Provided by: manpages-fr-extra_20080921_all bug

NOM

       pkcs12 - Utilitaire pour les fichiers PKCS#12

SYNOPSIS

       openssl pkcs12 [-export] [-chain] [-inkey nom_fichier] [-certfile
       nom_fichier] [-name nom] [-caname nom] [-in nom_fichier] [-out
       nom_fichier] [-noout] [-nomacver] [-nocerts] [-clcerts] [-cacerts]
       [-nokeys] [-info] [-des] [-des3] [-idea] [-nodes] [-noiter] [-maciter]
       [-twopass] [-descert] [-certpbe] [-keypbe] [-keyex] [-keysig]
       [-password param] [-passin param] [-passout param] [-rand fichier(s)]

DESCRIPTION

       La commande pkcs12 permet la crA~Xation et l’interprA~Xtation de
       fichiers PKCS#12 (parfois A~Xgalement appellA~Xs PFX). Les fichiers
       PKCS#12 sont utilisA~Xs par plusieurs programmes, entre autres
       Netscape, MSIE et MS Outlook.

OPTIONS DE LA COMMANDE

       Il y a de nombreuses options dont certaines diffA~Xrent selon que l’on
       gA~XnA~Xre ou interprA~Xte un fichier. L’opA~Xration par dA~Xfaut est
       l’interprA~Xtation, pour la crA~Xation d’un fichier PKCS#12, il faut
       utiliser l’option -export.

OPTIONS DINTERPRA~XTATION
       -in nom_fichier
           Ceci spA~Xcifie le nom du fichier PKCS#12 A~  interprA~Xter. Par
           dA~Xfaut, l’entrA~Xe standard est lue.

       -out nom_fichier
           Le nom de fichier oA~X seront A~Xcrits les certificats et les
           clA~Xs privA~Xes. Par dA~Xfaut ce sera la sortie standard. Ils sont
           tous A~Xcrits au format PEM.

       -pass param, -passin param
           Le fichier PKCS#12 source des mots de passe (c’est-A~ -dire le
           fichier d’entrA~Xe). Pour plus d’informations sur le format de
           param, voir la section PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).

       -passout param
           La source de mot de passe A~  utiliser pour le chiffrement des
           clA~Xs privA~Xes sorties. Pour plus d’informations sur le format de
           param, voir la section PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).

       -noout
           Cette option empA~Xche l’ajout des clA~Xs et des certificats vers
           la version de sortie du fichier PKCS#12.

       -clcerts
           Sortie uniquement des certificats clients (et non des certificats
           CA).

       -cacerts
           Sortie uniquement des certificats CA (et non des certificats
           clients).

       -nocerts
           Aucun certificat ne sera sorti.

       -nokeys
           Aucune clA~X privA~Xe ne sera sortie.

       -info
           Sortie d’informations supplA~Xmentaires sur la structure du fichier
           PKCS#12, sur les agorithmes employA~Xs et sur les nombres
           d’itA~Xrations.

       -des
           Utilisation du chiffrement DES pour les clA~Xs privA~Xes avant la
           sortie.

       -des3
           Utilisation du chiffrement triple DES pour les clA~Xs privA~Xes
           avant la sortie, c’est l’algorithme utilisA~X par dA~Xfaut.

       -idea
           Utilisation du chiffrement IDEA pour les clA~Xs privA~Xes avant la
           sortie.

       -nodes
           Ne pas chiffrer les clA~Xs privA~Xes du tout.

       -nomacver
           Ne pas vA~Xrifier l’intA~XgritA~X MAC avant la lecture du fichier.

       -twopass
           Demande des mots de passe distincts pour l’intA~XgritA~X et le
           chiffrement ; la plupart des logiciels supposent toujours
           l’A~XgalitA~X, ainsi cette option rendra le fichier PKCS#12
           illisible pour ces logiciels.

OPTIONS DE CRA~XATION DE FICHIER

       -export
           Cette option spA~Xcifie qu’un fichier PKCS#12 sera gA~XnA~XrA~X
           plutA~Xt que lu.

       -out nom_fichier
           Ceci spA~Xcifie le nom du fichier PKCS#12 de sortie. La sortie
           standard est utilisA~Xe par dA~Xfaut.

       -in nom_fichier
           Le nom de fichier A~  partir duquel les certificats et les clA~Xs
           privA~Xes sont lues. Par dA~Xfaut, ce sera l’entrA~Xe standard. Ils
           doivent tous A~Xtre au format PEM. L’ordre n’est pas important,
           mais une clA~X privA~Xe et le certificat correspondant devrait
           A~Xtre prA~Xsent. Si des certificats supplA~Xmentaires sont
           prA~Xsents, ils seront A~Xgalement inclus dans le fichier PKCS#12.

       -inkey nom_fichier
           Le fichier A~  partir duquel sera lue la clA~X privA~Xe. Si cette
           option n’est pas prA~Xsente, la clA~X doit faire partie du fichier
           d’entrA~Xe.

