Provided by:
manpages-fr-extra_20080921_all 
NOM
req - utilitaire de gA~XnA~Xration de certificats et de demandes de
certificat PKCS#10.
SYNOPSIS
openssl req [-inform PEM|DER] [-outform PEM|DER] [-in filename]
[-passin arg] [-out filename] [-passout arg] [-text] [-pubkey] [-noout]
[-verify] [-modulus] [-new] [-rand file(s)] [-newkey rsa:bits] [-newkey
dsa:file] [-nodes] [-key filename] [-keyform PEM|DER] [-keyout
filename] [-[md5|sha1|md2|mdc2]] [-config filename] [-subj arg]
[-multivalue-rdn] [-x509] [-days n] [-set_serial n] [-asn1-kludge]
[-newhdr] [-extensions section] [-reqexts section] [-utf8] [-nameopt]
[-batch] [-verbose] [-engine id]
DESCRIPTION
La commande req crA~Xe et traite des demandes de certificats au format
PKCS#10. En plus, elle peut crA~Xer des certificats autosignA~Xs
servant par exemple comme CA racine.
OPTIONS DE LA COMMANDE
-inform DER|PEM
Ceci spA~Xcifie le format d’entrA~Xe. L’option DER utilise
l’encodage ASN1 DER compatible avec le format PKCS#10. La forme PEM
est le format par dA~Xfaut : il s’agit du format DER encodA~Xe
base64 avec des lignes supplA~Xmentaires au dA~Xbut et A~ la fin.
-outform DER|PEM
SpA~Xcifie le format de sortie. Les options ont la mA~Xme
signification que pour l’option -inform.
-in nom_fichier
Ceci spA~Xcifie le nom du fichier d’entrA~Xe A~ partir duquel la
demande est lue. Par dA~Xfaut, l’entrA~Xe standard sera lue si
cette option n’est pas spA~XcifiA~Xe. Une demande est uniquement
lue si les options de crA~Xation (-new et -newkey) ne sont pas
spA~XcifiA~Xes.
-passin param
la source de mot de passe d’entrA~Xe. Pour plus d’informations
concernant le format de param, rA~XfA~Xrez-vous A~ la section
PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).
-out nom_fichier
Ceci spA~Xcifie le nom du fichier de sortie. La sortie standard est
utilisA~Xe par dA~Xfaut.
-passout param
la source de mot de passe pour le fichier de sortie. Pour plus
d’informations concernant le format de param, rA~XfA~Xrez-vous A~
la section PHRASE DE PASSE EN PARAMA~XTRE d’openssl(1).
-text
Affiche la demande de certificat au format texte.
-pubkey
Produit la clA~X publique.
-noout
Cette option empA~Xche la sortie de la version encodA~Xe de la
demande.
-modulus
Cette option affiche la valeur du modulo de la clA~X publique
contenue dans la demande.
-verify
VA~Xrifie la signature de la demande.
-new
Cette option gA~XnA~Xre une nouvelle demande de certificat. Il sera
demandA~X A~ l’utilisateur de fournir les valeurs des champs
nA~Xcessaires. Ces champs demandA~Xs sont spA~XcifiA~Xs ainsi que
leur valeurs maximales et minimales sont spA~XcifiA~Xes dans le
fichier de configuration ainsi que dans les extensions.
Si l’option -key n’est pas utilisA~Xe, une nouvelle clA~X privA~Xe
RSA sera gA~XnA~XrA~Xe en utilisant l’information du fichier de
configuration.
-rand fichier(s)
Un ou plusieurs fichiers contenant des donnA~Xes alA~Xatoires
utilisA~Xes pour initialiser le gA~XnA~Xrateur de nombres
pseudo-alA~Xatoires, ou une socket EGD (consultez RAND_egd(3)).
Plusieurs fichiers peuvent A~Xtre spA~XcifiA~Xs en les sA~Xparant
par le sA~Xparateur du systA~Xme d’exploitation : AX ; AX pour MS-
Windows, AX , AX pour OpenVMS et AX : AX pour tous les autres.
