.\" Automatically generated by Pod::Man 2.28 (Pod::Simple 3.29) .\" .\" Standard preamble: .\" ======================================================================== .de Sp \" Vertical space (when we can't use .PP) .if t .sp .5v .if n .sp .. .de Vb \" Begin verbatim text .ft CW .nf .ne \\$1 .. .de Ve \" End verbatim text .ft R .fi .. .\" Set up some character translations and predefined strings. \*(-- will .\" give an unbreakable dash, \*(PI will give pi, \*(L" will give a left .\" double quote, and \*(R" will give a right double quote. \*(C+ will .\" give a nicer C++. Capital omega is used to do unbreakable dashes and .\" therefore won't be available. \*(C` and \*(C' expand to `' in nroff, .\" nothing in troff, for use with C<>. .tr \(*W- .ds C+ C\v'-.1v'\h'-1p'\s-2+\h'-1p'+\s0\v'.1v'\h'-1p' .ie n \{\ . ds -- \(*W- . ds PI pi . if (\n(.H=4u)&(1m=24u) .ds -- \(*W\h'-12u'\(*W\h'-12u'-\" diablo 10 pitch . if (\n(.H=4u)&(1m=20u) .ds -- \(*W\h'-12u'\(*W\h'-8u'-\" diablo 12 pitch . ds L" "" . ds R" "" . ds C` "" . ds C' "" 'br\} .el\{\ . ds -- \|\(em\| . ds PI \(*p . ds L" `` . ds R" '' . ds C` . ds C' 'br\} .\" .\" Escape single quotes in literal strings from groff's Unicode transform. .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" .\" If the F register is turned on, we'll generate index entries on stderr for .\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index .\" entries marked with X<> in POD. Of course, you'll have to process the .\" output yourself in some meaningful fashion. .\" .\" Avoid warning from groff about undefined register 'F'. .de IX .. .nr rF 0 .if \n(.g .if rF .nr rF 1 .if (\n(rF:(\n(.g==0)) \{ . if \nF \{ . de IX . tm Index:\\$1\t\\n%\t"\\$2" .. . if !\nF==2 \{ . nr % 0 . nr F 2 . \} . \} .\} .rr rF .\" ======================================================================== .\" .IX Title "X509V3_CONFIG 5SSL" .TH X509V3_CONFIG 5SSL "2015-12-31" "1.0.2a 1.0.2c" "OpenSSL" .\" For nroff, turn off justification. Always turn off hyphenation; it makes .\" way too many mistakes in technical documents. .if n .ad l .nh .SH "NOM" .IX Header "NOM" x509v3_config \- format de configuration d'extension de certificat X509 V3 .SH "DESCRIPTION" .IX Header "DESCRIPTION" Plusieurs utilitaires d’OpenSSL peuvent ajouter des extensions à un certificat ou à une demande de certification se basant sur le contenu d'un fichier de configuration. .PP Typiquement, la requête contient une option pour indiquer une section d'extension. Chaque ligne de la section d'extension prend la forme : .PP .Vb 1 \& extension_name=[critical,] extension_options .Ve .PP Si \fBcritical\fR est présent, alors l'extension sera critique. .PP Le format de \fBextension_options\fR dépend de la valeur de \fBextension_name\fR. .PP Il existe quatre principaux types d'extension : les extensions de \fIchaîne\fR, les extensions \fImulti-valeur\fR, \fIbrut\fR et les extensions \fIarbitraire\fR. .PP Les extensions de chaînes ont simplement une chaîne qui contient soit la valeur elle\-même ou la façon dont elle est obtenue. .PP Par exemple : .PP .Vb 1 \& nsComment="Ceci est un commentaire" .Ve .PP Les extensions multi-valeurs ont une forme courte et une forme longue. La forme courte est une liste de noms et de valeurs : .PP .Vb 1 \& basicConstraints=critical,CA:true,pathlen:1 .Ve .PP La forme longue permet aux valeurs d'être placées dans une section distincte : .PP .Vb 1 \& basicConstraints=critical,@bs_section \& \& [bs_section] \& \& CA=true \& pathlen=1 .Ve .PP Les deux formes sont équivalentes. .PP La syntaxe des extensions \fIbrut\fR est régie par le code d'extension : elle peut par exemple contenir des données dans plusieurs sections. La syntaxe correcte à utiliser est définie par le code d'extension lui\-même : consultez l'extension de politiques de certificat pour un exemple. .PP Si un type d'extension n'est pas pris en charge, alors la syntaxe d'extension arbitraire doit être utilisée, voir la section \s-1EXTENSIONS ARBITRAIRES\s0 pour plus de détails. .SH "EXTENSIONS STANDARDS" .IX Header "EXTENSIONS STANDARDS" Les sections suivantes décrivent chaque extension prise en charge dans le détail. .SS "Restrictions de bases." .IX Subsection "Restrictions de bases." Cela est une extension \fImulti-valeur\fR qui indique si un certificat est un certificat de \s-1CA.\s0 Le premier nom (obligatoire) est \fB\s-1CA\s0\fR suivi par \fB\s-1TRUE\s0\fR ou \fB\s-1FALSE\s0\fR. Si \fB\s-1CA\s0\fR est \fB\s-1TRUE\s0\fR, alors un nom \fIpathlen\fR facultatif suivi d'une valeur non négative peut être inclus. .PP Par exemple : .PP .Vb 1 \& basicConstraints=CA:TRUE \& \& basicConstraints=CA:FALSE \& \& basicConstraints=critical,CA:TRUE, pathlen:0 .Ve .PP Un certificat de \s-1CA \s0\fBdoit\fR inclure la valeur \fIbasicConstraints\fR avec le champ \fB\s-1CA\s0\fR à \fB\s-1TRUE\s0\fR. Un certificat d'utilisateur final doit fixer soit \&\fB\s-1CA\s0\fR à \fB\s-1FALSE\s0\fR ou exclure l'extension entièrement. Certains logiciels peuvent nécessiter l'inclusion de \fIbasicConstraints\fR avec \fB\s-1CA\s0\fR à \fB\s-1FALSE\s0\fR pour les certificats d'entité de fin. .PP Le paramètre \fIpathlen\fR indique le nombre maximal de \s-1CA\s0 qui peut apparaître en dessous de cet élément d'une chaîne. Donc, si vous avez une \fI\s-1CA\s0\fR avec \&\fIpathlen\fR à zéro, elle peut être utilisée uniquement pour signer les certificats d'utilisateur final et non d'autres autorités de certification. .SS "Utilisation de clé." .IX Subsection "Utilisation de clé." «Key usage » est une extension \fImulti-valeur\fR constituée d'une liste de noms d’utilisations de clé autorisées. .PP Les noms pris en charge sont : \fIdigitalSignature\fR, \fInonRepudiation\fR, \&\fIkeyEncipherment\fR, \fIdataEncipherment\fR, \fIkeyAgreement\fR, \fIkeyCertSign\fR, \&\fIcRLSign\fR, \fIencipherOnly\fR et \fIdecipherOnly\fR. .PP Exemples : .PP .Vb 1 \& keyUsage=digitalSignature, nonRepudiation \& \& keyUsage=critical, keyCertSign .Ve .SS "Utilisation étendue de clé." .IX Subsection "Utilisation étendue de clé." Cette extension consiste en une liste d'utilisations indiquant la raison pour laquelle la clé publique du certificat peut être utilisée. .PP Celles-ci peuvent être les noms courts d’objets de forme numérique avec points des \s-1OID.