Provided by: manpages-fr-extra_20080921_all bug

NOM

       ca - Exemple d’application minimale pour une authoritA~X de
       certification

SYNOPSIS

       openssl ca [-verbose] [-config filename] [-name section] [-gencrl]
       [-revoke file] [-crl_reason reason] [-crl_hold instruction]
       [-crl_compromise time] [-crl_CA_compromise time] [-crldays days]
       [-crlhours hours] [-crlexts section] [-startdate date] [-enddate date]
       [-days arg] [-md arg] [-policy arg] [-keyfile arg] [-key arg] [-passin
       arg] [-cert file] [-selfsign] [-in file] [-out file] [-notext] [-outdir
       dir] [-infiles] [-spkac file] [-ss_cert file] [-preserveDN]
       [-noemailDN] [-batch] [-msie_hack] [-extensions section] [-extfile
       section] [-engine id] [-subj arg] [-utf8] [-multivalue-rdn]

DESCRIPTION

       La commande ca est une application CA (AX Certificate Authority AX :
       autoritA~X de certification) minimale. Elle peut A~Xtre utilisA~Xe pour
       signer des demandes de certificats sous diffA~Xrentes formes et
       gA~XnA~Xre des CRL (AX Certificate Revocation List AX : liste de
       certificats rA~XvoquA~Xs). D’autre part, elle maintient une liste des
       certificats dA~XlivrA~Xs et de leurs statuts.

       Les descriptions des options sont divisA~Xes par type d’action.

OPTIONS POUR LES AUTORITA~XS DE CERTIFICATION

       -config nom_fichier
           spA~Xcifie le nom du fichier de configuration.

       -name section
           spA~Xcifie la section du fichier de configuration A~  utiliser
           (remplace default_ca dans la section ca).

       -in nom_fichier
           un nom de fichier en entrA~Xe contenant une seule demande de
           certificat A~  A~Xtre signA~Xe par la CA.

       -ss_cert nom_fichier
           un seul certificat auto-signA~X A~  A~Xtre signA~X par la CA.

       -spkac nom_fichier
           un fichier contenant une unique clA~X publique Netscape signA~Xe,
           un dA~Xfi (challenge) et des donnA~Xes supplA~Xmentaires A~  A~Xtre
           signA~Xes par le CA. RA~XfA~Xrez-vous A~  la section SPKAC FORMAT
           pour des informations sur le format demandA~X.

       -infiles
           si elle est prA~Xsente, elle doit A~Xtre la derniA~Xre option. Tous
           les paramA~Xtres suivants sont interprA~XtA~Xs comme fichiers
           contenant des demandes de certificats.

       -out nom_fichier
           le fichier de sortie oA~X les certificats seront dirigA~Xs. Par
           dA~Xfaut il s’agit de la sortie standard. Les dA~Xtails des
           certificats y seront A~Xgalement prA~XcisA~Xs.

       -outdir rA~Xpertoire
           le rA~Xpertoire qui contiendra les certificats. Les certificats
           seront A~Xcrits vers des fichiers nommA~Xs par le numA~Xro de
           sA~Xrie en hexadA~Xcimal portant le suffixe AX .pem AX.

       -cert
           le fichier de certificat de la CA.

       -keyfile nom_fichier
           la clA~X privA~Xe avec laquelle signer les requA~Xtes.

       -key mot_de_passe
           le mot de passe utilisA~X pour chiffrer la clA~X privA~Xe. Sur
           certains systA~Xmes les paramA~Xtres de la ligne de commande sont
           visibles (par exemple sous Unix avec l’utilitaire AX ps AX) une
           certaine prudence est requise pour l’utilisation de cette option.

       -selfsign
           indicates the issued certificates are to be signed with the key the
           certificate requests were signed with (given with -keyfile).
           Cerificate requests signed with a different key are ignored.  If
           -spkac, -ss_cert or -gencrl are given, -selfsign is ignored.

           A consequence of using -selfsign is that the self-signed
           certificate appears among the entries in the certificate database
           (see the configuration option database), and uses the same serial
           number counter as all other certificates sign with the self-signed
           certificate.

       -passin param
           la source du mot de passe de la clA~X. Pour plus d’informations sur
           le format de param, rA~XfA~Xrez-vous A~  la section PARAMA~XTRES DE
           PHRASE DE PASSE d’openssl(1).

