.\" Automatically generated by Pod::Man 2.28 (Pod::Simple 3.29)
.\"
.\" Standard preamble:
.\" ========================================================================
.de Sp \" Vertical space (when we can't use .PP)
.if t .sp .5v
.if n .sp
..
.de Vb \" Begin verbatim text
.ft CW
.nf
.ne \\$1
..
.de Ve \" End verbatim text
.ft R
.fi
..
.\" Set up some character translations and predefined strings.  \*(-- will
.\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left
.\" double quote, and \*(R" will give a right double quote.  \*(C+ will
.\" give a nicer C++.  Capital omega is used to do unbreakable dashes and
.\" therefore won't be available.  \*(C` and \*(C' expand to `' in nroff,
.\" nothing in troff, for use with C<>.
.tr \(*W-
.ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p'
.ie n \{\
.    ds -- \(*W-
.    ds PI pi
.    if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch
.    if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\"  diablo 12 pitch
.    ds L" ""
.    ds R" ""
.    ds C` ""
.    ds C' ""
'br\}
.el\{\
.    ds -- \|\(em\|
.    ds PI \(*p
.    ds L" ``
.    ds R" ''
.    ds C`
.    ds C'
'br\}
.\"
.\" Escape single quotes in literal strings from groff's Unicode transform.
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\"
.\" If the F register is turned on, we'll generate index entries on stderr for
.\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index
.\" entries marked with X<> in POD.  Of course, you'll have to process the
.\" output yourself in some meaningful fashion.
.\"
.\" Avoid warning from groff about undefined register 'F'.
.de IX
..
.nr rF 0
.if \n(.g .if rF .nr rF 1
.if (\n(rF:(\n(.g==0)) \{
.    if \nF \{
.        de IX
.        tm Index:\\$1\t\\n%\t"\\$2"
..
.        if !\nF==2 \{
.            nr % 0
.            nr F 2
.        \}
.    \}
.\}
.rr rF
.\" ========================================================================
.\"
.IX Title "TS 1SSL"
.TH TS 1SSL "2015-12-31" "1.0.2a 1.0.2c" "OpenSSL"
.\" For nroff, turn off justification.  Always turn off hyphenation; it makes
.\" way too many mistakes in technical documents.
.if n .ad l
.nh
.SH "NOM"
.IX Header "NOM"
ts \- Outil d’autorité d’horodatage (client et serveur)
.SH "SYNOPSIS"
.IX Header "SYNOPSIS"
\&\fBopenssl ts \-query\fR [\fB\-rand\fR \fIfichier\fR\fB:\fR\fIfichier\fR...] [\fB\-config\fR
\&\fIfichier_conf\fR] [\fB\-data\fR \fIfichier_à_hacher\fR] [\fB\-digest\fR \fIoctets_sign\fR]
[\fB\-md2\fR|\fB\-md4\fR|\fB\-md5\fR|\fB\-sha\fR|\fB\-sha1\fR|\fB\-mdc2\fR|\fB\-ripemd160\fR|...]
[\fB\-policy\fR \fIid_objet\fR] [\fB\-no_nonce\fR] [\fB\-cert\fR] [\fB\-in\fR \fIdemande.tsq\fR]
[\fB\-out\fR \fIdemande.tsq\fR] [\fB\-text\fR]
.PP
\&\fBopenssl ts \-reply\fR [\fB\-config\fR \fIfichier_conf\fR] [\fBsection\fR
\&\fIsection_tsa\fR] [\fB\-queryfile\fR \fIdemande.tsq\fR] [\fB\-passin\fR
\&\fIsrc_mot_de_passe\fR] [\fB\-signer\fR \fItsa_cert.pem\fR] [\fB\-inkey\fR \fIprivée.pem\fR]
[\fB\-chain\fR \fIfichier_certs.pem\fR] [\fB\-policy\fR \fIid_objet\fR] [\fB\-in\fR
\&\fIréponse.tsr\fR] [\fB\-token_in\fR] [\fB\-out\fR \fIresponse.tsr\fR] [\fB\-token_out\fR]
[\fB\-text\fR] [\fB\-engine\fR \fIid\fR]
.PP
\&\fBopenssl ts \-verify\fR [\fB\-data\fR \fIfichier_à_hacher\fR] [\fB\-digest\fR
\&\fIoctets_sign\fR] [\fB\-queryfile\fR \fIdemande.tsq\fR] [\fB\-in\fR \fIréponse.tsr\fR]
[\fB\-token_in\fR] [\fB\-CApath\fR \fIchemin_cert_confiance\fR] [\fB\-CAfile\fR
\&\fIcerts_confiance.pem\fR] [\fB\-untrusted\fR \fIfichier_cert.pem\fR]
.SH "DESCRIPTION"
.IX Header "DESCRIPTION"
La commande \fBts\fR est une application client et serveur d’autorité
d’horodatage (« Time Stamping Authority », \s-1TSA\s0) conforme à la \s-1RFC 3161
\&\s0(protocole d'horodatage, « Time-Stamp Protocol » \s-1TSP\s0). Une \s-1TSA\s0 peut faire
partie d'un déploiement de \s-1PKI\s0 et son rôle est de fournir des preuves à long
terme de l'existence d'une certaine donnée avant un moment donné. Voici une
brève description du protocole.