\s0 Alors que tout \s-1OID\s0 peut être utilisé, uniquement certaines valeurs ont un sens. En particulier, les valeurs \s-1PKIX, NS\s0 et \s-1MS\s0 suivantes sont significatives : .PP .Vb 10 \& Value Meaning \& \-\-\-\-\- \-\-\-\-\-\-\- \& serverAuth SSL/TLS Web Server Authentication. \& clientAuth SSL/TLS Web Client Authentication. \& codeSigning Code signing. \& emailProtection E\-mail Protection (S/MIME). \& timeStamping Trusted Timestamping \& msCodeInd Microsoft Individual Code Signing (authenticode) \& msCodeCom Microsoft Commercial Code Signing (authenticode) \& msCTLSign Microsoft Trust List Signing \& msSGC Microsoft Server Gated Crypto \& msEFS Microsoft Encrypted File System \& nsSGC Netscape Server Gated Crypto .Ve .PP Exemples : .PP .Vb 2 \& extendedKeyUsage=critical,codeSigning,1.2.3.4 \& extendedKeyUsage=nsSGC,msSGC .Ve .SS "Identifiant de clé de sujet." .IX Subsection "Identifiant de clé de sujet." C'est vraiment une extension \fIchaîne\fR et elle peut prendre deux valeurs possibles. Soit le mot \fBhash\fR qui va suivre automatiquement les lignes directrices de la \s-1RFC3280,\s0 ou une chaîne hexadécimale donnant la valeur d'extension à inclure. L'utilisation de la chaîne hexadécimale est fortement déconseillée. .PP Exemple : .PP .Vb 1 \& subjectKeyIdentifier=hash .Ve .SS "Identifiant de clé d’autorité." .IX Subsection "Identifiant de clé d’autorité." L'extension d'identifiant de clé d'autorité permet deux options. \fIkeyid\fR et \&\fIissuer\fR : chacune peut prendre la valeur facultative \fIalways\fR. .PP Si l'option \fIkeyid\fR est présente, une tentative est faite pour copier l'identifiant de clé de sujet à partir du certificat de parent. Si la valeur \&\fIalways\fR est présente, alors une erreur est renvoyée si l'option échoue. .PP L'option \fIissuer\fR copie l'émetteur et le numéro de série depuis le certificat de l'émetteur. Cela ne se fera que si l'option \fIkeyid\fR échoue ou n'est pas incluse, sauf si le drapeau \fIalways\fR inclut toujours cette valeur. .PP Exemple : .PP .Vb 1 \& authorityKeyIdentifier=keyid,issuer .Ve .SS "Nom alternatif de sujet." .IX Subsection "Nom alternatif de sujet." L'extension de nom alternatif du sujet permet différentes valeurs littérales pouvant être incluses dans le fichier de configuration. Il s'agit notamment de \fIemail\fR (une adresse de courriel), \fI\s-1URI\s0\fR un indicateur de ressource uniforme, \fI\s-1DNS\s0\fR (un nom de domaine \s-1DNS\s0), \fI\s-1RID\s0\fR (un enregistrement d’ID : \&\s-1OBJECT IDENTIFIER\s0), \fI\s-1IP\s0\fR (une adresse \s-1IP\s0), \fIdirname\fR (un nom distinctif) et \fIotherName\fR. .PP L'option \fIemail\fR inclut une valeur spéciale « copy ». Cela inclura automatiquement les adresses de courriel contenues dans le nom du sujet du certificat de l'extension. .PP L'adresse \s-1IP\s0 utilisée dans les options \fI\s-1IP\s0\fR peut être en format IPv4 ou IPv6. .PP La valeur de \fIdirName\fR doit pointer vers une section contenant le nom unique à utiliser comme un ensemble de paires nom-valeur. Plusieurs valeurs \&\s-1AVA\s0 peuvent être formées en faisant précéder le nom d'un caractère \fB+\fR. .PP \&\fIotherName\fR peut inclure des données \fIarbitraire\fR associées à un \s-1OID :\s0 la valeur devrait être l'\s-1OID\s0 suivi par un point-virgule et le contenu au format de la norme standard \fBASN1_generate_nconf\fR(3). .PP Exemples : .PP .Vb 5 \& subjectAltName=email:copy,email:my@other.address,URI:http://my.url.here/ \& subjectAltName=IP:192.168.7.1 \& subjectAltName=IP:13::17 \& subjectAltName=email:my@other.address,RID:1.2.3.4 \& subjectAltName=otherName:1.2.3.4;UTF8:un