichier_clef.pem \& distinguished_name = dem_noms_distintifs \& attributes = dem_attributs \& prompt = no \& output_password = mon_pass \& \& [ dem_noms_distinctifs ] \& C = FR \& ST = Département de test \& L = Lieu de test \& O = Nom de l\*(Aqorganisation \& OU = Nom de l\*(Aqunité dans l\*(Aqorganisation \& CN = Nom commun \& emailAddress = test@adresse.electronique \& \& [ dem_attributs ] \& challengePassword = Un mot de passe .Ve .SH "NOTES" .IX Header "NOTES" Les lignes de début et de fin dans le format \fB\s-1PEM\s0\fR sont normalement : .PP .Vb 2 \& \-\-\-\-\-BEGIN CERTIFICATE REQUEST\-\-\-\-\- \& \-\-\-\-\-END CERTIFICATE REQUEST\-\-\-\-\- .Ve .PP Certains logiciels (certaines versions de Netscape certificate server) nécessitent à la place : .PP .Vb 2 \& \-\-\-\-\-BEGIN NEW CERTIFICATE REQUEST\-\-\-\-\- \& \-\-\-\-\-END NEW CERTIFICATE REQUEST\-\-\-\-\- .Ve .PP qui est produit avec l'option \fB\-newhdr\fR mais reste compatible autrement. À l'entrée, les deux versions sont acceptées de façon transparente. .PP Les demandes de certificat générées par \fBXenroll\fR avec \s-1MSIE\s0 ont des extensions supplémentaires. Elles incluent une extension \fBkeyUsage\fR qui détermine le type de la clef (signature ou général) et tous les \s-1OID\s0 supplémentaires entrés par le script dans une extension extendedKeyUsage. .SH "DIAGNOSTIC" .IX Header "DIAGNOSTIC" Les messages suivants soulèvent souvent des interrogations : .PP .Vb 2 \& Using configuration from /some/path/openssl.cnf \& Unable to load config info .Ve .PP Qui est suivi peu après par : .PP .Vb 2 \& unable to find \*(Aqdistinguished_name\*(Aq in config \& problems making Certificate Request .Ve .PP Le premier message explique le tout : le fichier de configuration est introuvable ! Certaines opérations (telle que la vérification d'une demande de certificat) ne nécessitent pas de fichier de configuration donc son utilisation n'est pas obligatoire. La génération de certificats ou de demandes, au contraire, nécessite un fichier de configuration. Cela peut être considéré comme un bogue. .PP Un autre message portant à confusion est : .PP .Vb 2 \& Attributes: \& a0:00 .Ve .PP C'est affiché lorsqu'aucun attribut n'est présent et que la demande inclut la structure vide \fB\s-1SET OF\s0\fR correcte (dont l'encodage \s-1DER\s0 est 0xa0 0x00). S'il n'y a que : .PP .Vb 1 \& Attributes: .Ve .PP alors le \fB\s-1SET OF\s0\fR manque et l'encodage est techniquement incorrect. Consultez la description de l'option \fB\-asn1\-kludge\fR pour plus de renseignements. .SH "VARIABLES D'ENVIRONNEMENT" .IX Header "VARIABLES D'ENVIRONNEMENT" La variable \fB\s-1OPENSSL_CONF\s0\fR, si définie, permet d'indiquer un fichier de configuration alternatif. Si l'option \fB\-config\fR de la ligne de commande est présente, la variable d'environnement sera ignorée. Pour des raisons de compatibilité, la variable \fB\s-1SSLEAY_CONF\s0\fR a la même utilisation, mais son utilisation est déconseillée. .SH "BOGUES" .IX Header "BOGUES" La gestion des T61Strings (ou TeletexStrings) par OpenSSL est cassée : elles sont traitées effectivement comme des chaînes \s-1ISO\-8859\-1 \s0(Latin 1), Netscape et \s-1MSIE\s0 ont un comportement similaire. Cela peut poser problème lorsque vous avez besoin de caractères qui ne sont pas disponibles dans les PrintableStrings et que vous ne voulez ou pouvez pas utiliser les BMPStrings. .PP La conséquence de cette gestion de T61String est que la seule façon correcte de représenter des caractères accentués dans OpenSSL est d'utiliser un BMPString : malheureusement, Netscape ne les aime pas. Ainsi, pour utiliser les caractères accentués avec Netscape et \s-1MSIE,\s0 vous devrez utiliser actuellement le format incorrect des T61Strings. .PP La demande à l'invite de commande n'est pas très ergonomique. Vous ne pouvez confirmer les saisies, et les extensions doivent être définies de façon statique dans le fichier de configuration. Quelques-unes, comme une adresse électronique dans le subjectAltName, devraient être données par l'utilisateur. .SH "VOIR AUSSI" .IX Header "VOIR AUSSI" \&\fBx509\fR(1), \fBca\fR(1), \fBgenrsa\fR(1), \&\fBgendsa\fR(1), \fBconfig\fR(5), \&\fBx509v3_config\fR(5) .SH "TRADUCTION" .IX Header "TRADUCTION" Cette page de manuel a été traduite par arne en 2002 et est maintenue par la liste . Veuillez signaler toute erreur de traduction par un rapport de bogue sur le paquet manpages-fr-extra.