-newkey param
Cette option crA~Xe une nouvelle demande de certificat et une
nouvelle clA~X privA~Xe. Le paramA~Xtre utilise l’une des deux
formes suivantes : rsa:nombre_bits, oA~X nombre_bits est le nombre
de bits, gA~XnA~Xre une clA~X RSA de taille nombre_bits,
dsa:nom_fichier gA~XnA~Xre une clA~X DSA utilisant les paramA~Xtres
de nom_fichier.
-key nom_fichier
Ceci spA~Xcifie le fichier de clA~X privA~Xe A~ lire. Il accepte
aussi bien des clA~Xs privA~Xes au format PKCS#8 que des fichiers
au format PEM.
-keyform PEM|DER
Le format de la clA~X privA~Xe spA~XcifiA~Xe avec l’option -key.
PEM est le format par dA~Xfaut.
-keyout nom_fichier
Ceci donne le nom de fichier oA~X la clA~X privA~Xe crA~XA~Xe sera
A~Xcrite. Par dA~Xfaut, le nom spA~XcifiA~X par le fichier de
configuration est utilisA~X.
-nodes
Avec cette option, si une clA~X privA~Xe est crA~XA~Xe, elle ne
sera pas chiffrA~Xe.
-[md5|sha1|md2|mdc2]
Ceci spA~Xcifie le type de condensA~X A~ utiliser pour signer la
demande. Si elle est prA~Xsente, cette option prA~Xvaut A~ celle
donnA~Xe dans le fichier de configuration. Cette option est
ignorA~Xe pour les demandes DSA : elles utilisent toujours SHA1.
-config nom_fichier
Ceci permet d’utiliser un fichier de configuration alternatif, A~
la place de celui spA~XcifiA~X lors de la compilation ou avec la
variable d’environnement OPENSSL_CONF.
-subj param
sets subject name for new request or supersedes the subject name
when processing a request. The arg must be formatted as
/type0=value0/type1=value1/type2=..., characters may be escaped by
\ (backslash), no spaces are skipped.
-multivalue-rdn
this option causes the -subj argument to be interpreted with full
support for multivalued RDNs. Example:
/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John Doe
Si -multi-rdn est utilisA~Xe, alors la valeur de l’UID est
123456+CN=John Doe.
-x509
Cette option gA~XnA~Xre un certificat auto-signA~X A~ la place
d’une demande de certificat. Elle est utilisA~Xe typiquement pour
gA~XnA~Xrer des certificats de test ou le certificat auto-signA~X
racine d’une CA. Les extensions A~ ajouter au certificat, s’il y
en a, sont spA~XcifiA~Xes dans le fichier de configuration. A~X
moins qu’il ne soit prA~XcisA~X par l’option set_serial, le
numA~Xro de sA~Xrie sera 0.
-days n
Lorsque l’option -x509 est utilisA~Xe, elle spA~Xcifie le nombre de
jours pour lequel le certificat sera certifiA~X. La valeur par
dA~Xfaut est 30 jours.
-set_serial n
serial number to use when outputting a self signed certificate.
This may be specified as a decimal value or a hex value if preceded
by 0x. It is possible to use negative serial numbers but this is
not recommended.
-extensions section
-reqexts section
Ces options prA~Xcisent des sections alternatives d’extension de
certificat (si l’option -x509 est prA~Xsente), ou de demandes de
certificat A~ inclure. Ceci permet d’utiliser des sections
diffA~Xrentes du mA~Xme fichier de configuration servant A~ des
propos variA~Xs.
-utf8
cette option indique que les valeurs des champs doivent A~Xtre
interprA~XtA~Xes comme des chaA~Xnes UTF8. Par dA~Xfaut, elles sont
interprA~XtA~Xes comme des chaA~Xnes ASCII. Ce la signifie que les
valeurs des champs, qu’elles soient demandA~Xe sur le terminal ou
fournies par le fichier de configuration, doivent A~Xtre des
chaA~Xnes UTF8 valables.
-nameopt option
option which determines how the subject or issuer names are
displayed. The option argument can be a single option or multiple
options separated by commas. Alternatively the -nameopt switch may
be used more than once to set multiple options. See the x509(1)
manual page for details.
-asn1-kludge
Par dA~Xfaut, la commande req gA~XnA~Xre des demandes de
certificats sans attributs dans un format PKCS#10 valable.