autre identifiant \& \& subjectAltName=dirName:dir_sect \& \& [dir_sect] \& C=UK \& O=My Organization \& OU=My Unit \& CN=My Name .Ve .SS "Nom alternatif d’émetteur." .IX Subsection "Nom alternatif d’émetteur." L'option de nom alternatif d'émetteur prend en charge toutes les options littérales de nom alternatif de sujet. Elle \fBne\fR prend \fBpas\fR en charge l'option \fIemail:copy\fR, car cela n'aurait pas de sens. Elle prend en charge une option supplémentaire \fIissuer:copy\fR qui permet de copier toutes les valeurs de nom alternatif d'objet du certificat de l'émetteur (si possible). .PP Exemple : .PP .Vb 1 \& issuserAltName = issuer:copy .Ve .SS "Accès aux informations de l’autorité." .IX Subsection "Accès aux informations de l’autorité." L'extension de l'accès aux informations de l'autorité donne des détails sur la façon d'accéder à certaines informations relatives à la \s-1CA.\s0 Sa syntaxe est \fBaccessOID;\fR\fIlieu\fR où \fIlieu\fR a la même syntaxe que le nom alternatif du sujet (sauf que l'option \fIemail:copy\fR n'est pas prise en charge). \fIaccessOID\fR peut être n'importe quel \s-1OID\s0 valide, mais seulement certaines valeurs sont significatives, par exemple \fI\s-1OCSP\s0\fR et \fIcaIssuers\fR. .PP Exemple : .PP .Vb 2 \& authorityInfoAccess = OCSP;URI:http://ocsp.my.host/ \& authorityInfoAccess = caIssuers;URI:http://my.ca/ca.html .Ve .SS "Points de distribution de la liste de révocations de certificat (\s-1CRL\s0)." .IX Subsection "Points de distribution de la liste de révocations de certificat (CRL)." Cela est une extension \fImulti-valeur\fR dont les options peuvent être soit en paire nom:valeur en utilisant la même forme que le nom alternatif du sujet, soit une valeur unique représentant un nom de section contenant tous les champs de points de distribution. .PP Pour une paire \fInom\fR:\fIvaleur\fR, un nouveau \fIDistributionPoint\fR avec le champ \fIfullName\fR fixé à la valeur donnée ; les champs \fIcRLissuer\fR et \&\fIreasons\fR sont omis tout les deux dans ce cas. .PP Dans le cas de l'option unique, la section indiquée contient des valeurs pour chaque champ. Dans cette section : .PP — Si le \fInom\fR est « fullname », le champ \fIvaleur\fR doit contenir le nom complet du point de distribution dans le même format que le nom alternatif de sujet. .PP — Si le \fInom\fR est « relativename », alors le champ \fIvaleur\fR doit contenir un nom de section dont le contenu représente un fragment du \s-1DN\s0 à placer dans ce champ. .PP — Le \fInom\fR « CRLIssuer », s'il est présent, doit contenir une valeur pour ce champ dans le format de nom alternatif de sujet. .PP Si le nom est « reasons », le champ doit se composer d'un champ séparé par des virgules contenant les raisons. Les raisons valides sont : « keyCompromise », « CACompromise », « affiliationChanged », « superseded », « cessationOfOperation », « certificateHold », « privilegeWithdrawn » and « AACompromise ». .PP Par exemple : .PP .Vb 2 \& crlDistributionPoints=URI:http://myhost.com/myca.crl \& crlDistributionPoints=URI:http://my.com/my.crl,URI:http://oth.com/my.crl .Ve .PP Exemple complet de point de distribution : .PP .Vb 1 \& crlDistributionPoints=crldp1_section \& \& [crldp1_section] \& \& fullname=URI:http://myhost.com/myca.crl \& CRLissuer=dirName:issuer_sect \& reasons=keyCompromise, CACompromise \& \& [issuer_sect] \& C=UK \& O=Organisation \& CN=Some Name .Ve .SS "Émission d’un Point de distribution" .IX Subsection "Émission d’un Point de distribution" Cette extension doit apparaître seulement dans les \s-1CRL.