       -verbose
           ceci affiche des dA~Xtails supplA~Xmentaires sur les opA~Xrations
           effectuA~Xes.

       -notext
           ne pas inclure la version texte d’un certificat dans le fichier de
           sortie.

       -startdate date
           ceci permet de dA~Xfinir la date de dA~Xbut de validitA~X
           explicitement. Le format de date utilisA~X est AAMMJJHHMMSSZ (comme
           pour une structure UTCTime ASN1).

       -enddate date
           ceci permet de dA~Xfinir la date de fin de validitA~X
           explicitement. Le format de date utilisA~X est AAMMJJHHMMSSZ (comme
           pour une structure UTCTime ASN1).

       -days param
           le nombre de jours pendant lesquels le certificat sera certifiA~X.

       -md alg
           le type de condensA~X (AX digest AX) de message A~  utiliser. On
           trouve parmi les valeurs possibles : md5, sha1, ou mdc2. Cette
           option s’applique aussi aux CRL.

       -policy param
           cette option dA~Xfinit la AX politique AX de la CA A~  utiliser. Il
           s’agit d’une section du fichier de configuration spA~Xcifiant les
           champs qui sont obligatoires ou qui doivent correspondre au
           certificat de la CA. RA~XfA~Xrez-vous A~  la section FORMAT DES
           POLITIQUES pour plus d’informations.

       -msie_hack
           this is a legacy option to make ca work with very old versions of
           the IE certificate enrollment control "certenr3". It used
           UniversalStrings for almost everything. Since the old control has
           various security bugs its use is strongly discouraged. The newer
           control "Xenroll" does not need this option.

       -preserveDN
           Normally the DN order of a certificate is the same as the order of
           the fields in the relevant policy section. When this option is set
           the order is the same as the request. This is largely for
           compatibility with the older IE enrollment control which would only
           accept certificates if their DNs match the order of the request.
           This is not needed for Xenroll.

       -noemailDN
           The DN of a certificate can contain the EMAIL field if present in
           the request DN, however it is good policy just having the e-mail
           set into the altName extension of the certificate. When this option
           is set the EMAIL field is removed from the certificate’ subject and
           set only in the, eventually present, extensions. The email_in_dn
           keyword can be used in the configuration file to enable this
           behaviour.

       -batch
           ceci active le mode par lot. Aucune question ne sera posA~Xe et
           tous les certificats seront signA~Xs automatiquement.

       -extensions section
           the section of the configuration file containing certificate
           extensions to be added when a certificate is issued (defaults to
           x509_extensions unless the -extfile option is used). If no
           extension section is present then, a V1 certificate is created. If
           the extension section is present (even if it is empty), then a V3
           certificate is created.

       -extfile file
           an additional configuration file to read certificate extensions
           from (using the default section unless the -extensions option is
           also used).

       -engine id
           spA~Xcifie un moteur (en utilisant son identifiant unique id) qui
           indique A~  req d’essayer d’obtenir une rA~XfA~Xrence fonctionnelle
           pour le moteur spA~XcifiA~X, et l’initialiser si nA~Xcessaire. Le
           moteur sera ensuite utilisA~X par dA~Xfaut pour tous les
           algorithmes disponibles.

       -subj param
           supersedes subject name given in the request.  The arg must be
           formatted as /type0=value0/type1=value1/type2=..., characters may
           be escaped by \ (backslash), no spaces are skipped.

       -utf8
           cette option indique que les valeurs des champs doivent A~Xtre
           interprA~XtA~Xes comme des chaA~Xnes UTF8. Par dA~Xfaut, elles sont
           interprA~XtA~Xes comme des chaA~Xnes ASCII. Ce la signifie que les
           valeurs des champs, qu’elles soient demandA~Xe sur le terminal ou
           fournies par le fichier de configuration, doivent A~Xtre des
           chaA~Xnes UTF8 valables.

       -multivalue-rdn
           this option causes the -subj argument to be interpretedt with full
           support for multivalued RDNs. Example:

           /DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John Doe

           Si -multi-rdn est utilisA~Xe, alors la valeur de l’UID est
           123456+CN=John Doe.

OPTIONS POUR LES LISTES DE CERTIFICATS RA~XVOQUA~XS (CRL)

       -gencrl
           cette options gA~XnA~Xre une CRL basA~Xe sur l’information
           trouvA~Xe dans le fichier d’index.