.IP "1." 4
Le client \s-1TSA\s0 calcule une valeur de hachage à sens unique pour un fichier de
données et envoie le hachage à la \s-1TSA.\s0
.IP "2." 4
La \s-1TSA\s0 attache la date et l'heure à la valeur de hachage reçue, les signe et
envoie le jeton d’horodatage au client. En créant ce jeton, la \s-1TSA\s0 certifie
l'existence du fichier original de données au moment où la réponse est
créée.
.IP "3." 4
Le client \s-1TSA\s0 reçoit le jeton d'horodatage et en vérifie la signature. Il
vérifie également si le jeton contient la même valeur de hachage qu'il avait
envoyé à la \s-1TSA.\s0
.PP
Une unité de données de protocole encodée \s-1DER\s0 est définie pour le transport
d'une demande d'horodatage à la \s-1TSA\s0 et une autre pour l'envoi de la réponse
d'horodatage au client. La commande \fBts\fR a trois fonctions principales :
créer une demande d'horodatage à partir d'un fichier de données, créer une
réponse d'horodatage à partir d'une demande et vérifier si une réponse
correspond à une demande particulière ou à un fichier de données.
.PP
Aucune prise en charge n’existe encore pour l’envoi de demandes et réponses
automatiquement par \s-1HTTP\s0 ou \s-1TCP\s0 comme suggéré dans la \s-1RFC 3161.\s0 Les
utilisateurs doivent envoyer les demandes par \s-1FTP\s0 ou courrier électronique.
.SH "OPTIONS"
.IX Header "OPTIONS"
.SS "Création de demande d’horodatage"
.IX Subsection "Création de demande d’horodatage"
L’option \fB\-query\fR peut être utilisée pour créer et afficher une demande
d'horodatage avec les options suivantes :
.IP "\fB\-rand\fR \fIfichier\fR\fB:\fR\fIfichier\fR..." 4
.IX Item "-rand fichier:fichier..."
Les fichiers contenant des données aléatoires utilisées pour initialiser le
générateur de nombres pseudoaléatoires. Plusieurs fichiers peuvent être
indiqués en utilisant le séparateur du système d'exploitation : « \fB;\fR »
pour Windows, « \fB,\fR » pour OpenVMS et « \fB:\fR » pour tous les
autres. (Facultatif)
.IP "\fB\-config\fR \fIfichier_conf\fR" 4
.IX Item "-config fichier_conf"
Le fichier de configuration à utiliser, cette option remplace la variable
d'environnement \fB\s-1OPENSSL_CONF\s0\fR. Seule la section \s-1OID\s0 du fichier de
configuration est utilisée avec la commande \fB\-query\fR. (Facultatif)
.IP "\fB\-data\fR \fIfichier_à_hacher\fR" 4
.IX Item "-data fichier_à_hacher"
Le fichier de données pour lequel la demande d'horodatage doit être
créée. L’entrée standard est la valeur par défaut si aucune des options
\&\fB\-data\fR ou \fB\-digest\fR n’est indiquée. (Facultatif)
.IP "\fB\-digest\fR \fIoctets_sign\fR" 4
.IX Item "-digest octets_sign"
Indiquer explicitement l’empreinte du message est possible sans le fichier
de données. L’empreinte doit être indiquée au format hexadécimal, deux
caractères par octet, les octets éventuellement séparés par des deux-points
(par exemple 1A:F6:01:... ou 1AF601...). Le nombre d’octets doit
correspondre à l’algorithme de signature de message utilisé. (Facultatif)
.IP "\fB\-md2\fR|\fB\-md4\fR|\fB\-md5\fR|\fB\-sha\fR|\fB\-sha1\fR|\fB\-mdc2\fR|\fB\-ripemd160\fR|..." 4
.IX Item "-md2|-md4|-md5|-sha|-sha1|-mdc2|-ripemd160|..."