\s0 Il s'agit d'une extension à \fImulti-valeur\fR dont la syntaxe est similaire à la « section » pointée par l'extension des points de distribution des \s-1CRL\s0 avec quelques différences. .PP Les noms « reasons » et « CRLissuer » ne sont pas reconnus. .PP Le nom « onlysomereasons » est accepté ce qui définit ce champ. La valeur est dans le même format que le champ « reasons » du point de distribution \&\s-1CRL.\s0 .PP Les noms « onlyuser », « onlyCA », « onlyAA » et « indirectCRL » sont également acceptés. Les valeurs doivent être une valeur booléenne (« \s-1TRUE\s0 » ou « \s-1FALSE\s0 ») pour indiquer la valeur du champ correspondant. .PP Exemple : .PP .Vb 1 \& issuingDistributionPoint=critical, @idp_section \& \& [idp_section] \& \& fullname=URI:http://myhost.com/myca.crl \& indirectCRL=TRUE \& onlysomereasons=keyCompromise, CACompromise \& \& [issuer_sect] \& C=UK \& O=Organisation \& CN=Some Name .Ve .SS "Politiques de certificat." .IX Subsection "Politiques de certificat." C'est une extension \fIbrut\fR. Tous les champs de cette extension peuvent être définis en utilisant la syntaxe appropriée. .PP Si vous suivez les recommandations de \s-1PKIX\s0 et en utilisant simplement un \&\s-1OID,\s0 alors vous incluez la valeur de cet \s-1OID.\s0 De multiples \s-1OID\s0 peuvent être indiqués, séparés par des virgules, par exemple : .PP .Vb 1 \& certificatePolicies= 1.2.4.5, 1.1.3.4 .Ve .PP Si vous souhaitez inclure des qualificatifs, alors l'\s-1OID\s0 de la politique et de qualification doivent être indiqués dans une section distincte : cela se fait en utilisant la syntaxe \f(CW@section\fR à la place d'une valeur littérale d'\s-1OID.\s0 .PP La section visée doit comprendre l'\s-1OID\s0 de politique en utilisant le nom policyIdentifier ; les qualificatifs \fIcPSuri\fR peuvent être inclus en utilisant la syntaxe : .PP .Vb 1 \& CPS.nnn=value .Ve .PP Les qualificatifs \fIUserNotice\fR peuvent être définis en utilisant la syntaxe : .PP .Vb 1 \& userNotice.nnn=@notice .Ve .PP La valeur du quantificateur \fIuserNotice\fR est indiquée dans la section correspondante. Cette section peut inclure les options \fIorganisation\fR \&\fIexplicitText\fR et \fInoticeNumbers\fR. \fIexplicitText\fR et \fIorganisation\fR sont des chaînes de texte, \fInoticeNumbers\fR est une liste de numéros séparés par des virgules. Les options d'\fIorganisation\fR et \fInoticeNumbers\fR (si inclus) doivent tous deux être présentes. Si vous utilisez l'option de \fIuserNotice\fR avec \s-1IE5,\s0 alors vous devez avoir l'option 'ia5org' au plus haut niveau pour modifier l'encodage : sinon il ne sera pas interprété correctement. .PP Exemple : .PP .Vb 1 \& certificatePolicies=ia5org,1.2.3.4,1.5.6.7.8,@polsect \& \& [polsect] \& \& policyIdentifier = 1.3.5.8 \& CPS.1="http://my.host.name/" \& CPS.2="http://my.your.name/" \& userNotice.1=@notice \& \& [notice] \& \& explicitText="Explicit Text Here" \& organization="Organisation Name" \& noticeNumbers=1,2,3,4 .Ve .PP L'option \fBia5org\fR