NOM
CA.pl - Interface plus ergonomique pour les programmes de certificats
d’OpenSSL
SYNOPSIS
CA.pl [-?] [-h] [-help] [-newcert] [-newreq] [-newreq-nodes] [-newca]
[-xsign] [-sign] [-signreq] [-signcert] [-verify] [fichiers]
Le script perl CA.pl fournit les paramètres à la commande openssl pour
les opérations les plus courantes sur les certificats. Son but est de
simplifier le processus de création et la gestion de certificats en
employant des options simples.
OPTIONS DE LA COMMANDE
?, -h, -help
affiche un descriptif d’utilisation.
-newcert
crée un nouveau certificat autosigné. La clé privée et le
certificat sont écrits dans le fichier «newreq.pem».
-newreq
crée une nouvelle demande de certificat. La clé privée et le
certificat sont écrits dans le fichier «newreq.pem».
-newreq-nodes
identique à -newreq, sauf que la clé privée ne sera pas chiffrée.
-newca
crée une nouvelle hiérarchie de CA à utiliser avec le programme ca
(ou les options -signcert et -xsign). L’utilisateur devra saisir le
nom du fichier de certificat de la CA (qui est censé contenir
également la clé privée) ou, en appuyant sur ENTRÉE, les détails de
la CA seront demandés. Les fichiers et répertoires correspondants
seront crées dans un dossier nommé «demoCA» dans le répertoire
courant.
-pkcs12
crée un fichier PKCS#12 contenant le certificat utilisateur, la clé
privée et le certificat de la CA. Le programme s’attend à trouver
le certificat utilisateur et la clé privée dans le fichier
«newcert.pem» et le certificat CA dans le fichier
demoCA/cacert.pem, puis crée un fichier «newcert.p12». Cette
commande peut ainsi être appelée après l’option -sign. Le fichier
PKCS#12 peut être directement importé dans un navigateur. Un
argument supplémentaire à la ligne de commande sera le «nom amical»
du certificat (celui typiquement affiché dans la fenêtre des
certificats du navigateur), autrement le nom par défaut sera «My
Certificate».
-sign, -signreq, -xsign
appelle le programme ca pour signer une demande de certificat. Il
s’attend à trouver la demande dans le fichier «newreq.pem». Le
nouveau certificat est écrit dans le fichier «newcert.pem» sauf
avec l’option -xsign, auquel cas il est envoyé vers la sortie
standard.
-signCA
cette option est identique à -signreq, sauf que la section v3_ca du
fichier de configuration est utilisée, ce qui fait de la demande
signée un certificat CA valable. Ceci est utile pour créer des CA
intermédiaires à partir d’une CA racine.
-signcert
identique à -sign à la différence près que le certificat autosigné
est attendu dans le fichier «newreq.pem».
-verify
vérifie le certificat avec le certificat de la CA «demoCA». Si
aucun certificat n’est spécifié sur la ligne de commande, le
fichier «newcert.pem» est vérifié.
fichiers
un ou plusieurs noms de fichier de certificat à utiliser avec
l’option -verify.
EXEMPLES
Création d’une hiérarchie CA:
CA.pl -newca
Exemple complet de création d’un certificat: créer une CA, créer une
demande, signer la demande et finalement créer un fichier PKCS#12 pour
contenir le certificat.
CA.pl -newca
CA.pl -newreq
CA.pl -signreq
CA.pl -pkcs12 "My Test Certificate"
CERTIFICATS DSA
Même si CA.pl crée des CA et demandes au format RSA, il est toujours
possible de l’utiliser avec des certificats et demandes de type DSA en
utilisant la commande req(1) directement. L’exemple suivant montre les
manipulations types.
Créer les paramètres DSA:
openssl dsaparam -out dsap.pem 1024
Créer un certificat CA de type DSA avec sa clé privée:
openssl req -x509 -newkey dsa:dsap.pem -keyout cacert.pem -out cacert.pem
Créer les fichiers et répertoires de la CA:
CA.pl -newca
Entrer cacert.pem lors de la demande pour le nom de fichier CA.
Créer une demande de certificat DSA et sa clé privée (un autre jeu de
paramètres peut être généré auparavant):
openssl req -out newreq.pem -newkey dsa:dsap.pem
Signer la demande:
CA.pl -signreq
NOTES
La plupart des noms de fichiers cités peuvent être modifiés en éditant
le script CA.pl.
Si le répertoire demoCA existe déjà, la commande -newca ne l’écrasera
pas et n’effectuera aucune action. Ceci peut arriver lors d’un arrêt
inopportun d’un appel précédent avec l’option -newca. Pour retrouver le
comportement correct il faut supprimer le répertoire demoCA.
Sous certains environnements il peut s’avérer impossible d’exécuter le
script CA.pl directement (par exemple Win32) et l’emplacement par
défaut du fichier de configuration peut être erroné. Alors la commande:
perl -S CA.pl
peut être lancée (NdT : dans le répertoire où se trouve le script
CA.pl) et la variable d’environnement OPENSSL_CONF permet de spécifier
le chemin correct vers le fichier de configuration «openssl.conf».
Le script simplifie l’utilisation du programme openssl pour débutants.
Son comportement n’est pas toujours celui voulu. Pour plus de contrôle
sur le comportement des commandes concernant les certificats il faut
appeler la commande openssl directement.
VARIABLES D’ENVIRONNEMENT
La variable OPENSSL_CONF, si elle est définie, permet de spécifier
l’emplacement d’un fichier de configuration alternatif. Elle doit
contenir le chemin complet avec le nom du fichier et non seulement le
dossier.
VOIR AUSSI
x509(1), ca(1), req(1), pkcs12(1), config(5)
TRADUCTION
Cette page de manuel a été traduite par stolck en 2002 et est maintenue
par la liste <debian-l10n-french AT lists DOT debian DOT org>.
Veuillez signaler toute erreur de traduction par un rapport de bogue
sur le paquet manpages-fr-extra.