La signature de message à appliquer au fichier de données, tous les
algorithmes de signature de message pris en charge par la commande openssl
\&\fBdgst\fR sont utilisables. La valeur par défaut est \s-1SHA\-1. \s0(Facultatif)
.IP "\fBpolicy\fR \fIid_objet\fR" 4
.IX Item "policy id_objet"
La politique attendue par le client de la \s-1TSA\s0 à utiliser pour créer le jeton
d'horodatage. Soit la notation \s-1OID\s0 avec points, soit les noms d’OID définis
dans le fichier de configuration peuvent être utilisés. Si aucune politique
n’est demandée, la \s-1TSA\s0 utilisera sa propre politique par
défaut. (Facultatif)
.IP "\fB\-no_nonce\fR" 4
.IX Item "-no_nonce"
Aucun nonce n’est indiqué dans la demande si cette option est donnée. Sinon,
un nonce pseudoaléatoire de 64 bits est inclus dans la demande. Utiliser
nonce est recommandé pour se protéger contre les attaques par
rejeu. (Facultatif)
.IP "\fB\-cert\fR" 4
.IX Item "-cert"
La \s-1TSA\s0 devrait inclure son certificat de signature dans la
réponse. (Facultatif)
.IP "\fB\-in\fR \fIdemande.tsq\fR" 4
.IX Item "-in demande.tsq"
Cette option indique une demande d'horodatage précédemment créée au format
\&\s-1DER\s0 qui sera envoyée dans le fichier de sortie. Utile pour examiner le
contenu d'une demande au format lisible. (Facultatif)
.IP "\fB\-out\fR \fIdemande.tsq\fR" 4
.IX Item "-out demande.tsq"
Nom du fichier de sortie où la demande doit être écrite. La sortie standard
par défaut. (Facultatif)
.IP "\fB\-text\fR" 4
.IX Item "-text"
Si cette option est indiquée, la sortie est au format texte lisible au lieu
de \s-1DER. \s0(Facultatif)
.SS "Création de réponse d’horodatage"
.IX Subsection "Création de réponse d’horodatage"
Une réponse d’horodatage (TimeStampResp) se compose d'un état de réponse et
du jeton d'horodatage lui\-même (ContentInfo), si la création du jeton a
réussi. La commande \fB\-reply\fR permet de créer une réponse d'horodatage ou un
jeton d'horodatage suivant la demande et l’affichage de la réponse ou du
jeton dans un format lisible. Si \fB\-token_out\fR n'est pas indiqué, la sortie
est toujours une réponse d'horodatage (TimeStampResp), sinon c'est un jeton
d'horodatage (ContentInfo).
.IP "\fB\-config\fR \fIfichier_conf\fR" 4
.IX Item "-config fichier_conf"
Le fichier de configuration à utiliser, cette option remplace la variable
d'environnement \fB\s-1OPENSSL_CONF\s0\fR. Consultez \fB\s-1OPTIONS DU FICHIER DE
CONFIGURATION\s0\fR pour les variables configurables. (Facultatif)
.IP "\fB\-spksect\fR \fIsection\fR" 4
.IX Item "-spksect section"
Le nom de la section du fichier de configuration contenant les paramètres
pour la création de la réponse. S'il n'est pas indiqué, la section \s-1TSA\s0 par
défaut est utilisée, consultez \fB\s-1OPTIONS DU FICHIER DE CONFIGURATION\s0\fR pour
plus de précisions. (Facultatif)
.IP "\fB\-queryfile\fR \fIdemande.tsq\fR" 4
.IX Item "-queryfile demande.tsq"
Le nom du fichier contenant une demande d’horodatage encodée en
\&\s-1DER. \s0(Facultatif)
.IP "\fB\-passin\fR \fIsrc_mot_de_passe\fR" 4
.IX Item "-passin src_mot_de_passe"
Indiquer la source pour la clef privée de la \s-1TSA.\s0 Consultez la section
\&\fBPARAMÈTRES \s-1DE PHRASE\s0 SECRÈTE\fR d'\fBopenssl\fR(1).
