Provided by: manpages-fr-extra_20151231_all 
NOM
ocsp - Utilitaire pour le protocole d’état de certificat en ligne
SYNOPSIS
openssl ocsp [-out nom_fichier] [-issuer fichier] [-cert fichier] [-serial n] [-signer
fichier] [-signkey fichier] [-sign_other fichier] [-no_certs] [-req_text] [-resp_text]
[-text] [-reqout fichier] [-respout fichier] [-reqin fichier] [-respin fichier] [-nonce]
[-no_nonce] [-url URL] [-host hôte:n] [-path] [-CApath rép] [-CAfile
fichier][-no_alt_chains] [-VAfile fichier] [-validity_period n] [-status_age age]
[-noverify] [-verify_other fichier] [-trust_other] [-no_intern] [-no_signature_verify]
[-no_cert_verify] [-no_chain] [-no_cert_checks] [-no_explicit] [-port num] [-index
fichier] [-CA fichier] [-rsigner fichier] [-rkey fichier] [-rother fichier]
[-resp_no_certs] [-nmin n] [-ndays n] [-resp_key_id] [-nrequest n] [-md5|-sha1|...]
DESCRIPTION
Le protocole d'état de certificat en ligne (OCSP) permet aux applications de déterminer
l’état (de révocation) d'un certificat identifié (RFC 2560).
La commande ocsp effectue de nombreuses tâches OCSP communes. Elle permet d’afficher les
demandes et les réponses, créer des demandes et envoyer des requêtes à un répondeur OCSP
et se comporter comme un mini serveur OCSP lui-même.
OPTIONS DE CLIENT OCSP
-out nom_fichier
Indiquer le fichier de sortie, par défaut la sortie standard.
-issuer fichier
Indiquer le certificat de l'émetteur actuel. Cette option peut être utilisée plusieurs
fois. Le certificat mentionné dans le fichier doit être au format PEM. Cette option
doit être fournie avant toute option -cert.
-cert fichier
Ajouter le certificat fichier à la demande. Le certificat d’émetteur est pris à partir
de l'option -issuer précédente ou une erreur se produit si aucun certificat d’émetteur
n’est indiqué.
-serial n
Identique à l'option de -cert sauf que le certificat de numéro de série num est ajouté
à la demande. Le numéro de série est interprété comme un entier décimal sauf s’il est
précédé par 0x. Des nombres négatifs peuvent aussi être indiqués par un signe -
précédant la valeur.
-signer fichier, -signkey fichier
Signer la demande OCSP à l'aide du certificat indiqué dans l'option -signer et la clef
privée indiquée par l'option -signkey. Si l'option -signkey n'est pas présente, alors
la clef privée est lue à partir du même fichier que le certificat. Si aucune option
n'est indiquée, alors la demande OCSP n'est pas signée.
-sign_other fichier
Certificats supplémentaires à inclure dans la demande signée.
-nonce, -no_nonce
Ajouter une extension nonce OCSP à une demande ou désactiver l’ajout de nonce OCSP.
Normalement, si une demande OCSP est entrée en utilisant l'option -respin, aucun nonce
n’est ajouté : utiliser l'option -nonce forcera l’ajout d'un nonce. Si une demande
OCSP est créé (avec les options -cert et -serial), un nonce est automatiquement
ajouté, indiquer -no_nonce remplace cela.
-req_text, -resp_text, -text
Afficher respectivement au format texte la requête OCSP, la réponse ou les deux.
-reqout fichier, -respout fichier
Écrire la demande ou la réponse de certificat encodée en DER dans fichier.
-reqin fichier, -respin fichier
Lire un fichier de demande ou de réponse OCSP dans fichier. Ces options sont ignorées
si la création de demande ou réponse OCSP est implicite grâce à d'autres options (par
exemple avec les options -serial, -cert et -host).
-url URL
Indiquer l’URL de répondeur. Des URL HTTP et HTTPS (SSL ou TLS) peuvent être
indiquées.
-host hôte:n, -path chemin
Si l'option -host est présente, alors la demande OCSP est envoyée à l’hôte sur le port
n. chemin indique le nom de chemin d'accès HTTP à utiliser ou « / » par défaut.
-timeout secondes
Délai de connexion au répondeur OCSP en seconde.
-CAfile fichier, -CApath rép
Fichier ou chemin d'accès contenant les certificats de confiance. Ils sont utilisés
pour vérifier la signature dans la réponse OCSP.
-no_alt_chains
Consultez la page de manuel verify pour plus de précisions.
-verify_other fichier
Fichier contenant les certificats supplémentaires où tenter de localiser le certificat
de signature de réponse OCSP. Certains répondeurs omettent le certificat du signataire
réel de la réponse : cette option permet de fournir le certificat nécessaire dans ces
cas là.