       -name nomconvivial
           Ceci spA~Xcifie le nom convivial du certificat et de la clA~X
           privA~Xe. Ce nom est typiquement affichA~X dans les contrA~Xles de
           liste par les logiciels qui utilisent ce fichier.

       -certfile nom_fichier
           Un nom de fichier A~  partir duquel des certificats
           supplA~Xmentaires seront lus.

       -caname nomconvivial
           Ceci spA~Xcifie le nom convivial pour d’autres certificats. Cette
           option peut A~Xtre utilisA~Xe plusieurs fois et correspondre alors
           aux certificats dans l’ordre d’apparition. Netscape ignore les noms
           conviviaux des autres certificats alors que MSIE les affiche.

       -pass param, -passout param
           Le fichier PKCS#12 source des mots de passe (c’est-A~ -dire le
           fichier d’entrA~Xe). Pour plus d’informations sur le format de
           param, voir la section PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).

       -passin motdepasse
           La source de mot de passe A~  utiliser pour l’encodage des clA~Xs
           privA~Xes de sortie. Pour plus d’informations sur le format de
           param, voir la section PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).

       -chain
           Avec cette option, le programme tente d’inclure toute la chaA~Xne
           de certification dans le certificat utilisateur. Le rA~Xpertoire
           standard CA est utilisA~X pour cette recherche. Un A~Xchec de cette
           recherche est considA~XrA~Xe comme une erreur fatale.

       -descert
           Chiffrer le certificat avec DES, ceci peut rendre le certificat
           inutilisable avec certains logiciels AX export grade AX. Par
           dA~Xfaut, la clA~X privA~Xe est chiffrA~Xe en triple DES et le
           certificat en utilisant un RC2 A~  40 bits.

       -keypbe alg, -certpbe alg
           Ces options permettent le choix de l’algorithme de chiffrement pour
           la clA~X privA~Xe et les certificats. MA~Xme si tous les
           algorithmes PKCS#5 v1.5 ou PKCS#12 sont pris en compte, il est
           conseillA~X d’utiliser uniquement PKCS#12. RA~XfA~Xrez-vous A~  la
           liste dans la section NOTES pour plus de dA~Xtails.

       -keyex|-keysig
           SpA~Xcifie que la clA~X privA~Xe est utilisA~Xe uniquement pour
           l’A~Xchange de clA~X ou la signature. Cette option est uniquement
           interprA~XtA~Xe par MSIE et des produits similaires MS.
           Normalement, des logiciels AX export grade AX permettent seulement
           l’A~Xchange de clA~Xs RSA A~  512 bits pour le chiffrement, et une
           clA~X de longueur arbitraire pour la signature. L’option -keysig
           marque la clA~X pour une utilisation exclusivement pour des
           signatures. Une telle clA~X peut alors A~Xtre utilisA~Xe pour la
           signature S/MIME, authenticode (signature par contrA~Xles ActiveX)
           et l’identification de clients SSL, toutefois, uniquement MSIE 5.0
           et supA~Xrieur supportent l’utilisation de clA~Xs de signature pour
           l’identification de clients SSL.

       -nomaciter, -noiter
           Ces options dA~Xterminent le nombre d’itA~Xrations pour les
           algorithmes MAC et certains algorithmes de clA~Xs. A~X moins de
           vouloir produire des fichiers compatibles avec MSIE 4.0, ces
           options peuvent A~Xtre omises.

           Pour dA~Xcourager des attaques utilisant des dictionnaires
           importants de mot de passe communs, l’algorithme dA~Xrivant les
           clA~Xs des mots de passe peut se voir appliquA~X un nombre
           d’itA~Xrations : ceci a pour effet de rA~XpA~Xter une certaine
           partie de l’algorithme et ralentit l’opA~Xration. Le MAC est
           employA~X pour s’assurer l’intA~XgritA~X du fichier, mais comme il
           aura normalement le mA~Xme mot de passe que les clA~Xs et les
           certificats, il peut aussi se voir attaquA~X. Par dA~Xfaut, le
           nombre d’itA~Xrations du MAC et du chiffrement sont de 2048, en
           utilisant ces options, le nombre d’itA~Xrations MAC et du
           chiffrement peuvent A~Xtre mises A~  1. Comme ceci rA~Xduit la
           sA~XcuritA~X des informations, elles ne devraient A~Xtre
           utilisA~Xes qu’en cas de nA~XcessitA~X. La plupart des logiciels
           supportent un nombre arbitraire d’itA~Xration et pour MAC et pour
           l’encodage. MSIE 4.0 ne le supporte pas pour MAC et nA~Xcessite
           alors l’option -nomaciter.

       -maciter
           Cette option est incluse pour assurer la compatibilitA~X avec
           d’anciennes versions pour forcer le nombre d’itA~Xrations pour MAC.
           C’est actuellement le comportement par dA~Xfaut.

       -rand fichier(s)
           Un ou plusieurs fichiers contenant des donnA~Xes alA~Xatoires
           utilisA~Xes pour initialiser le gA~XnA~Xrateur de nombres
           pseudo-alA~Xatoires, ou une socket EGD (consultez RAND_egd(3)).
           Plusieurs fichiers peuvent A~Xtre spA~XcifiA~Xs en les sA~Xparant
           par le sA~Xparateur du systA~Xme d’exploitation : AX ; AX pour MS-
           Windows, AX , AX pour OpenVMS et AX : AX pour tous les autres.