.IP "\fB\-signer\fR \fItsa_cert.pem\fR" 4
.IX Item "-signer tsa_cert.pem"
Le certificat de signataire de la \s-1TSA\s0 au format \s-1PEM.\s0 Le certificat de
signature \s-1TSA\s0 doit avoir exactement une utilisation de clef étendue
attribuée : timeStamping. L'utilisation de la clef étendue doit aussi être
critique, sinon le certificat sera refusé. Cela remplace la variable
\&\fBsigner_cert\fR du fichier de configuration. (Facultatif)
.IP "\fB\-inkey\fR \fIprivée.pem\fR" 4
.IX Item "-inkey privée.pem"
La clef privée du signataire de la \s-1TSA\s0 au format \s-1PEM.\s0 Cela remplace l'option
\&\fBsigner_key\fR du fichier de configuration. (Facultatif)
.IP "\fB\-chain\fR \fIfichier_certs.pem\fR" 4
.IX Item "-chain fichier_certs.pem"
L’ensemble des certificats au format \s-1PEM\s0 qui seront tous inclus dans la
réponse en plus du certificat de signataire si l'option \fB\-cert\fR a été
utilisée pour la demande. Ce fichier est censé contenir la chaîne de
certificats pour le certificat de signataire à partir de ses émetteurs. La
commande \fB\-reply\fR ne construit pas de chaîne de certificats
automatiquement. (Facultatif)
.IP "\fBpolicy\fR \fIid_objet\fR" 4
.IX Item "policy id_objet"
La politique par défaut à utiliser pour la réponse à moins que le client ne
demande explicitement une politique \s-1TSA\s0 particulière. L'\s-1OID\s0 peut être
indiqué en utilisant une notation avec points ou par son nom. Cela remplace
l'option \fBdefault_policy\fR du fichier de configuration. (Facultatif)
.IP "\fB\-in\fR \fIréponse.tsr\fR" 4
.IX Item "-in réponse.tsr"
Indiquer une réponse d'horodatage créée précédemment ou un jeton
d'horodatage (si \fB\-token_in\fR est également indiquée) au format \s-1DER\s0 qui sera
écrit dans le fichier de sortie. Cette option ne nécessite pas de demande,
elle est par exemple utile pour examiner le contenu d'une réponse ou d'un
jeton ou pour extraire le jeton d'horodatage d'une réponse. Si l'entrée est
un jeton et la sortie une réponse d'horodatage, une information d’état
accordée (« granted ») par défaut est ajoutée au jeton. (Facultatif)
.IP "\fB\-token_in\fR" 4
.IX Item "-token_in"
Cet indicateur peut être utilisé avec l'option \fB\-in\fR et indique que
l'entrée est un jeton d'horodatage encodé \s-1DER \s0(ContentInfo) au lieu d'une
réponse d'horodatage (TimeStampResp). (Facultatif)
.IP "\fB\-out\fR \fIréponse.tsr\fR" 4
.IX Item "-out réponse.tsr"
La réponse est écrite dans ce fichier. Le format et le contenu du fichier
dépendent d'autres options (consultez \fB\-text\fR, \fB\-token_out\fR). La valeur
par défaut est la sortie standard. (Facultatif)
.IP "\fB\-token_out\fR" 4
.IX Item "-token_out"
La sortie est un jeton d'horodatage (ContentInfo) au lieu d’une réponse
d’horodatage (TimeStampResp). (Facultatif)
.IP "\fB\-text\fR" 4
.IX Item "-text"
Si cette option est indiquée, la sortie est au format texte lisible au lieu
de \s-1DER. \s0(Facultatif)
.IP "\fB\-engine\fR \fIid\fR" 4
.IX Item "-engine id"
Indiquer un moteur (en utilisant son identifiant unique \fIid\fR) forcera \fBts\fR
à essayer d'obtenir une référence fonctionnelle pour le moteur indiqué et
l'initialiser si nécessaire. Le moteur sera ensuite utilisé par défaut pour
tous les algorithmes disponibles. La valeur par défaut est
« builtin ». (Faclutatif)
.SS "Vérification de réponse d’horodatage"
.IX Subsection "Vérification de réponse d’horodatage"
La commande \fB\-verify\fR sert à vérifier si une réponse d'horodatage ou un
jeton d'horodatage est valable et correspond à une demande d'horodatage ou
un fichier de données particuliers. La commande \fB\-verify\fR n'utilise pas le
fichier de configuration.
