Provided by:
manpages-fr-extra_20080921_all 
NOM
pkcs12 - Utilitaire pour les fichiers PKCS#12
SYNOPSIS
openssl pkcs12 [-export] [-chain] [-inkey nom_fichier] [-certfile
nom_fichier] [-name nom] [-caname nom] [-in nom_fichier] [-out
nom_fichier] [-noout] [-nomacver] [-nocerts] [-clcerts] [-cacerts]
[-nokeys] [-info] [-des] [-des3] [-idea] [-nodes] [-noiter] [-maciter]
[-twopass] [-descert] [-certpbe] [-keypbe] [-keyex] [-keysig]
[-password param] [-passin param] [-passout param] [-rand fichier(s)]
DESCRIPTION
La commande pkcs12 permet la crA~Xation et l’interprA~Xtation de
fichiers PKCS#12 (parfois A~Xgalement appellA~Xs PFX). Les fichiers
PKCS#12 sont utilisA~Xs par plusieurs programmes, entre autres
Netscape, MSIE et MS Outlook.
OPTIONS DE LA COMMANDE
Il y a de nombreuses options dont certaines diffA~Xrent selon que l’on
gA~XnA~Xre ou interprA~Xte un fichier. L’opA~Xration par dA~Xfaut est
l’interprA~Xtation, pour la crA~Xation d’un fichier PKCS#12, il faut
utiliser l’option -export.
OPTIONS Dâ€â€™INTERPRA~XTATION
-in nom_fichier
Ceci spA~Xcifie le nom du fichier PKCS#12 A~ interprA~Xter. Par
dA~Xfaut, l’entrA~Xe standard est lue.
-out nom_fichier
Le nom de fichier oA~X seront A~Xcrits les certificats et les
clA~Xs privA~Xes. Par dA~Xfaut ce sera la sortie standard. Ils sont
tous A~Xcrits au format PEM.
-pass param, -passin param
Le fichier PKCS#12 source des mots de passe (c’est-A~ -dire le
fichier d’entrA~Xe). Pour plus d’informations sur le format de
param, voir la section PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).
-passout param
La source de mot de passe A~ utiliser pour le chiffrement des
clA~Xs privA~Xes sorties. Pour plus d’informations sur le format de
param, voir la section PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).
-noout
Cette option empA~Xche l’ajout des clA~Xs et des certificats vers
la version de sortie du fichier PKCS#12.
-clcerts
Sortie uniquement des certificats clients (et non des certificats
CA).
-cacerts
Sortie uniquement des certificats CA (et non des certificats
clients).
-nocerts
Aucun certificat ne sera sorti.
-nokeys
Aucune clA~X privA~Xe ne sera sortie.
-info
Sortie d’informations supplA~Xmentaires sur la structure du fichier
PKCS#12, sur les agorithmes employA~Xs et sur les nombres
d’itA~Xrations.
-des
Utilisation du chiffrement DES pour les clA~Xs privA~Xes avant la
sortie.
-des3
Utilisation du chiffrement triple DES pour les clA~Xs privA~Xes
avant la sortie, c’est l’algorithme utilisA~X par dA~Xfaut.
-idea
Utilisation du chiffrement IDEA pour les clA~Xs privA~Xes avant la
sortie.
-nodes
Ne pas chiffrer les clA~Xs privA~Xes du tout.
-nomacver
Ne pas vA~Xrifier l’intA~XgritA~X MAC avant la lecture du fichier.
-twopass
Demande des mots de passe distincts pour l’intA~XgritA~X et le
chiffrement ; la plupart des logiciels supposent toujours
l’A~XgalitA~X, ainsi cette option rendra le fichier PKCS#12
illisible pour ces logiciels.
OPTIONS DE CRA~XATION DE FICHIER
-export
Cette option spA~Xcifie qu’un fichier PKCS#12 sera gA~XnA~XrA~X
plutA~Xt que lu.
-out nom_fichier
Ceci spA~Xcifie le nom du fichier PKCS#12 de sortie. La sortie
standard est utilisA~Xe par dA~Xfaut.
-in nom_fichier
Le nom de fichier A~ partir duquel les certificats et les clA~Xs
privA~Xes sont lues. Par dA~Xfaut, ce sera l’entrA~Xe standard. Ils
doivent tous A~Xtre au format PEM. L’ordre n’est pas important,
mais une clA~X privA~Xe et le certificat correspondant devrait
A~Xtre prA~Xsent. Si des certificats supplA~Xmentaires sont
prA~Xsents, ils seront A~Xgalement inclus dans le fichier PKCS#12.
-inkey nom_fichier
Le fichier A~ partir duquel sera lue la clA~X privA~Xe. Si cette
option n’est pas prA~Xsente, la clA~X doit faire partie du fichier
d’entrA~Xe.