       -crldays num
           le nombre de jours avant passage A~  la CRL suivante. Ce nombre de
           jours, qui est dA~XcomptA~X A~  partir de la date d’exA~Xcution,
           permet de dA~Xfinir la date A~  placer dans le champ nextUpdate de
           la CRL.

       -crlhours n
           le nombre d’heures avant passage A~  la CRL suivante.

       -revoke nom_fichier
           le nom du fichier contenant un certificat A~  retirer.

       -crl_reason raison
           la raison du retrait, oA~X la raison vaut : unspecified (AX non
           prA~XcisA~Xe AX), keyCompromise (AX clA~X compromise AX),
           CACompromise (AX CA compromise AX), affiliationChanged
           (AX changement d’affiliation AX), superseded (AX remplacA~X AX),
           cessationOfOperation (AX cessation d’activitA~X AX),
           certificateHold (AX certificat suspendu AX) ou removeFromCRL
           (AX retirA~X de la CRL AX). La casse de la raison n’a pas besoin de
           correspondre. L’ajout d’une raison au retrait forcera l’utilisation
           d’une CRL v2.

           En pratique, removeFromCRL n’est pas particuliA~Xrement utile parce
           qu’elle n’est utilisA~Xe que pour les CRL AX delta AX, qui ne sont
           pas implA~XmentA~Xes pour l’instant.

       -crl_hold instruction
           This sets the CRL revocation reason code to certificateHold and the
           hold instruction to instruction which must be an OID. Although any
           OID can be used only holdInstructionNone (the use of which is
           discouraged by RFC2459)  holdInstructionCallIssuer or
           holdInstructionReject will normally be used.

       -crl_compromise moment
           This sets the revocation reason to keyCompromise and the compromise
           time to time. time should be in GeneralizedTime format that is
           YYYYMMDDHHMMSSZ.

       -crl_CA_compromise moment
           Il s’agit de la mA~Xme chose que crl_compromise, mais la raison de
           la rA~Xvocation est mise A~  CACompromise.

       -crlexts section
           la section du fichier de configuration contenant des extensions CRL
           A~  inclure. Si aucune section d’extension CRL n’est prA~Xsente,
           une CRL V1 est crA~XA~Xe, sinon une CRL V2 sera crA~XA~Xe, mA~Xme
           si la section en question est vide. Les extensions CRL
           spA~XcifiA~Xes sont des extensions CRL et non des extensions
           d’entrA~Xe CRL. Remarquons que certains logiciels (par exemple
           Netscape) ne gA~Xrent pas les CRL V2.

OPTIONS DU FICHIER DE CONFIGURATION

       La section du fichier de configuration contenant des options pour ca
       est trouvA~Xe de la faA~Xon suivante : si l’option de ligne de commande
       -name est utilisA~Xe, elle prA~Xcise le nom de la section A~  utiliser.
       Autrement, la section qui sera utilisA~Xe est celle mentionnA~Xe
       l’option default_ca de la section ca du fichier de configuration (ou
       dans la section par dA~Xfaut du fichier de configuration). A~X part
       default_ca, les options suivantes sont lues directement dans la section
       ca :
        RANDFILE
        preserve
        msie_hack A~X l’exception de RANDFILE, ceci est probablement un bogue
       et risque d’A~Xtre modifiA~X dans les versions futures.  De nombreuses
       options du fichier de configuration sont identiques A~  celles de la
       ligne de commande. Si une option est prA~Xsente A~  la fois dans le
       fichier de configuration et sur la ligne de commande, la valeur de la
       ligne de commande est prise en compte. Une option dA~Xcrite comme
       obligatoire doit A~Xtre prA~Xsente soit dans le fichier de
       configuration soit sur la ligne de commande (si c’est possible).

       oid_file
           Ceci spA~Xcifie le fichier contenant des IDENTIFIANTS DOBJET)
           supplA~Xmentaires. Chaque ligne consiste en la forme numA~Xrique de
           l’identifiant d’objet suivi par des espaces puis le libellA~X court
           suivi A~  son tour par des espaces et finalement le libellA~X long.

       oid_section
           Ceci spA~Xcifie une section du fichier de configuration contenant
           d’autres identifiants d’objet. Chaque ligne est constituA~Xe du
           libellA~X court de l’identifiant d’objet suivi de = et de la forme
           numA~Xrique. Le libellA~X court et le libellA~X long sont
           identiques quand cette option est utilisA~Xe.

       new_certs_dir
           identique A~  l’option de ligne de commande -outdir. On spA~Xcifie
           le rA~Xpertoire oA~X les nouveaux certificats seront placA~Xs.
           Obligatoire.

       certificate
           identique A~  -cert. Elle spA~Xcifie le fichier contenant le
           certificat de la CA. Obligatoire.

       private_key
           identique A~  l’option -keyfile. Le fichier contenant la clA~X
           privA~Xe de la CA. Obligatoire.