.IP "\fB\-data\fR \fIfichier_à_hacher\fR" 4
.IX Item "-data fichier_à_hacher"
La réponse ou le jeton doivent être vérifiés par rapport à
\&\fIfichier_à_hacher\fR. Le fichier est haché avec l’algorithme de signature de
message indiqué dans le jeton. Les options \fB\-digest\fR et \fB\-queryfile\fR ne
doivent pas être indiquées avec cette option. (Facultatif)
.IP "\fB\-digest\fR \fIoctets_sign\fR" 4
.IX Item "-digest octets_sign"
La réponse ou le jeton doivent être vérifiés par rapport à la signature de
message indiquée par cette option. Le nombre d'octets doit correspondre à
l’algorithme de signature de message indiqué dans le jeton. Les options
\&\fB\-data\fR et \fB\-queryfile\fR ne doivent pas être indiquées avec cette
option. (Facultatif)
.IP "\fB\-queryfile\fR \fIdemande.tsq\fR" 4
.IX Item "-queryfile demande.tsq"
La demande originale d’horodatage au format \s-1DER.\s0 Les options \fB\-data\fR et
\&\fB\-queryfile\fR ne doivent pas être indiquées avec cette option. (Facultatif)
.IP "\fB\-in\fR \fIréponse.tsr\fR" 4
.IX Item "-in réponse.tsr"
La réponse d'horodatage à vérifier au format \s-1DER. \s0(Obligatoire)
.IP "\fB\-token_in\fR" 4
.IX Item "-token_in"
Cet indicateur peut être utilisé avec l'option \fB\-in\fR et indique que
l'entrée est un jeton d'horodatage encodé \s-1DER \s0(ContentInfo) au lieu d'une
réponse d'horodatage (TimeStampResp). (Facultatif)
.IP "\fB\-CApath\fR \fIchemin_cert_confiance\fR" 4
.IX Item "-CApath chemin_cert_confiance"
Le nom du répertoire contenant les certificats de l’autorité de confiance du
client. Consultez l'option similaire de \fBverify\fR(1) pour plus
de précisions. Soit cette option, soit \fB\-CAfile\fR doit être
indiquée. (Facultatif)
.IP "\fB\-CAfile\fR \fIcerts_confiance.pem\fR" 4
.IX Item "-CAfile certs_confiance.pem"
Le nom du fichier contenant un ensemble de certificats autosignés de
l’autorité de confiance au format \s-1PEM.\s0 Consultez l'option similaire de
\&\fBverify\fR(1) pour plus de précisions. Soit cette option, soit
\&\fB\-CApath\fR doit être indiquée. (Facultatif)
.IP "\fB\-untrusted\fR \fIfichier_cert.pem\fR" 4
.IX Item "-untrusted fichier_cert.pem"
Ensemble de certificats supplémentaires qui ne sont pas de confiance au
format \s-1PEM\s0 pouvant être nécessaires lors de la construction de la chaîne de
certificats d'un certificat de signature de la \s-1TSA.\s0 Ce fichier doit contenir
le certificat de signature \s-1TSA\s0 et tous les certificats d’autorité
intermédiaires sauf si la réponse les inclut. (Facultatif)
.SH "OPTIONS DU FICHIER DE CONFIGURATION"
.IX Header "OPTIONS DU FICHIER DE CONFIGURATION"
Les commandes \fB\-query\fR et \fB\-reply\fR utilisent un fichier de configuration
défini par la variable d'environnement \fB\s-1OPENSSL_CONF\s0\fR. Consultez
\&\fBconfig\fR(5) pour une description générale de la syntaxe du
fichier de configuration. La commande \fB\-query\fR n’utilise que la section des
noms symboliques d’OID et peut fonctionner sans elle. Cependant, la commande
\&\fB\-reply\fR a besoin du fichier de configuration pour fonctionner.
.PP
Quand une option de ligne de commande est équivalente à une variable,
l'option est toujours prioritaire sur les paramètres du fichier de
configuration.