NOTES

       MalgrA~X le nombre important d’options, la plupart de celles-ci ne sont
       utilisA~Xes que trA~Xs rarement. Pour l’interprA~Xtation de fichiers
       PKCS#12, seules -in et -out sont nA~Xcessaires, pour la crA~Xation,
       -export et -name sont utilisA~Xes A~Xgalement.

       Si aucune des options -clcerts, -cacerts ou -nocerts n’est prA~Xsente,
       alors tous les certificats seront gA~XnA~XrA~Xs dans l’ordre
       d’apparence dans les fichiers source PKCS#12. De plus, il n’y a aucune
       garantie que le premier certificat trouvA~X est celui correspondant A~
       la clA~X privA~Xe. Certains logiciels nA~Xcessitant une clA~X privA~Xe
       supposent que le premier certificat du fichier correspond A~  la clA~X
       privA~Xe : ceci n’est pas forcA~Xment toujours le cas. En utilisant
       l’option l’option -clcerts le problA~Xme est rA~Xsolu en incluant
       uniquement le certificat correspondant A~  la clA~X privA~Xe. Si besoin
       est, les certificats CA peuvent A~Xtre gA~XnA~XrA~Xes A~  part avec les
       options -nokeys -cacerts.

       Les options -keypbe et -certpbe permettent de prA~Xciser l’algorithme
       de chiffrement pour la clA~X privA~Xe et pour les certificats.
       Normalement, les valeurs par dA~Xfauts devraient convenir, mais
       certains logiciels ne gA~Xrent pas les clA~Xs privA~Xes encodA~Xes avec
       triple DES, alors l’option -keypbe PBE-SHA1-RC2-40 rA~Xduit le
       chiffrement de la clA~X privA~Xe A~  un RC2 de 40 bits. Une description
       complA~Xte de tous les algorithmes est contenue dans la page de manuel
       de pkcs8.

EXEMPLES

       InterprA~Xtation d’un fichier PKCS#12 et sortie vers un fichier :

        openssl pkcs12 -in file.p12 -out file.pem

       Sortie des certificats clients uniquement :

        openssl pkcs12 -in file.p12 -clcerts -out file.pem

       Ne pas chiffrer la clA~X privA~Xe :

        openssl pkcs12 -in file.p12 -out file.pem -nodes

       Afficher les informations sur un fichier PKCS#12 :

        openssl pkcs12 -in file.p12 -info -noout

       CrA~Xer un fichier PKCS#12 :

        openssl pkcs12 -export -in file.pem -out file.p12 -name "My Certificate"

       Inclure des certificats supplA~Xmentaires :

        openssl pkcs12 -export -in file.pem -out file.p12 -name "My Certificate" \
         -certfile othercerts.pem

BOGUES

       Certains disent que tout le standard PKCS#12 est un seul grand bogue
       :-)

       Les versions d’OpenSSL avant 0.9.6a avaient un bogue dans les routines
       de gA~XnA~Xration de clA~X PKCS#12. Sous certaines circonstances rares,
       ceci pouvait conduire A~  un fichier PKCS#12 chiffrA~X avec une clA~X
       non valable. Ainsi certains fichiers PKCS#12 d’autres implA~Xmentations
       (MSIE ou Netscape) et qui dA~Xclenchaient ce bogues ne pouvaient A~Xtre
       dA~XchiffrA~Xs par OpenSSL et inversement OpenSSL produisait des
       fichier non dA~Xchiffrable par d’autres implA~Xmentations. La
       probabilitA~X de produire un tels fichiers est relativement faible :
       infA~Xrieure A~  1 sur 256.

       Une consA~Xquence de la correction de ce bogue est que de tels fichiers
       PKCS#12 ne peuvent A~Xtre interprA~XtA~Xs avec une version corrigA~Xe.
       L’utilitaire pkcs12 signale alors que le MAC est valide, mais le
       dA~Xchiffrement des clA~Xs privA~Xes extraites est vouA~X A~
       l’A~Xchec.

       Ce problA~Xme peut A~Xtre contournA~X en extrayant les clA~Xs privA~Xes
       et les certificats avec une version ancienne d’OpenSSL puis en
       rA~XgA~XnA~Xrant le fichier PKCS#12 avec une version plus rA~Xcente A~
       partir des clA~Xs et des certificats. Par exemple :

        old-openssl -in bad.p12 -out keycerts.pem
        openssl -in keycerts.pem -export -name "My PKCS#12 file" -out fixed.p12

VOIR AUSSI

       pkcs8(1)

TRADUCTION

       Cette page de manuel a A~XtA~X traduite par Eltrai en 2002 et est
       maintenue par la liste <debian-l10n-french AT lists DOT debian DOT
       org>.  Veuillez signaler toute erreur de traduction par un rapport de
       bogue sur le paquet manpages-fr-extra.