       RANDFILE
           a file used to read and write random number seed information, or an
           EGD socket (see RAND_egd(3)).

       default_days
           identique A~  l’option -days. Le nombre de jours qu’un certificat
           sera certifiA~X.

       default_startdate
           identique A~  l’option -startdate. La date de dA~Xbut de validitA~X
           du certificat. Si cette option est absente, la date actuelle sera
           utilisA~Xe.

       default_enddate
           identique A~  l’option -enddate. Soit cette option, soit
           default_days (oA~X les A~Xquivalents en mode ligne de commande)
           doivent A~Xtre prA~Xsent.

       default_crl_hours default_crl_days
           identiques aux options -crlhours et -crldays. Uniquement
           utilisA~Xes si aucune des options n’est prA~Xsente sur la ligne de
           commande. Au moins une de ces options doit A~Xtre spA~XcifiA~Xe
           pour gA~XnA~Xrer une CRL.

       default_md
           identique A~  l’option -md. La type de condensA~X de message A~
           utiliser. Obligatoire.

       database
           le fichier texte (base de donnA~Xes) A~  utiliser. Obligatoire. Ce
           fichier doit A~Xtre prA~Xsent mA~Xme s’il est initialement vide.

       unique_subject
           if the value yes is given, the valid certificate entries in the
           database must have unique subjects.  if the value no is given,
           several valid certificate entries may have the exact same subject.
           The default value is yes, to be compatible with older (pre 0.9.8)
           versions of OpenSSL.  However, to make CA certificate roll-over
           easier, it’s recommended to use the value no, especially if
           combined with the -selfsign command line option.

       serial
           a text file containing the next serial number to use in hex.
           Mandatory.  This file must be present and contain a valid serial
           number.

       crlnumber
           a text file containing the next CRL number to use in hex. The crl
           number will be inserted in the CRLs only if this file exists. If
           this file is present, it must contain a valid CRL number.

       x509_extensions
           identique A~  -extensions.

       crl_extensions
           identique A~  -crlexts.

       preserve
           identique A~  -preserveDN.

       email_in_dn
           the same as -noemailDN. If you want the EMAIL field to be removed
           from the DN of the certificate simply set this to ’no’. If not
           present the default is to allow for the EMAIL filed in the
           certificate’s DN.

       msie_hack
           identique A~  -msie_hack.

       policy
           identique A~  -policy. Obligatoire. RA~XfA~Xrez-vous A~  la section
           FORMAT DES POLITIQUES pour plus d’information.

       name_opt, cert_opt
           these options allow the format used to display the certificate
           details when asking the user to confirm signing. All the options
           supported by the x509 utilities -nameopt and -certopt switches can
           be used here, except the no_signame and no_sigdump are permanently
           set and cannot be disabled (this is because the certificate
           signature cannot be displayed because the certificate has not been
           signed at this point).

           For convenience the values ca_default are accepted by both to
           produce a reasonable output.

           If neither option is present the format used in earlier versions of
           OpenSSL is used. Use of the old format is strongly discouraged
           because it only displays fields mentioned in the policy section,
           mishandles multicharacter string types and does not display
           extensions.

       copy_extensions
           determines how extensions in certificate requests should be
           handled.  If set to none or this option is not present then
           extensions are ignored and not copied to the certificate. If set to
           copy then any extensions present in the request that are not
           already present are copied to the certificate. If set to copyall
           then all extensions in the request are copied to the certificate:
           if the extension is already present in the certificate it is
           deleted first. See the WARNINGS section before using this option.

           The main use of this option is to allow a certificate request to
           supply values for certain extensions such as subjectAltName.

FORMAT DES POLITIQUES

       La section policy consiste en un jeu de variables correspondants aux
       champs DN du certificat. Si la valeur est AX match AX, la valeur du
       champ doit A~Xtre identique au champ du mA~Xme nom du certificat de la
       CA. Si la valeur est AX supplied AX, il doit A~Xtre prA~Xsent. Si la
       valeur est AX optional AX, sa prA~Xsence n’est pas obligatoire. Tout
       champ ne figurant pas dans la section policy est supprimA~X A~  moins
       que l’option -preserveDN ne soit activA~Xe, mais c’est plus une
       bizarrerie qu’un comportement attendu.