modifie le type du champ \fIorganisation\fR. Dans la \&\s-1RFC2459,\s0 il ne peut être que de type \fIDisplayText\fR. Dans la \s-1RFC3280, \&\s0\fIIA5String\fR est également admissible. Certains logiciels (par exemple certaines versions de \s-1MSIE\s0) peuvent exiger ia5org. .SS "Contraintes de politique" .IX Subsection "Contraintes de politique" Cela est une extension \fImulti-valeur\fR qui comprend les noms \&\fIrequireExplicitPolicy\fR ou \fIinhibitPolicyMapping\fR et une valeur entière non négative. Au moins un composant doit être présent. .PP Exemple : .PP .Vb 1 \& policyConstraints = S .Ve .SS "Inhiber toute politique" .IX Subsection "Inhiber toute politique" Il s'agit d'une extension de chaîne dont la valeur doit être un entier non négatif. .PP Exemple : .PP .Vb 1 \& inhibitAnyPolicy = 2 .Ve .SS "Contraintes de nom" .IX Subsection "Contraintes de nom" L'extension des contraintes de nom est une extension \fImulti-valeur\fR. Le nom doit commencer par le mot \fIpermitted\fR ou \fIexcluded\fR suivie par un \fI;\fR. Le reste du nom et de la valeur suit la syntaxe de \fIsubjectAltName\fR sauf \&\fIemail:copy\fR qui n'est pas pris en charge et la forme d’IP devrait consister en une adresse \s-1IP\s0 et un masque de sous\-réseau séparés par un \fB/\fR. .PP Exemples : .PP .Vb 1 \& nameConstraints=permitted;IP:192.168.0.0/255.255.0.0 \& \& nameConstraints=permitted;email:.somedomain.com \& \& nameConstraints=excluded;email:.com .Ve .SS "Pas de vérification \s-1OCSP\s0" .IX Subsection "Pas de vérification OCSP" L’extension de non vérification du protocole \s-1OCSP\s0 est une extension \&\fIchaîne\fR, mais sa valeur est ignorée .PP Exemple : .PP .Vb 1 \& noCheck = ignored .Ve .SH "EXTENSIONS OBSOLÈTES" .IX Header "EXTENSIONS OBSOLÈTES" Les extensions suivantes ne sont pas standards, propres à Netscape et largement obsolètes. Leur utilisation dans de nouvelles applications est déconseillée. .SS "Extensions de chaîne pour Netscape." .IX Subsection "Extensions de chaîne pour Netscape." Netscape Comment (\fBnsComment\fR) est une extension \fIchaîne\fR contenant un commentaire qui sera affiché lorsque le certificat est utilisé dans certains navigateurs. .PP Exemple : .PP .Vb 1 \& nsComment = "Un commentaire" .Ve .PP D'autres extensions prises en charge dans cette catégorie sont : \&\fInsBaseUrl\fR, \fInsRevocationUrl\fR, \fInsCaRevocationUrl\fR, \fInsRenewalUrl\fR, \&\fInsCaPolicyUrl\fR et \fInsSslServerName\fR. .SS "Type de certificat pour Netscape" .IX Subsection "Type de certificat pour Netscape" Il s'agit d'une extension \fImulti-valeur\fR qui consiste en une liste de drapeaux à inclure. Elle a été utilisée pour indiquer les objectifs pour lesquelles un certificat pourrait être utilisé. Les extensions \&\fIbasicConstraints\fR, \fIkeyUsage\fR et utilisation étendue de clé sont maintenant utilisées à la place. .PP Les valeurs acceptables pour \fInsCertType\fR sont : \fIclient\fR, \fIserveur\fR, \&\fIemail\fR, \fIobjsign\fR, \fIreserved\fR, \fIsslCA\fR, \fIemailCA\fR, \fIobjCA\fR. .SH "EXTENSIONS ARBITRAIRES" .IX Header "EXTENSIONS ARBITRAIRES" Si une extension n'est pas prise en charge par le code d’OpenSSL, alors elle doit être codée en utilisant le format d'extension arbitraire. Il est également possible d'utiliser le format