Loading

NOM

       CA.pl - Interface plus ergonomique pour les programmes de certificats
       d’OpenSSL

SYNOPSIS

       CA.pl [-?] [-h] [-help] [-newcert] [-newreq] [-newreq-nodes] [-newca]
       [-xsign] [-sign] [-signreq] [-signcert] [-verify] [fichiers]

       Le script perl CA.pl fournit les paramètres à la commande openssl pour
       les opérations les plus courantes sur les certificats. Son but est de
       simplifier le processus de création et la gestion de certificats en
       employant des options simples.

OPTIONS DE LA COMMANDE

       ?, -h, -help
           affiche un descriptif d’utilisation.

       -newcert
           crée un nouveau certificat autosigné. La clé privée et le
           certificat sont écrits dans le fichier «newreq.pem».

       -newreq
           crée une nouvelle demande de certificat. La clé privée et le
           certificat sont écrits dans le fichier «newreq.pem».

       -newreq-nodes
           identique à -newreq, sauf que la clé privée ne sera pas chiffrée.

       -newca
           crée une nouvelle hiérarchie de CA à utiliser avec le programme ca
           (ou les options -signcert et -xsign). L’utilisateur devra saisir le
           nom du fichier de certificat de la CA (qui est censé contenir
           également la clé privée) ou, en appuyant sur ENTRÉE, les détails de
           la CA seront demandés. Les fichiers et répertoires correspondants
           seront crées dans un dossier nommé «demoCA» dans le répertoire
           courant.

       -pkcs12
           crée un fichier PKCS#12 contenant le certificat utilisateur, la clé
           privée et le certificat de la CA. Le programme s’attend à trouver
           le certificat utilisateur et la clé privée dans le fichier
           «newcert.pem» et le certificat CA dans le fichier
           demoCA/cacert.pem, puis crée un fichier «newcert.p12». Cette
           commande peut ainsi être appelée après l’option -sign. Le fichier
           PKCS#12 peut être directement importé dans un navigateur. Un
           argument supplémentaire à la ligne de commande sera le «nom amical»
           du certificat (celui typiquement affiché dans la fenêtre des
           certificats du navigateur), autrement le nom par défaut sera «My
           Certificate».

       -sign, -signreq, -xsign
           appelle le programme ca pour signer une demande de certificat. Il
           s’attend à trouver la demande dans le fichier «newreq.pem». Le
           nouveau certificat est écrit dans le fichier «newcert.pem» sauf
           avec l’option -xsign, auquel cas il est envoyé vers la sortie
           standard.

       -signCA
           cette option est identique à -signreq, sauf que la section v3_ca du
           fichier de configuration est utilisée, ce qui fait de la demande
           signée un certificat CA valable. Ceci est utile pour créer des CA
           intermédiaires à partir d’une CA racine.

       -signcert
           identique à -sign à la différence près que le certificat autosigné
           est attendu dans le fichier «newreq.pem».

       -verify
           vérifie le certificat avec le certificat de la CA «demoCA». Si
           aucun certificat n’est spécifié sur la ligne de commande, le
           fichier «newcert.pem» est vérifié.

       fichiers
           un ou plusieurs noms de fichier de certificat à utiliser avec
           l’option -verify.

EXEMPLES

       Création d’une hiérarchie CA:

        CA.pl -newca

       Exemple complet de création d’un certificat: créer une CA, créer une
       demande, signer la demande et finalement créer un fichier PKCS#12 pour
       contenir le certificat.

        CA.pl -newca
        CA.pl -newreq
        CA.pl -signreq
        CA.pl -pkcs12 "My Test Certificate"

CERTIFICATS DSA

       Même si CA.pl crée des CA et demandes au format RSA, il est toujours
       possible de l’utiliser avec des certificats et demandes de type DSA en
       utilisant la commande req(1) directement. L’exemple suivant montre les
       manipulations types.

       Créer les paramètres DSA:

        openssl dsaparam -out dsap.pem 1024

       Créer un certificat CA de type DSA avec sa clé privée:

        openssl req -x509 -newkey dsa:dsap.pem -keyout cacert.pem -out cacert.pem

       Créer les fichiers et répertoires de la CA:

        CA.pl -newca

       Entrer cacert.pem lors de la demande pour le nom de fichier CA.

       Créer une demande de certificat DSA et sa clé privée (un autre jeu de
       paramètres peut être généré auparavant):

        openssl req -out newreq.pem -newkey dsa:dsap.pem

       Signer la demande:

        CA.pl -signreq

NOTES

       La plupart des noms de fichiers cités peuvent être modifiés en éditant
       le script CA.pl.

       Si le répertoire demoCA existe déjà, la commande -newca ne l’écrasera
       pas et n’effectuera aucune action. Ceci peut arriver lors d’un arrêt
       inopportun d’un appel précédent avec l’option -newca. Pour retrouver le
       comportement correct il faut supprimer le répertoire demoCA.

       Sous certains environnements il peut s’avérer impossible d’exécuter le
       script CA.pl directement (par exemple Win32) et l’emplacement par
       défaut du fichier de configuration peut être erroné. Alors la commande:

        perl -S CA.pl

       peut être lancée (NdT : dans le répertoire où se trouve le script
       CA.pl) et la variable d’environnement OPENSSL_CONF permet de spécifier
       le chemin correct vers le fichier de configuration «openssl.conf».

       Le script simplifie l’utilisation du programme openssl pour débutants.
       Son comportement n’est pas toujours celui voulu. Pour plus de contrôle
       sur le comportement des commandes concernant les certificats il faut
       appeler la commande openssl directement.

VARIABLES DENVIRONNEMENT
       La variable OPENSSL_CONF, si elle est définie, permet de spécifier
       l’emplacement d’un fichier de configuration alternatif. Elle doit
       contenir le chemin complet avec le nom du fichier et non seulement le
       dossier.

VOIR AUSSI

       x509(1), ca(1), req(1), pkcs12(1), config(5)

TRADUCTION

       Cette page de manuel a été traduite par stolck en 2002 et est maintenue
       par la liste <debian-l10n-french AT lists DOT debian DOT org>.
       Veuillez signaler toute erreur de traduction par un rapport de bogue
       sur le paquet manpages-fr-extra.