FORMAT SPKAC

       L’entrA~Xe fournit A~  la ligne de commande -spkac est une clA~X
       publique signA~Xe Netscape et un dA~Xfi. Ceci provient habituellement
       d’une balise KEYGEN dans un formulaire HTML pour crA~Xer une nouvelle
       clA~X privA~Xe. Il est toutefois possible de crA~Xer des SPKAC en
       utilisant l’utilitaire spkac.

       Le fichier devrait contenir la variable SPKAC avec la valeur de la clef
       SPARK ainsi que les A~XlA~Xments DN sous forme de paires nom-valeurs.
       Si besoin est d’inclure le mA~Xme A~XlA~Xment plusieurs fois, il est
       possible de le faire prA~XcA~Xder par un nombre et un AX . AX.

EXEMPLES

       Note : ces exemples supposent que l’arborescence ca est dA~XjA~  en
       place et que les fichiers liA~Xs existent. Ceci nA~Xcessite
       gA~XnA~Xralement la crA~Xation d’un certificat et d’une clA~X privA~Xe
       pour la CA avec req, un fichier de numA~Xro de sA~Xrie et un fichier
       d’index vide. Tous ces fichiers doivent A~Xtre placA~Xs dans les
       rA~Xpertoires correspondants.

       Afin d’utiliser le fichier de configuration type ci-dessous, il faut
       crA~Xer les rA~Xpertoires demoCA, demoCA/private et demoCA/newcerts. Le
       certificat de la CA doit A~Xtre copiA~X dans demoCA/cacert.pem et sa
       clA~X privA~Xe dans demoCA/private/cakey.pem. Un fichier demoCA/serial
       doit A~Xtre crA~XA~X contenant par exemple AX 01 AX et un fichier
       d’index vide doit A~Xtre crA~XA~X dans demoCA/index.txt.

       Signer une demande de certificat :

        openssl ca -in req.pem -out newcert.pem

       Signer une demande de certificat utilisant des extensions CA :

        openssl ca -in req.pem -extensions v3_ca -out newcert.pem

       GA~XnA~Xrer une CRL

        openssl ca -gencrl -out crl.pem

       Signer plusieurs demandes :

        openssl ca -infiles req1.pem req2.pem req3.pem

       Certifier un SPKAC Netscape :

        openssl ca -spkac spkac.txt

       Un fichier SPKAC type (lignes tronquA~Xes pour la lisibilitA~X) :

        SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
        CN=Steve Test
        emailAddress=steve@openssl.org
        0.OU=OpenSSL Group
        1.OU=Another Group

       Un fichier de configuration type avec les sections pour ca :

        [ ca ]
        default_ca      = CA_default            # The default ca section

        [ CA_default ]

        dir            = ./demoCA              # top dir
        database       = $dir/index.txt        # index file.
        new_certs_dir  = $dir/newcerts         # new certs dir

        certificate    = $dir/cacert.pem       # The CA cert
        serial         = $dir/serial           # serial no file
        private_key    = $dir/private/cakey.pem# CA private key
        RANDFILE       = $dir/private/.rand    # random number file

        default_days   = 365                   # how long to certify for
        default_crl_days= 30                   # how long before next CRL
        default_md     = md5                   # md to use

        policy         = policy_any            # default policy
        email_in_dn    = no                    # Don't add the email into cert DN

        name_opt       = ca_default            # Subject name display option
        cert_opt       = ca_default            # Certificate display option
        copy_extensions = none                 # Don't copy extensions from request

        [ policy_any ]
        countryName            = supplied
        stateOrProvinceName    = optional
        organizationName       = optional
        organizationalUnitName = optional
        commonName             = supplied
        emailAddress           = optional

FICHIERS

       Note : l’emplacement de tous les fichiers peut changer en fonction des
       options de compilation, des entrA~Xes dans le fichier de configuration,
       des variables d’environnement ou des options de la ligne de commande.
       Les valeurs ci-dessous sont les valeurs par dA~Xfaut.