arbitraire pour les extensions prises en charge. Un soin extrême doit être pris pour s'assurer que les données soient formatées correctement pour le type d'extension donné. .PP Il y a deux façons de coder des extensions arbitraires. .PP La première façon est d'utiliser le mot \s-1ASN1\s0 suivi par le contenu d'extension en utilisant la même syntaxe que \&\fBASN1_generate_nconf\fR(3). Par exemple : .PP .Vb 1 \& S<1.2.3.4=critical,ASN1 :UTF8String:Some> random data \& \& 1.2.3.4=ASN1:SEQUENCE:seq_sect \& \& [seq_sect] \& \& field1 = UTF8:field1 \& field2 = UTF8:field2 .Ve .PP Il est également possible d'utiliser le mot \s-1DER\s0 pour inclure les données codées brutes dans n'importe quelle extension. .PP .Vb 2 \& 1.2.3.4=critical,DER:01:02:03:04 \& 1.2.3.4=DER:01020304 .Ve .PP La valeur suivant \s-1DER\s0 est un affichage hexadécimal de l'encodage \s-1DER\s0 de l'extension. Toute extension peut être placée sous cette forme pour remplacer le comportement par défaut. Par exemple : .PP .Vb 1 \& basicConstraints=critical,DER:00:01:02:03 .Ve .SH "AVERTISSEMENT" .IX Header "AVERTISSEMENT" Il n'y a aucune garantie qu’une mise en œuvre spécifique traitera une extension donnée. Il peut donc être parfois possible d'utiliser des certificats à des fins interdites par leurs extensions, car une application spécifique ne reconnaît pas ou ne prend pas en compte les valeurs des extensions en cause. .PP Les options de \s-1DER\s0 et \s-1ASN1\s0 devraient être utilisées avec prudence. Il est possible de créer des extensions totalement non valables si elles ne sont pas utilisées avec précaution. .SH "NOTES" .IX Header "NOTES" Si une extension est \fImulti-valeur\fR et qu’une valeur de champ doit contenir une virgule, le format long doit être utilisé, autrement la virgule est interprétée comme un séparateur de champ. Par exemple : .PP .Vb 1 \& subjectAltName=URI:ldap://somehost.com/CN=foo,OU=bar .Ve .PP produira une erreur, mais la forme équivalente : .PP .Vb 1 \& subjectAltName=@subject_alt_section \& \& [subject_alt_section] \& subjectAltName=URI:ldap://somehost.com/CN=foo,OU=bar .Ve .PP est valide. .PP En raison du comportement de la bibliothèque \fIconf\fR d’OpenSSL, le même nom de champ ne peut apparaître qu’une fois dans une section. Cela signifie que : .PP .Vb 1 \& subjectAltName=@alt_section \& \& [alt_section] \& \& email=steve@here \& email=steve@there .Ve .PP ne fera que reconnaître la dernière valeur. Cela peut être contourné en utilisant le formulaire : .PP .Vb 1 \& [alt_section] \& \& email.1=steve@here \& email.2=steve@there .Ve .SH "HISTORIQUE" .IX Header "HISTORIQUE" Le code d'extensions de X509v3 a été ajouté à OpenSSL 0.9.2. .PP La mise en correspondance de politique, empêcher toute politique et les contraintes de nom ont été ajoutés dans OpenSSL 0.9.8 .PP Les options \fIdirectoryName\fR et \fIotherName\fR ainsi que l'option \fI\s-1ASN1\s0\fR des extensions arbitraires ont été ajoutées dans OpenSSL 0.9.8 .SH "VOIR AUSSI" .IX Header "VOIR AUSSI" \&\fBreq\fR(1), \fBca\fR(1), \fBx509\fR(1), \&\fBASN1_generate_nconf\fR(3) .SH "TRADUCTION" .IX Header "TRADUCTION" La traduction de cette page de manuel est maintenue par les membres de la liste . Veuillez signaler toute erreur de traduction par un rapport de bogue sur le paquet manpages-fr-extra.