.IP "Section \fBtsa\fR, \fBdefault_tsa\fR" 4
.IX Item "Section tsa, default_tsa"
C’est la section principale, qui indique le nom d’une autre section
contenant toutes les options pour la commande \fB\-reply\fR. Cette section par
défaut peut être remplacée par l’option \fB\-section\fR en ligne de
commande. (Facultatif)
.IP "\fBoid_file\fR" 4
.IX Item "oid_file"
Consultez \fBca\fR(1) pour la description. (Facultatif)
.IP "\fBoid_section\fR" 4
.IX Item "oid_section"
Consultez \fBca\fR(1) pour la description. (Facultatif)
.IP "\fB\s-1RANDFILE\s0\fR" 4
.IX Item "RANDFILE"
Consultez \fBca\fR(1) pour la description. (Facultatif)
.IP "\fBserial\fR" 4
.IX Item "serial"
Le nom du fichier contenant le numéro de série hexadécimal de la dernière
réponse d’horodatage créée. Ce nombre est incrémenté de 1 pour chaque
réponse. Si le fichier n'existe pas au moment de la création de réponse d'un
nouveau fichier, un nouveau est créé avec le numéro de série
1. (Obligatoire)
.IP "\fBcrypto_device\fR" 4
.IX Item "crypto_device"
Indiquer le moteur OpenSSL qui sera défini par défaut pour tous les
algorithmes disponibles. La valeur par défaut est « builtin », vous pouvez
indiquer d'autres moteurs pris en charge par OpenSSL (par exemple, utiliser
chil pour le \s-1HSM\s0 nCipher). (Facultatif)
.IP "\fBsigner_cert\fR" 4
.IX Item "signer_cert"
Certificat de signature \s-1TSA\s0 au format \s-1PEM.\s0 Identique à l'option \fB\-signer\fR
en ligne de commande. (Facultatif)
.IP "\fBcerts\fR" 4
.IX Item "certs"
Un fichier contenant un ensemble de certificats encodés \s-1PEM\s0 qui doivent être
inclus dans la réponse. Identique à l'option \fB\-chain\fR en ligne de
commande. (Facultatif)
.IP "\fBsigner_key\fR" 4
.IX Item "signer_key"
La clef privée de la \s-1TSA\s0 au format \s-1PEM.\s0 Identique à l'option \fB\-inkey\fR en
ligne de commande. (Facultatif)
.IP "\fBdefault_policy\fR" 4
.IX Item "default_policy"
La politique par défaut à utiliser quand la demande n'exige pas de
politique. Identique à \fB\-policy\fR en ligne de commande. (Facultatif)
.IP "\fBother_policies\fR" 4
.IX Item "other_policies"
Liste des politiques, séparées par des virgules, qui sont aussi acceptables
par la \s-1TSA\s0 et utilisées seulement si la demande indique explicitement l'une
d’entre elles. (Facultatif)
.IP "\fBdigests\fR" 4
.IX Item "digests"
La liste des algorithmes de signature de message que la \s-1TSA\s0 accepte. Au
moins un algorithme doit être indiqué. (Obligatoire)
.IP "\fBaccuracy\fR" 4
.IX Item "accuracy"
La précision de la source de temps de la \s-1TSA\s0 en seconde, milliseconde et
microseconde. Par exemple secs:1, millisecs:500, microsecs:100. Si l'un des
composants est manquant, ce champ est supposé nul. (Facultatif)
.IP "\fBclock_precision_digits\fR" 4
.IX Item "clock_precision_digits"
Indiquer le nombre maximal de chiffres pour représenter la fraction de
seconde qui doit être incluse dans champ temporel. Les zéros finaux doivent
être supprimés, donc moins de chiffres pourraient être présents ou aucune
fraction de seconde du tout. Pris en charge uniquement sur les plate-formes
\&\s-1UNIX.\s0 La valeur maximale est 6, la valeur par défaut est 0. (Facultatif)
.IP "\fBordering\fR" 4
.IX Item "ordering"
Si cette option est « yes », les réponses créées par cette \s-1TSA\s0 peuvent
toujours être ordonnées, même si la différence de temps entre deux réponses
est inférieure à la somme de leurs précisions. « no » par
défaut. (Facultatif)
.IP "\fBtsa_name\fR" 4
.IX Item "tsa_name"
Si cette option est « yes », le nom d'objet de la \s-1TSA\s0 doit être inclus dans
le champ de noms \s-1TSA\s0 de la réponse. « no » par défaut. (Facultatif)
.IP "\fBess_cert_id_chain\fR" 4
.IX Item "ess_cert_id_chain"
Les objets SignedData créés par la \s-1TSA\s0 contiennent toujours l'identifiant de
certificat du certificat de signature dans un attribut signé (consultez la
\&\s-1RFC 2634,\s0 « Enhanced Security Services »). Si cette option est « yes » et
que soit la variable \fBcerts\fR, soit l'option \fB\-chain\fR est indiquée, les
identifiants de certificat de la chaîne seront également inclus dans
l’attribut SigningCertificate signé. Si cette variable est « no », seul
l'identifiant de certificat de signature est inclus. « no » par
défaut. (Facultatif)
.SH "VARIABLES D'ENVIRONNEMENT"
.IX Header "VARIABLES D'ENVIRONNEMENT"
\&\fB\s-1OPENSSL_CONF\s0\fR contient l'emplacement du fichier de configuration et peut
être modifiée par l'option \fB\-config\fR en ligne de commande.