-name nomconvivial
Ceci spA~Xcifie le nom convivial du certificat et de la clA~X
privA~Xe. Ce nom est typiquement affichA~X dans les contrA~Xles de
liste par les logiciels qui utilisent ce fichier.
-certfile nom_fichier
Un nom de fichier A~ partir duquel des certificats
supplA~Xmentaires seront lus.
-caname nomconvivial
Ceci spA~Xcifie le nom convivial pour d’autres certificats. Cette
option peut A~Xtre utilisA~Xe plusieurs fois et correspondre alors
aux certificats dans l’ordre d’apparition. Netscape ignore les noms
conviviaux des autres certificats alors que MSIE les affiche.
-pass param, -passout param
Le fichier PKCS#12 source des mots de passe (c’est-A~ -dire le
fichier d’entrA~Xe). Pour plus d’informations sur le format de
param, voir la section PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).
-passin motdepasse
La source de mot de passe A~ utiliser pour l’encodage des clA~Xs
privA~Xes de sortie. Pour plus d’informations sur le format de
param, voir la section PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).
-chain
Avec cette option, le programme tente d’inclure toute la chaA~Xne
de certification dans le certificat utilisateur. Le rA~Xpertoire
standard CA est utilisA~X pour cette recherche. Un A~Xchec de cette
recherche est considA~XrA~Xe comme une erreur fatale.
-descert
Chiffrer le certificat avec DES, ceci peut rendre le certificat
inutilisable avec certains logiciels AX export grade AX. Par
dA~Xfaut, la clA~X privA~Xe est chiffrA~Xe en triple DES et le
certificat en utilisant un RC2 A~ 40 bits.
-keypbe alg, -certpbe alg
Ces options permettent le choix de l’algorithme de chiffrement pour
la clA~X privA~Xe et les certificats. MA~Xme si tous les
algorithmes PKCS#5 v1.5 ou PKCS#12 sont pris en compte, il est
conseillA~X d’utiliser uniquement PKCS#12. RA~XfA~Xrez-vous A~ la
liste dans la section NOTES pour plus de dA~Xtails.
-keyex|-keysig
SpA~Xcifie que la clA~X privA~Xe est utilisA~Xe uniquement pour
l’A~Xchange de clA~X ou la signature. Cette option est uniquement
interprA~XtA~Xe par MSIE et des produits similaires MS.
Normalement, des logiciels AX export grade AX permettent seulement
l’A~Xchange de clA~Xs RSA A~ 512 bits pour le chiffrement, et une
clA~X de longueur arbitraire pour la signature. L’option -keysig
marque la clA~X pour une utilisation exclusivement pour des
signatures. Une telle clA~X peut alors A~Xtre utilisA~Xe pour la
signature S/MIME, authenticode (signature par contrA~Xles ActiveX)
et l’identification de clients SSL, toutefois, uniquement MSIE 5.0
et supA~Xrieur supportent l’utilisation de clA~Xs de signature pour
l’identification de clients SSL.
-nomaciter, -noiter
Ces options dA~Xterminent le nombre d’itA~Xrations pour les
algorithmes MAC et certains algorithmes de clA~Xs. A~X moins de
vouloir produire des fichiers compatibles avec MSIE 4.0, ces
options peuvent A~Xtre omises.
Pour dA~Xcourager des attaques utilisant des dictionnaires
importants de mot de passe communs, l’algorithme dA~Xrivant les
clA~Xs des mots de passe peut se voir appliquA~X un nombre
d’itA~Xrations : ceci a pour effet de rA~XpA~Xter une certaine
partie de l’algorithme et ralentit l’opA~Xration. Le MAC est
employA~X pour s’assurer l’intA~XgritA~X du fichier, mais comme il
aura normalement le mA~Xme mot de passe que les clA~Xs et les
certificats, il peut aussi se voir attaquA~X. Par dA~Xfaut, le
nombre d’itA~Xrations du MAC et du chiffrement sont de 2048, en
utilisant ces options, le nombre d’itA~Xrations MAC et du
chiffrement peuvent A~Xtre mises A~ 1. Comme ceci rA~Xduit la
sA~XcuritA~X des informations, elles ne devraient A~Xtre
utilisA~Xes qu’en cas de nA~XcessitA~X. La plupart des logiciels
supportent un nombre arbitraire d’itA~Xration et pour MAC et pour
l’encodage. MSIE 4.0 ne le supporte pas pour MAC et nA~Xcessite
alors l’option -nomaciter.
-maciter
Cette option est incluse pour assurer la compatibilitA~X avec
d’anciennes versions pour forcer le nombre d’itA~Xrations pour MAC.
C’est actuellement le comportement par dA~Xfaut.
-rand fichier(s)
Un ou plusieurs fichiers contenant des donnA~Xes alA~Xatoires
utilisA~Xes pour initialiser le gA~XnA~Xrateur de nombres
pseudo-alA~Xatoires, ou une socket EGD (consultez RAND_egd(3)).
