Provided by:
manpages-fr-extra_20080921_all 
NOM
CA.pl - Interface plus ergonomique pour les programmes de certificats
d’OpenSSL
SYNOPSIS
CA.pl [-?] [-h] [-help] [-newcert] [-newreq] [-newreq-nodes] [-newca]
[-xsign] [-sign] [-signreq] [-signcert] [-verify] [fichiers]
DESCRIPTION
Le script perl CA.pl fournit les paramA~Xtres A~ la commande openssl
pour les opA~Xrations les plus courantes sur les certificats. Son but
est de simplifier le processus de crA~Xation et la gestion de
certificats en employant des options simples.
OPTIONS DE LA COMMANDE
?, -h, -help
affiche un descriptif d’utilisation.
-newcert
crA~Xe un nouveau certificat autosignA~X. La clA~X privA~Xe et le
certificat sont A~Xcrits dans le fichier AX newreq.pem AX.
-newreq
crA~Xe une nouvelle demande de certificat. La clA~X privA~Xe et le
certificat sont A~Xcrits dans le fichier AX newreq.pem AX.
-newreq-nodes
identique A~ -newreq, sauf que la clA~X privA~Xe ne sera pas
chiffrA~Xe.
-newca
crA~Xe une nouvelle hiA~Xrarchie de CA A~ utiliser avec le
programme ca (ou les options -signcert et -xsign). L’utilisateur
devra saisir le nom du fichier de certificat de la CA (qui est
censA~X contenir A~Xgalement la clA~X privA~Xe) ou, en appuyant sur
ENTRA~XE, les dA~Xtails de la CA seront demandA~Xs. Les fichiers et
rA~Xpertoires correspondants seront crA~Xes dans un dossier nommA~X
AX demoCA AX dans le rA~Xpertoire courant.
-pkcs12
crA~Xe un fichier PKCS#12 contenant le certificat utilisateur, la
clA~X privA~Xe et le certificat de la CA. Le programme s’attend A~
trouver le certificat utilisateur et la clA~X privA~Xe dans le
fichier AX newcert.pem AX et le certificat CA dans le fichier
demoCA/cacert.pem, puis crA~Xe un fichier AX newcert.p12 AX. Cette
commande peut ainsi A~Xtre appelA~Xe aprA~Xs l’option -sign. Le
fichier PKCS#12 peut A~Xtre directement importA~X dans un
navigateur. Un argument supplA~Xmentaire A~ la ligne de commande
sera le AX nom amical AX du certificat (celui typiquement affichA~X
dans la fenA~Xtre des certificats du navigateur), autrement le nom
par dA~Xfaut sera AX My Certificate AX.
-sign, -signreq, -xsign
appelle le programme ca pour signer une demande de certificat. Il
s’attend A~ trouver la demande dans le fichier AX newreq.pem AX.
Le nouveau certificat est A~Xcrit dans le fichier AX newcert.pem AX
sauf avec l’option -xsign, auquel cas il est envoyA~X vers la
sortie standard.
-signCA
cette option est identique A~ -signreq, sauf que la section v3_ca
du fichier de configuration est utilisA~Xe, ce qui fait de la
demande signA~Xe un certificat CA valable. Ceci est utile pour
crA~Xer des CA intermA~Xdiaires A~ partir d’une CA racine.
-signcert
identique A~ -sign A~ la diffA~Xrence prA~Xs que le certificat
autosignA~X est attendu dans le fichier AX newreq.pem AX.
-verify
vA~Xrifie le certificat avec le certificat de la CA AX demoCA AX.
Si aucun certificat n’est spA~XcifiA~X sur la ligne de commande, le
fichier AX newcert.pem AX est vA~XrifiA~X.
fichiers
un ou plusieurs noms de fichier de certificat A~ utiliser avec
l’option -verify.
EXEMPLES
CrA~Xation d’une hiA~Xrarchie CA :
CA.pl -newca
Exemple complet de crA~Xation d’un certificat : crA~Xer une CA, crA~Xer
une demande, signer la demande et finalement crA~Xer un fichier PKCS#12
pour contenir le certificat.
CA.pl -newca
CA.pl -newreq
CA.pl -signreq
CA.pl -pkcs12 "My Test Certificate"
CERTIFICATS DSA
MA~Xme si CA.pl crA~Xe des CA et demandes au format RSA, il est
toujours possible de l’utiliser avec des certificats et demandes de
type DSA en utilisant la commande req(1) directement. L’exemple suivant
montre les manipulations types.
CrA~Xer les paramA~Xtres DSA :
openssl dsaparam -out dsap.pem 1024
CrA~Xer un certificat CA de type DSA avec sa clA~X privA~Xe :
openssl req -x509 -newkey dsa:dsap.pem -keyout cacert.pem -out cacert.pem
CrA~Xer les fichiers et rA~Xpertoires de la CA :
CA.pl -newca
Entrer cacert.pem lors de la demande pour le nom de fichier CA.
CrA~Xer une demande de certificat DSA et sa clA~X privA~Xe (un autre
jeu de paramA~Xtres peut A~Xtre gA~XnA~XrA~X auparavant) :
openssl req -out newreq.pem -newkey dsa:dsap.pem
Signer la demande :
CA.pl -signreq
NOTES
La plupart des noms de fichiers citA~Xs peuvent A~Xtre modifiA~Xs en
A~Xditant le script CA.pl.
Si le rA~Xpertoire demoCA existe dA~XjA~ , la commande -newca ne
l’A~Xcrasera pas et n’effectuera aucune action. Ceci peut arriver lors
d’un arrA~Xt inopportun d’un appel prA~XcA~Xdent avec l’option -newca.
Pour retrouver le comportement correct il faut supprimer le
rA~Xpertoire demoCA.
Sous certains environnements il peut s’avA~Xrer impossible d’exA~Xcuter
le script CA.pl directement (par exemple Win32) et l’emplacement par
dA~Xfaut du fichier de configuration peut A~Xtre erronA~X. Alors la
commande :
perl -S CA.pl
peut A~Xtre lancA~Xe (NdT : dans le rA~Xpertoire oA~X se trouve le
script CA.pl) et la variable d’environnement OPENSSL_CONF permet de
spA~Xcifier le chemin correct vers le fichier de configuration
AX openssl.conf AX.
Le script simplifie l’utilisation du programme openssl pour
dA~Xbutants. Son comportement n’est pas toujours celui voulu. Pour plus
de contrA~Xle sur le comportement des commandes concernant les
certificats il faut appeler la commande openssl directement.
VARIABLES Dâ€â€™ENVIRONNEMENT
La variable OPENSSL_CONF, si elle est dA~Xfinie, permet de spA~Xcifier
l’emplacement d’un fichier de configuration alternatif. Elle doit
contenir le chemin complet avec le nom du fichier et non seulement le
dossier.
VOIR AUSSI
x509(1), ca(1), req(1), pkcs12(1), config(5)
TRADUCTION
Cette page de manuel a A~XtA~X traduite par stolck en 2002 et est
maintenue par la liste <debian-l10n-french AT lists DOT debian DOT
org>. Veuillez signaler toute erreur de traduction par un rapport de
bogue sur le paquet manpages-fr-extra.