.SH "EXEMPLES"
.IX Header "EXEMPLES"
Tous les exemples ci-dessous supposent que \fB\s-1OPENSSL_CONF\s0\fR est défini vers
un fichier de configuration approprié, comme dans le fichier d'exemple de
configuration openssl/apps/openssl.cnf.
.SS "Demande d’horodatage"
.IX Subsection "Demande d’horodatage"
Pour créer une demande d'horodatage pour design1.txt avec \s-1SHA\-1\s0 sans nonce,
avec la politique et sans certificat nécessaire dans la réponse :
.PP
.Vb 2
\&  openssl ts \-query \-data design1.txt \-no_nonce \e
\&        \-out design1.tsq
.Ve
.PP
Pour créer une demande d'horodatage similaire en indiquant explicitement
l’empreinte du message :
.PP
.Vb 2
\&  openssl ts \-query \-digest b7e5d3f93198b38379852f2c04e78d73abdd0f4b \e
\&         \-no_nonce \-out design1.tsq
.Ve
.PP
Pour afficher le contenu de la requête précédente en format lisible :
.PP
.Vb 1
\&  openssl ts \-query \-in design1.tsq \-text
.Ve
.PP
Pour créer une demande d'horodatage qui comprend la signature \s-1MD\-5\s0 de
design2.txt, demande le certificat du signataire et nonce, indique un
identifiant de politique (en supposant que le nom tsa_policy1 est défini
dans la section \s-1OID\s0 du fichier de configuration) :
.PP
.Vb 2
\&  openssl ts \-query \-data design2.txt \-md5 \e
\&        \-policy tsa_policy1 \-cert \-out design2.tsq
.Ve
.SS "Réponse d’horodatage"
.IX Subsection "Réponse d’horodatage"
Avant de créer une réponse, un certificat de signature doit être créé pour
la \s-1TSA\s0 qui contient l'extension d’utilisation de clef étendue critique
\&\fBtimeStamping\fR sans aucune autre extension d'utilisation de clef. Vous
pouvez ajouter la ligne « extendedKeyUsage = critical,timeStamping » à la
section de certificat utilisateur du fichier de configuration pour créer un
certificat approprié. Consultez \fBreq\fR(1), \fBca\fR(1) et
\&\fBx509\fR(1) pour les instructions. Les exemples ci-dessous
supposent que cacert.pem contient le certificat de l’autorité de
certification, tsacert.pem est le certificat de signature émis par
cacert.pem et tsakey.pem est la clef privée de la \s-1TSA.\s0
.PP
Pour créer une réponse d'horodatage pour une requête :
.PP
.Vb 2
\&  openssl ts \-reply \-queryfile design1.tsq \-inkey tsakey.pem \e
\&        \-signer tsacert.pem \-out design1.tsr
.Ve
.PP
Pour utiliser les paramètres du fichier de configuration :
.PP
.Vb 1
\&  openssl ts \-reply \-queryfile design1.tsq \-out design1.tsr
.Ve
.PP
Pour afficher une réponse d’horodatage sur la sortie standard sous forme
lisible :
.PP
.Vb 1
\&  openssl ts \-reply \-in design1.tsr \-text
.Ve
.PP
Pour créer un jeton d'horodatage au lieu d’une réponse d'horodatage :
.PP
.Vb 2
\&  openssl ts \-reply \-queryfile design1.tsq \-out design1_token.der \e
\&        \-token_out
.Ve
.PP
Pour afficher un jeton d’horodatage sur la sortie standard sous forme
lisible :
.PP
.Vb 1
\&  openssl ts \-reply \-in design1_token.der \-token_in \-text \-token_out
.Ve
.PP
Pour extraire le jeton d'horodatage d'une réponse :
.PP
.Vb 1
\&  openssl ts \-reply \-in design1.tsr \-out design1_token.der \-token_out
.Ve
.PP
Pour ajouter l’information d’état « granted » (accordé) à un jeton
d'horodatage créant ainsi une réponse valable :
.PP
.Vb 1
\&  openssl ts \-reply \-in design1_token.der \-token_in \-out design1.tsr
.Ve
.SS "Vérification d’horodatage"
.IX Subsection "Vérification d’horodatage"
Pour vérifier une réponse d’horodatage par rapport à une demande :
.PP
.Vb 2
\&  openssl ts \-verify \-queryfile design1.tsq \-in design1.tsr \e
\&        \-CAfile cacert.pem \-untrusted tsacert.pem
.Ve
.PP
Pour vérifier une réponse d’horodatage qui comprend la chaîne de
certificats :
.PP
.Vb 2
\&  openssl ts \-verify \-queryfile design2.tsq \-in design2.tsr \e
\&        \-CAfile cacert.pem
.Ve
.PP
Pour vérifier un jeton d'horodatage par rapport au fichier de données d'origine :
.PP
.Vb 2
\&  openssl ts \-verify \-data design2.txt \-in design2.tsr \e
\&        \-CAfile cacert.pem
.Ve
.PP
Pour vérifier un jeton d'horodatage par rapport à une empreinte de message :
.PP
.Vb 2
\&  openssl ts \-verify \-digest b7e5d3f93198b38379852f2c04e78d73abdd0f4b \e
\&         \-in design2.tsr \-CAfile cacert.pem
.Ve
.PP
D’autres exemples sont aussi disponibles dans le répertoire \fItest\fR.