Plusieurs fichiers peuvent A~Xtre spA~XcifiA~Xs en les sA~Xparant
par le sA~Xparateur du systA~Xme d’exploitation : AX ; AX pour MS-
Windows, AX , AX pour OpenVMS et AX : AX pour tous les autres.
NOTES
MalgrA~X le nombre important d’options, la plupart de celles-ci ne sont
utilisA~Xes que trA~Xs rarement. Pour l’interprA~Xtation de fichiers
PKCS#12, seules -in et -out sont nA~Xcessaires, pour la crA~Xation,
-export et -name sont utilisA~Xes A~Xgalement.
Si aucune des options -clcerts, -cacerts ou -nocerts n’est prA~Xsente,
alors tous les certificats seront gA~XnA~XrA~Xs dans l’ordre
d’apparence dans les fichiers source PKCS#12. De plus, il n’y a aucune
garantie que le premier certificat trouvA~X est celui correspondant A~
la clA~X privA~Xe. Certains logiciels nA~Xcessitant une clA~X privA~Xe
supposent que le premier certificat du fichier correspond A~ la clA~X
privA~Xe : ceci n’est pas forcA~Xment toujours le cas. En utilisant
l’option l’option -clcerts le problA~Xme est rA~Xsolu en incluant
uniquement le certificat correspondant A~ la clA~X privA~Xe. Si besoin
est, les certificats CA peuvent A~Xtre gA~XnA~XrA~Xes A~ part avec les
options -nokeys -cacerts.
Les options -keypbe et -certpbe permettent de prA~Xciser l’algorithme
de chiffrement pour la clA~X privA~Xe et pour les certificats.
Normalement, les valeurs par dA~Xfauts devraient convenir, mais
certains logiciels ne gA~Xrent pas les clA~Xs privA~Xes encodA~Xes avec
triple DES, alors l’option -keypbe PBE-SHA1-RC2-40 rA~Xduit le
chiffrement de la clA~X privA~Xe A~ un RC2 de 40 bits. Une description
complA~Xte de tous les algorithmes est contenue dans la page de manuel
de pkcs8.
EXEMPLES
InterprA~Xtation d’un fichier PKCS#12 et sortie vers un fichier :
openssl pkcs12 -in file.p12 -out file.pem
Sortie des certificats clients uniquement :
openssl pkcs12 -in file.p12 -clcerts -out file.pem
Ne pas chiffrer la clA~X privA~Xe :
openssl pkcs12 -in file.p12 -out file.pem -nodes
Afficher les informations sur un fichier PKCS#12 :
openssl pkcs12 -in file.p12 -info -noout
CrA~Xer un fichier PKCS#12 :
openssl pkcs12 -export -in file.pem -out file.p12 -name "My Certificate"
Inclure des certificats supplA~Xmentaires :
openssl pkcs12 -export -in file.pem -out file.p12 -name "My Certificate" \
-certfile othercerts.pem
BOGUES
Certains disent que tout le standard PKCS#12 est un seul grand bogue
:-)
Les versions d’OpenSSL avant 0.9.6a avaient un bogue dans les routines
de gA~XnA~Xration de clA~X PKCS#12. Sous certaines circonstances rares,
ceci pouvait conduire A~ un fichier PKCS#12 chiffrA~X avec une clA~X
non valable. Ainsi certains fichiers PKCS#12 d’autres implA~Xmentations
(MSIE ou Netscape) et qui dA~Xclenchaient ce bogues ne pouvaient A~Xtre
dA~XchiffrA~Xs par OpenSSL et inversement OpenSSL produisait des
fichier non dA~Xchiffrable par d’autres implA~Xmentations. La
probabilitA~X de produire un tels fichiers est relativement faible :
infA~Xrieure A~ 1 sur 256.
Une consA~Xquence de la correction de ce bogue est que de tels fichiers
PKCS#12 ne peuvent A~Xtre interprA~XtA~Xs avec une version corrigA~Xe.
L’utilitaire pkcs12 signale alors que le MAC est valide, mais le
dA~Xchiffrement des clA~Xs privA~Xes extraites est vouA~X A~
l’A~Xchec.
Ce problA~Xme peut A~Xtre contournA~X en extrayant les clA~Xs privA~Xes
et les certificats avec une version ancienne d’OpenSSL puis en
rA~XgA~XnA~Xrant le fichier PKCS#12 avec une version plus rA~Xcente A~
partir des clA~Xs et des certificats. Par exemple :
old-openssl -in bad.p12 -out keycerts.pem
openssl -in keycerts.pem -export -name "My PKCS#12 file" -out fixed.p12
VOIR AUSSI
pkcs8(1)
TRADUCTION
Cette page de manuel a A~XtA~X traduite par Eltrai en 2002 et est
maintenue par la liste <debian-l10n-french AT lists DOT debian DOT
org>. Veuillez signaler toute erreur de traduction par un rapport de
bogue sur le paquet manpages-fr-extra.