-trust_other
Les certificats indiqués par l'option -verify_other devraient être explicitement de
confiance et aucune vérification supplémentaire ne sera effectuée. C’est utile lorsque
la chaîne complète de certificats répondeur n'est pas disponible ou quand faire
confiance à une autorité de certification racine n'est pas approprié.
-VAfile fichier
Fichier contenant les certificats de répondeur explicitement approuvés. Équivalent aux
options -verify_other et -trust_other.
-noverify
Ne pas essayer de vérifier la signature de réponse OCSP ou les valeurs de nonce. Cette
option ne sera normalement utilisée que pour le débogage, car elle désactive toute
vérification du certificat des répondeurs.
-no_intern
Ignorer les certificats contenus dans la réponse OCSP lors de la recherche du
certificat des signataires. Avec cette option, le certificat des signataires doit être
indiqué avec les options -verify_other ou -VAfile
-no_signature_verify
Ne pas vérifier la signature de réponse OCSP. Puisque cette option tolère les
signatures non valables des réponses OCSP, elle ne devrait être utilisée qu’à des fins
de test.
-no_cert_verify
Ne pas vérifier du tout le certificat des signataires de réponse OCSP. Puisque cette
option permet à la réponse OCSP d’être signée par n’importe quel certificat, elle ne
devrait être utilisée qu’à des fins de test.
-no_chain
Ne pas utiliser les certificats dans la réponse comme des certificats supplémentaires
d’autorité non fiables.
-no_explicit
Ne pas catégoriquement croire le certificat d’autorité racine s’il est utilisé comme
autorité de confiance pour une signature OCSP.
-no_cert_checks
Ne pas effectuer de contrôle supplémentaire sur le certificat des signataires de
réponse OCSP. C'est-à-dire, ne pas faire de contrôle pour vérifier que le certificat
des signataires est autorisé à fournir les informations d'état nécessaires : par
conséquent, cette option ne devrait être utilisée qu’à des fins de test.
-validity_period n, -status_age age
Ces options indiquent la plage de temps, en seconde, qui sera tolérée dans une réponse
OCSP. Chaque réponse d'état de certificat comprend un temps notBefore et un temps
notAfter. Le temps actuel devrait se situer entre ces deux valeurs, mais l'intervalle
entre les deux temps peut n’être que de quelques secondes. En pratique, les horloges
du répondeur et des clients OCSP peuvent ne pas être précisément synchronisées et donc
ce type de contrôle peut échouer. Pour éviter cela, l’option -validity_period peut
être utilisée pour indiquer une plage d'erreur acceptable en secondes, la valeur par
défaut est de 5 minutes.
Si le temps notAfter est omis dans une réponse, cela signifie que de nouvelles
informations d'état sont disponibles immédiatement. Dans ce cas, l'âge du champ
notBefore est vérifié pour voir s’il n'est pas plus vieux que age en seconde. Par
défaut, cette vérification supplémentaire n'est pas effectuée.
-md5|-sha1|-sha256|-ripemod160|...
Cette option définit l’algorithme de signature à utiliser pour l'identification de
certificat dans la demande OCSP. Par défaut, SHA-1 est utilisé.
OPTIONS DE SERVEUR OCSP
-index fichier
fichier est un fichier texte d'indices au format ca contenant des informations de
révocations de certificat.
Si l'option -index est indiquée, l'utilitaire ocsp est en mode répondeur, sinon il est
en mode client. La ou les demandes que les répondeurs traitent peuvent être soit
indiquées sur la ligne de commande (avec des options -issuer et -serial), soit
fournies dans un fichier (en utilisant l'option -respin) ou à l’aide de clients OCSP
externes (si -port ou -url sont indiquées).
Si l'option -index est présente, alors les options -CA et -rsigner doivent également
être présentes.
-CA fichier
Certificat d’autorité correspondant aux informations de révocations de -indexfile.
-rsigner fichier
Le certificat à utiliser pour signer les réponses OCSP.
-rother fichier
Certificats supplémentaires à inclure dans la réponse OCSP.
-resp_no_certs
Ne pas inclure les certificats dans la réponse OCSP.
-resp_key_id
Identifier le certificat de signataire en utilisant l'identifiant de clef, par défaut,
cela consiste à utiliser le nom d’objet.
-rkey fichier
La clef privée à utiliser pour signer les réponses OCSP : en cas d’absence, le fichier
indiqué dans l'option -rsigner est utilisé.
-port num
Port où écouter les demandes OCSP. Le port peut également être indiqué par l'option
-url .
-nrequest n
Le serveur OCSP se terminera après avoir reçu n demandes, par défaut sans limite.
-nmin n, -ndays n
Temps en minute ou jour pendant lequel les informations fraîches de révocations ne
sont pas disponibles : utilisé dans le champ nextUpdate. Si aucune option n'est
présente, alors le champ nextUpdate est omis, ce qui signifie que les informations
fraîches de révocations sont disponibles immédiatement.
