Provided by: manpages-fr-extra_20151231_all 
NOM
X509_VERIFY_PARAM_set_flags, X509_VERIFY_PARAM_clear_flags, X509_VERIFY_PARAM_get_flags,
X509_VERIFY_PARAM_set_purpose, X509_VERIFY_PARAM_set_trust, X509_VERIFY_PARAM_set_depth,
X509_VERIFY_PARAM_get_depth, X509_VERIFY_PARAM_set_time, X509_VERIFY_PARAM_add0_policy,
X509_VERIFY_PARAM_set1_policies, X509_VERIFY_PARAM_set1_host, X509_VERIFY_PARAM_add1_host,
X509_VERIFY_PARAM_set_hostflags, X509_VERIFY_PARAM_get0_peername,
X509_VERIFY_PARAM_set1_email, X509_VERIFY_PARAM_set1_ip, X509_VERIFY_PARAM_set1_ip_asc -
Paramètres de vérifications X509
SYNOPSIS
#include <openssl/x509_vfy.h>
int X509_VERIFY_PARAM_set_flags(X509_VERIFY_PARAM *param, unsigned long drapeaux);
int X509_VERIFY_PARAM_clear_flags(X509_VERIFY_PARAM *param,
unsigned long drapeaux);
unsigned long X509_VERIFY_PARAM_get_flags(X509_VERIFY_PARAM *param);
int X509_VERIFY_PARAM_set_purpose(X509_VERIFY_PARAM *param, int but);
int X509_VERIFY_PARAM_set_trust(X509_VERIFY_PARAM *param, int confiance);
void X509_VERIFY_PARAM_set_time(X509_VERIFY_PARAM *param, time_t t);
int X509_VERIFY_PARAM_add0_policy(X509_VERIFY_PARAM *param,
ASN1_OBJECT *politique);
int X509_VERIFY_PARAM_set1_policies(X509_VERIFY_PARAM *param,
STACK_OF(ASN1_OBJECT) *politiques);
void X509_VERIFY_PARAM_set_depth(X509_VERIFY_PARAM *param, int profondeur);
int X509_VERIFY_PARAM_get_depth(const X509_VERIFY_PARAM *param);
int X509_VERIFY_PARAM_set1_host(X509_VERIFY_PARAM *param, const char
*name, size_t namelen);
int X509_VERIFY_PARAM_add1_host(X509_VERIFY_PARAM *param,
const char *name, size_t namelen);
void X509_VERIFY_PARAM_set_hostflags(X509_VERIFY_PARAM *param,
unsigned int flags);
char *X509_VERIFY_PARAM_get0_peername(X509_VERIFY_PARAM *param);
int X509_VERIFY_PARAM_set1_email(X509_VERIFY_PARAM *param, const
char *email, size_t emaillen);
int X509_VERIFY_PARAM_set1_ip(X509_VERIFY_PARAM *param, const
unsigned char *ip, size_t iplen);
int X509_VERIFY_PARAM_set1_ip_asc(X509_VERIFY_PARAM *param, const char *ipasc);
DESCRIPTION
Ces fonctions manipulent la structure X509_VERIFY_PARAM associée à une opération de
vérification du certificat.
La fonction X509_VERIFY_PARAM_set_flags() définit les drapeaux de param en les comparant
par OU logique avec drapeaux. Voir la section DRAPEAUX DE VÉRIFICATION pour une
description complète des valeurs que le paramètre drapeaux peut prendre.
X509_VERIFY_PARAM_get_flags() renvoie les drapeaux dans param.
X509_VERIFY_PARAM_clear_flags() efface les drapeaux drapeaux dans param.
X509_VERIFY_PARAM_set_purpose() fixe l'objectif de vérification de param à but. Cela
détermine le but acceptable de la chaîne de certificats, par exemple pour un client ou un
serveur SSL.
X509_VERIFY_PARAM_set_trust() définit le paramètre de confiance de param à confiance.
X509_VERIFY_PARAM_set_time() fixe le moment de vérification de param à t. Normalement,
l'heure actuelle est utilisée.
X509_VERIFY_PARAM_add0_policy() permet le contrôle de la politique (elle est désactivée
par défaut) et ajoute politique à l'ensemble des politiques acceptables.
X509_VERIFY_PARAM_set1_policies() permet la vérification de politique (elle est désactivée
par défaut) et définit l'ensemble des politiques à politiques. Toutes les politiques
existantes sont effacées. Le paramètre politiques peut être NULL pour effacer un ensemble
de règles existant.
X509_VERIFY_PARAM_set_depth() définit la profondeur de vérification maximum à profondeur.
C'est le nombre maximal de certificats de CA non fiables qui peuvent apparaître dans une
chaîne.