.SH "BOGUES"
.IX Header "BOGUES"
Les bogues et suggestions peuvent être envoyés à Zoltan Glozik
\&\fI<zglozik@opentsa.org>\fR. Une liste des problèmes connus suit.
.IP "— Pas de prise en charge d’horodatages par \s-1SMTP,\s0 mais c’est assez facile de mettre en œuvre une \s-1TSA\s0 automatique à base de courriers électroniques avec \fBprocmail\fR(1) et \fBperl\fR(1). La prise en charge du serveur \s-1HTTP\s0 est fournie sous forme d'un module Apache séparé. La prise en charge de client \s-1HTTP\s0 est assurée par \fBtsget\fR(1). Le protocole \s-1TCP/IP\s0 pur n'est pas pris en charge." 4
.IX Item "— Pas de prise en charge d’horodatages par SMTP, mais c’est assez facile de mettre en œuvre une TSA automatique à base de courriers électroniques avec procmail(1) et perl(1). La prise en charge du serveur HTTP est fournie sous forme d'un module Apache séparé. La prise en charge de client HTTP est assurée par tsget(1). Le protocole TCP/IP pur n'est pas pris en charge."
.PD 0
.IP "— Le fichier contenant le dernier numéro de série de la \s-1TSA\s0 n'est pas verrouillé lorsqu'il est lu ou écrit. C’est un problème si plusieurs instances d’\fBopenssl\fR(1) tentent de créer une réponse d'horodatage en même temps. Ce n'est pas un problème si le module de serveur Apache est utilisé : il fait un verrouillage correct." 4
.IX Item "— Le fichier contenant le dernier numéro de série de la TSA n'est pas verrouillé lorsqu'il est lu ou écrit. C’est un problème si plusieurs instances d’openssl(1) tentent de créer une réponse d'horodatage en même temps. Ce n'est pas un problème si le module de serveur Apache est utilisé : il fait un verrouillage correct."
.IP "— Recherchez le mot « \s-1FIXME\s0 » dans les fichiers source." 4
.IX Item "— Recherchez le mot « FIXME » dans les fichiers source."
.IP "— Le code source devrait vraiment être examiné par quelqu'un d'autre." 4
.IX Item "— Le code source devrait vraiment être examiné par quelqu'un d'autre."
.IP "— Plus de tests sont nécessaires, seuls quelques tests de base ont été effectués (consultez test/testtsa)." 4
.IX Item "— Plus de tests sont nécessaires, seuls quelques tests de base ont été effectués (consultez test/testtsa)."
.PD
.SH "AUTEUR"
.IX Header "AUTEUR"
Zoltan Glozik \fI<zglozik@opentsa.org>\fR, projet OpenTSA
(\fI<http://www.opentsa.org>\fR)
.SH "VOIR AUSSI"
.IX Header "VOIR AUSSI"
\&\fBtsget\fR(1), \fBopenssl\fR(1), \fBreq\fR(1),
\&\fBx509\fR(1), \fBca\fR(1), \fBgenrsa\fR(1),
\&\fBconfig\fR(5)
.SH "TRADUCTION"
.IX Header "TRADUCTION"
La traduction de cette page de manuel est maintenue par
les membres de la liste <debian\-l10n\-french \s-1AT\s0 lists \s-1DOT\s0 debian \s-1DOT\s0 org>.
Veuillez signaler toute erreur de traduction par un rapport de bogue sur
le paquet manpages-fr-extra.