Vérification de réponse OCSP.
La réponse OCSP suit les règles précisées dans la RFC 2560.
Initialement, le certificat de répondeur OCSP est localisé puis la signature de la demande
OCSP vérifiée en utilisant la clef publique du certificat de répondeur.
Ensuite, une vérification normale de certificat est effectuée sur le certificat de
répondeur OCSP en construisant une chaîne de certificats dans le processus. Les
emplacements de certificats de confiance utilisés pour construire la chaîne peuvent être
indiqués par les options -CAfile et -CApath ou ils seront recherchés dans le répertoire
standard des certificats OpenSSL.
Si la première vérification échoue, alors le processus de vérification OCSP s'arrête avec
une erreur.
Sinon, le certificat d'autorité de certification émettrice dans la demande est comparé au
certificat de répondeur OCSP : en cas de correspondance, la vérification OCSP réussit.
Sinon, le certificat d’autorité du répondeur OCSP est comparé au certificat d’autorité
émis dans la demande. En cas de correspondance, et que l’utilisation de clef étendue
OCSPSigning est présente dans le certificat de répondeur OCSP, la vérification OCSP
réussit.
Sinon, si -no_explicit n’est pas défini, la confiance de l’autorité de certification
racine des autorités de certification des répondeurs OCSP est vérifiée pour la signature
OCSP. Si c’est le cas, la vérification OCSP réussit.
Si aucune de ces vérifications ne réussit, la vérification OCSP échoue.
Ce que cela signifie effectivement est que si le certificat du répondeur OCSP est autorisé
directement par l’autorité de certificat à propos de laquelle il publie des informations
de révocations (et qu’il est correctement configuré), alors la vérification réussira.
Si le répondeur OCSP est un « répondeur global » qui peut donner des précisions sur
plusieurs autorités de certification et possède sa propre chaîne de certificats distincte,
alors son autorité de certification racine peut être de confiance pour la signature OCSP.
Par exemple :
openssl x509 -in CAocsp.pem -addtrust OCSPSigning -out CAconfiance.pem
Alternativement, le certificat de répondeur lui-même peut être approuvé explicitement avec
l'option -VAfile.
NOTES
Comme indiqué précédemment, la plupart des options de vérification sont à des fins de test
ou de débogage. Normalement, seules les options -CApath, -CAfile et (si le répondeur est
un « VA global ») -VAfile doivent être utilisées.
Le serveur OCSP n'est utile qu’à des fins de test et de démonstration : il n'est pas
vraiment utilisable comme un répondeur OCSP complet. Il ne contient qu'une gestion très
basique de la requête HTTP et ne peut que gérer la forme POST des requêtes OCSP. Il gère
également les demandes en série, il ne peut donc pas répondre à de nouvelles demandes
avant d’avoir traité l’actuelle. Le format de fichier texte d'index de la révocation est
également inefficace pour de grandes quantités de données de révocations.
L’application ocsp peut être exécutée en mode répondeur à l’aide d’un script CGI en
utilisant les options -respin et -respout.
EXEMPLES
Créer une demande OCSP et écrire dans un fichier :
openssl ocsp -issuer émetteur.pem -cert c1.pem -cert c2.pem \
-reqout dem.der
Envoyer une requête à un répondeur OCSP avec l'URL http://ocsp.example.com/, sauvegarder
la réponse dans un fichier et l’afficher au format texte :
openssl ocsp -issuer émetteur.pem -cert c1.pem -cert c2.pem \
-url http://ocsp.example.com/ -resp_text -respout rep.der
Lire une réponse OCSP et l’afficher au format texte :
openssl ocsp -respin rep.der -text
Serveur OCSP sur le port 8888 utilisant une configuration ca standard et un certificat de
répondeur séparé. Toutes les demandes et les réponses sont envoyées dans un fichier :
openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem \
-CA demoCA/cacert.pem -text -out log.txt
Comme ci-dessus mais en se terminant après traitement d'une demande :
openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem \
-CA demoCA/cacert.pem -nrequest 1
Demander des informations d'état en utilisant une demande générée en interne :
openssl ocsp -index demoCA/index.txt -rsigner rcert.pem \
-CA demoCA/cacert.pem -issuer demoCA/cacert.pem -serial 1
Demander des informations d’état en utilisant une demande lue dans un fichier, écrire la
réponse dans un second fichier.
openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
-reqin req.der -respout resp.der
HISTORIQUE
L'option -no_alt_chains a été ajoutée dans la version 1.0.2b d'OpenSSL.
TRADUCTION
La traduction de cette page de manuel est maintenue par les membres de la liste
<debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler toute erreur de
traduction par un rapport de bogue sur le paquet manpages-fr-extra.