X509_VERIFY_PARAM_set1_host() définit le nom de domaine DNS à name en effaçant les valeurs
indiquées auparavant. Si name est NULL ou vide, la liste des noms de domaine est effacée
et les vérifications des noms ne sont pas effectuées sur le certificat du pair. Si name
est une chaîne terminée par NULL, namelen peut être zéro, autrement namelen doit être
défini à la longueur de name. Lorsqu'un nom de domaine est indiqué, la vérification du
certificat appelle la fonction X509_check_host(3) avec les drapeaux définis par l'argument
flags donné à la fonction X509_VERIFY_PARAM_set_hostflags() (0 par défaut). Les
applications sont vivement encouragées à utiliser cette interface plutôt que d'appeler
directement X509_check_host(3) car les vérifications de noms de domaine ne sont plus
requises avec l'utilisation des certificats DANE-EE(3), et les vérifications internes
seront supprimées lorsque la prise en charge de DANE sera ajoutée à OpenSSL.
X509_VERIFY_PARAM_add1_host() ajoute name comme identifiant de référence supplémentaire
qui peut correspondre au certificat du pair. Les valeurs précédentes de name définies avec
X509_VERIFY_PARAM_set1_host() ou X509_VERIFY_PARAM_add1_host() sont conservées, et aucun
changement n'est effectué si name est NULL ou vide. Si plusieurs noms sont définis, le
pair est considéré correspondant si au moins une des valeurs correspond.
X509_VERIFY_PARAM_get0_peername() renvoie le nom de domaine DNS ou le nom commun du sujet
du certificat du pair qui correspond à un des identifiants de référence. Si la
correspondance par joker n'est pas désactivée, ou si un identifiant de référence indique
un domaine parent (qui commence par « . ») plutôt qu'un nom de domaine, alors le nom du
pair peut être respectivement un joker ou un sous-domaine de l'identifiant de référence.
La chaîne de retour est allouée par la bibliothèque et n'est plus vide une fois que
l'argument param associé est libéré. Les applications ne doivent pas libérer la valeur de
retour.
X509_VERIFY_PARAM_set1_email() définit l'adresse courriel, au format de la RFC 822, à
email. Si email est une chaîne terminée par un caractère NULL, emaillen peut être zéro,
sinon emaillen doit être défini à la longueur de la chaîne email. Si une adresse courriel
est indiquée, la vérification du certificat appelle X509_check_email(3).
X509_VERIFY_PARAM_set1_ip() définit l'adresse IP à ip. L'argument ip est au format
binaire, dans l'ordre des octets du réseau et iplen doit être défini à 4 pour IPv4 et 16
pour IPv6. Si une adresse IP est indiquée, la vérification du certificat appelle
X509_check_ip(3).
X509_VERIFY_PARAM_set1_ip_asc() définit l'adresse IP à ipasc. L'argument ipasc est une
chaîne terminée par le caractère NULL : quatre nombre décimaux séparés par des points pour
IPv4, et huit hexadécimaux séparés par des deux-points pour IPv6. La notation abrégée
« :: » est acceptée pour les adresses IPv6.
VALEURS DE RETOUR
X509_VERIFY_PARAM_set_flags(), X509_VERIFY_PARAM_clear_flags(),
X509_VERIFY_PARAM_set_purpose(), X509_VERIFY_PARAM_set_trust(),
X509_VERIFY_PARAM_add0_policy() X509_VERIFY_PARAM_set1_policies(),
X509_VERIFY_PARAM_set1_host(), X509_VERIFY_PARAM_set_hostflags(),
X509_VERIFY_PARAM_set1_email(), X509_VERIFY_PARAM_set1_ip() et
X509_VERIFY_PARAM_set1_ip_asc() renvoient 1 si elles réussissent ou 0 en cas d’échec.
X509_VERIFY_PARAM_get_flags() renvoie les drapeaux de vérification actuels.
X509_VERIFY_PARAM_set_time() et X509_VERIFY_PARAM_set_depth() ne renvoient pas de valeurs.
X509_VERIFY_PARAM_get_depth() renvoie la profondeur de vérification en cours.
DRAPEAUX DE VÉRIFICATION
Les drapeaux de vérification se composent de zéro ou plusieurs des drapeaux disjonctifs
(chaînage OU logique).
X509_V_FLAG_CRL_CHECK permet la vérification de la CRL pour la chaîne de certificats
terminale. Une erreur se produit si une CRL appropriée ne peut être trouvée.
X509_V_FLAG_CRL_CHECK_ALL permet la vérification de la CRL pour l'ensemble de la chaîne de
certificats.
X509_V_FLAG_IGNORE_CRITICAL désactive le contrôle d'extension critique. Par défaut, des
extensions critiques non prises en charge dans les certificats ou les CRL (si vérifiées)
conduisent à une erreur fatale. Si ce drapeau est activé, les extensions critiques non
prises en charge sont ignorées. AVERTISSEMENT : paramétrer cette option pour autre chose
que pour le débogage peut être un risque de sécurité. Un contrôle plus fin des extensions
prises en charge peut être réalisé dans le rappel de vérification.