        /usr/local/ssl/lib/openssl.cnf - master configuration file
        ./demoCA                       - main CA directory
        ./demoCA/cacert.pem            - CA certificate
        ./demoCA/private/cakey.pem     - CA private key
        ./demoCA/serial                - CA serial number file
        ./demoCA/serial.old            - CA serial number backup file
        ./demoCA/index.txt             - CA text database file
        ./demoCA/index.txt.old         - CA text database backup file
        ./demoCA/certs                 - certificate output file
        ./demoCA/.rnd                  - CA random seed information

VARIABLES DENVIRONNEMENT
       OPENSSL_CONF contient l’emplacement du fichier de configuration
       principal qui peut A~Xtre modifiA~X avec l’option en ligne de commande
       -config.

RESTRICTIONS

       Le fichier d’index est une partie cruciale du processus et toute
       corruption peut s’avA~Xrer difficile A~  rattraper. Bien qu’il soit
       possible thA~Xoriquement de reconstruire l’index A~  partir des
       certificats dA~XlivrA~Xs et d’une CRL rA~Xcente, aucune option ne
       permet de faire cela.

       Les fonctionnalitA~Xs des CRL V2 telles que le support des delta CRL ne
       sont pas gA~XrA~Xes actuellement.

       MA~Xme s’il est possible d’entrer et de traiter plusieurs demandes en
       mA~Xme temps, il est impossible d’inclure plus d’un SPKAC ou certificat
       auto-signA~X.

BOGUES

       L’utilisation d’une base de donnA~Xes texte en mA~Xmoire peut
       s’avA~Xrer problA~Xmatique, en particulier avec un nombre important de
       certificats A~  gA~Xrer, justement du fait que cette base se trouve en
       mA~Xmoire.

       La commande ca a rA~Xellement besoin d’A~Xtre rA~XA~Xcrite ou les
       fonctionnalitA~Xs nA~Xcessaires devraient A~Xtre fournie par une
       commande ou interface pour permettre A~  des utilitaires plus
       orientA~Xs utilisateurs (scripts perl ou GUI) de traiter les choses
       correctement. Les scripts CA.sh et CA.pl aident un petit peu en ce
       sens.

       Any fields in a request that are not present in a policy are silently
       deleted. This does not happen if the -preserveDN option is used. To
       enforce the absence of the EMAIL field within the DN, as suggested by
       RFCs, regardless the contents of the request’ subject the -noemailDN
       option can be used. The behaviour should be more friendly and
       configurable.

       L’annulation de certaines commandes en refusant de certifier un
       certificat peut rA~Xsulter en un fichier vide.

AVERTISSEMENTS

       La commande ca est capricieuse et parfois pas trA~Xs confortable
       d’utilisation.

       La commende ca a eu pour objectif initial d’A~Xtre un exemple montrant
       comment se servir d’une CA. Il n’a pas A~XtA~X crA~XA~X pour servir
       d’application pour un CA complA~Xte, cependant certaines personnes s’en
       servent dans ce but.

       La commande ca est effectivement une commande mono-utilisateur, aucun
       verrouillage n’est fait sur les divers fichiers, et des tentatives
       d’accA~Xs simultanA~Xes A~  un mA~Xme fichier d’index peuvent produire
       des rA~Xsultats imprA~Xvisibles.

       The copy_extensions option should be used with caution. If care is not
       taken then it can be a security risk. For example if a certificate
       request contains a basicConstraints extension with CA:TRUE and the
       copy_extensions value is set to copyall and the user does not spot this
       when the certificate is displayed then this will hand the requestor a
       valid CA certificate.

       This situation can be avoided by setting copy_extensions to copy and
       including basicConstraints with CA:FALSE in the configuration file.
       Then if the request contains a basicConstraints extension it will be
       ignored.

       It is advisable to also include values for other extensions such as
       keyUsage to prevent a request supplying its own values.

       Additional restrictions can be placed on the CA certificate itself.
       For example if the CA certificate has:

        basicConstraints = CA:TRUE, pathlen:0

       then even if a certificate is issued with CA:TRUE it will not be valid.

VOIR AUSSI

       req(1), spkac(1), x509(1), CA.pl(1), config(5)

TRADUCTION

       Cette page de manuel a A~XtA~X traduite par stolck en 2002 et est
       maintenue par la liste <debian-l10n-french AT lists DOT debian DOT
       org>.  Veuillez signaler toute erreur de traduction par un rapport de
       bogue sur le paquet manpages-fr-extra.