Le drapeau X509_V_FLAG_X509_STRICT désactive les contournements pour les certificats
cassés et impose à la vérification d'appliquer strictement les règles X509.
X509_V_FLAG_ALLOW_PROXY_CERTS permet la vérification du certificat proxy.
X509_V_FLAG_POLICY_CHECK permet la vérification de politique de certificat, par défaut
aucun contrôle de la politique n'est réalisé. Des informations supplémentaires sont
envoyées au rappel de vérification relatif au contrôle des politiques.
X509_V_FLAG_EXPLICIT_POLICY, X509_V_FLAG_INHIBIT_ANY et X509_V_FLAG_INHIBIT_MAP activent
respectivement les drapeaux require explicit policy, inhibit any policy et inhibit policy
mapping, tels que définis dans la RFC3280. Le contrôle de la politique est automatiquement
activé si l'un de ces drapeaux est activé.
Si X509_V_FLAG_NOTIFY_POLICY est activé et le contrôle de la politique est un succès, un
code d'état spécifique est activé sur la fonction de rappel de vérification. Cela lui
permet d'examiner l'arbre de politique valable et d'effectuer des contrôles
supplémentaires, ou tout simplement l'enregistrer à des fins de débogage.
Par défaut, certaines fonctionnalités supplémentaires telles que les CRL indirectes et les
CRL signées par différentes clés sont désactivées. Si X509_V_FLAG_EXTENDED_CRL_SUPPORT est
activé, elles sont activées.
Si X509_V_FLAG_USE_DELTAS est activé, les deltas de CRL (le cas échéant) sont utilisés
pour déterminer le statut du certificat. Sinon, les deltas sont ignorés.
B <X509_V_FLAG_CHECK_SS_SIGNATURE> permet un contrôle de la signature du certificat
autosigné de la CA racine. Par défaut, cette vérification est désactivée car elle n'ajoute
pas de sécurité supplémentaire, mais dans certains cas, les applications pourraient
vouloir vérifier la signature de toute façon. Un effet secondaire de l'absence de
vérification de la signature de la CA racine est que les condensés de message non pris en
charge ou désactivés de la CA racine ne sont pas traités comme des erreurs fatales.
Le drapeau X509_V_FLAG_CB_ISSUER_CHECK permet le débogage du contrôle de certificat de
l'émetteur. Il n'est pas nécessaire à moins que vous n'enregistriez la vérification du
certificat. Si cette option est activée, des codes d'état supplémentaires seront envoyés
au rappel de vérification qui doit être prêt à traiter de tels cas sans supposer que ce
sont des erreurs.
Le drapeau X509_V_FLAG_NO_ALT_CHAINS désactive la vérification des chaînes alternatives.
Par défaut, lors de la construction d'une chaîne de certificats, si la première chaîne
trouvée n'est pas de confiance, OpenSSL continuera à chercher si une autre chaîne de
confiance existe. Avec ce drapeau, le comportement sera celui des versions de OpenSSL
antérieures à 1.0.2b.
NOTES
Les fonctions ci-dessus doivent être utilisées pour manipuler les paramètres de
vérification au lieu des fonctions traditionnelles qui travaillent dans des structures
spécifiques, telles que X509_STORE_CTX_set_flags().
BOGUES
La vérification des delta de la CRL est actuellement simpliste. Un seul delta peut être
utilisé et (en partie en raison des limitations de X509_STORE) les CRL construites ne sont
pas maintenues.
Si la vérification des CRL est activée, les CRL devraient être disponibles dans la
structure X509_STORE correspondante. Aucune tentative n'est faite pour télécharger des CRL
depuis l'extension des points de distribution.
EXEMPLE
Activer la vérification de la CRL lors de la vérification du certificat pendant des
connexions SSL associées à une structure ctx SSL_CTX :
X509_VERIFY_PARAM *param;
param = X509_VERIFY_PARAM_new();
X509_VERIFY_PARAM_set_flags(param, X509_V_FLAG_CRL_CHECK);
SSL_CTX_set1_param(ctx, param);
X509_VERIFY_PARAM_free(param);
VOIR AUSSI
X509_verify_cert(3), X509_check_host(3), X509_check_email(3), X509_check_ip(3)
HISTORIQUE
Le drapeau X509_V_FLAG_NO_ALT_CHAINS a été ajouté dans OpenSSL 1.0.2b
TRADUCTION
La traduction de cette page de manuel est maintenue par les membres de la liste
<debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler toute erreur de
traduction par un rapport de bogue sur le paquet manpages-fr-extra.
1.0.2a 1.0.2c 2015-12-fr::crypto::X509_VERIFY_PARAM_set_flags(3SSL)