Toutefois, certaines CA acceptent uniquement des demandes sans
attributs sous une forme non valable qui est produite avec cette
option.
Plus prA~XcisA~Xment, les attributs d’une demande de certificat
PKCS#10 sont dA~Xfinies comme un ensemble d’attributes (SET OF
Attribute). Ils ne sont pas de type OPTIONAL, ainsi, si aucun
attribut n’est prA~Xsent, une entrA~Xe vide SET OF devrait le
signaler. La forme non valable n’inclut pas cette entrA~Xe alors
que la forme valable le fait.
Notons que trA~Xs peu de CAs nA~Xcessitent encore l’utilisation de
cette option.
-newhdr
Ajoute le mot NEW aux lignes de tA~Xte et de fin du fichier PEM de
la demande de certificat crA~XA~Xe. Certains logiciels (Netscape
certificate server) et certaines CAs ont besoin de ceci.
-batch
non-interactive mode.
-verbose
print extra details about the operations being performed.
-engine id
spA~Xcifie un moteur (en utilisant son identifiant unique id) qui
indique A~ req d’essayer d’obtenir une rA~XfA~Xrence fonctionnelle
pour le moteur spA~XcifiA~X, et l’initialiser si nA~Xcessaire. Le
moteur sera ensuite utilisA~X par dA~Xfaut pour tous les
algorithmes disponibles.
FORMAT DU FICHIER DE CONFIGURATION
Les options de configuration sont spA~XcifiA~Xes dans la section req du
fichier de configuration. Comme avec tous les fichiers de
configuration, si aucune valeur n’est donnA~Xe dans la section
correspondante (c’est-A~ -dire req), la section initiale sans nom ou la
section default est A~Xgalement parcourue.
Les options disponibles sont dA~Xcrites en dA~Xtail ci-dessous.
input_password output_password
Les mots de passe pour le fichier de clA~X privA~Xe d’entrA~Xe (si
prA~Xsent) et pour le fichier de clA~X privA~Xe de sortie (si une
clA~X est crA~XA~Xe). Les options de ligne de commande passin et
passout remplacent les valeurs du fichier de configuration.
default_bits
Ceci spA~Xcifie la taille par dA~Xfaut des clA~Xs, en bits. Si elle
n’est pas spA~XcifiA~Xe, la valeur 512 est utilisA~Xe. Elle est
utilisA~Xe lors de l’emploi de l’option -new. Elle peut A~Xtre
A~XcrasA~Xe par l’option -newkey.
default_keyfile
Ceci est le nom de fichier par dA~Xfaut oA~X la clA~X privA~Xe sera
A~Xcrite. Si elle n’est pas spA~XcifiA~Xe, la clA~X sera A~Xcrite
sur la sortie standard. Ceci peut A~Xtre A~XcrasA~X par l’option
-keyout.
oid_file
Ceci spA~Xcifie le fichier contenant des IDENTIFIANTS Dâ€â€™OBJET)
supplA~Xmentaires. Chaque ligne consiste en la forme numA~Xrique de
l’identifiant d’objet suivi par des espaces puis le libellA~X court
suivi A~ son tour par des espaces et finalement le libellA~X long.
oid_section
Ceci spA~Xcifie une section du fichier de configuration contenant
d’autres identifiants d’objet. Chaque ligne est constituA~Xe du
libellA~X court de l’identifiant d’objet suivi de = et de la forme
numA~Xrique. Le libellA~X court et le libellA~X long sont
identiques quand cette option est utilisA~Xe.
RANDFILE
Ceci spA~Xcifie le fichier oA~X les graines pour les nombres
alA~Xatoires sont lues et A~Xcrites, ou une socket EGD (consultez
RAND_egd(3)). C’est utilisA~X pour la gA~XnA~Xration de clA~X
privA~Xe.
encrypt_key
Si ceci vaut no, lors de la gA~XnA~Xration d’une clA~X privA~Xe,
elle n’est pas chiffrA~Xe. Ceci A~Xquivaut A~ l’option -nodes de
la ligne de commande. Pour assurer la compatibilitA~X,
encrypt_rsa_key est une option A~Xquivalente.
default_md
Cette option spA~Xcifie l’algorithme A~ utiliser pour les
condensA~Xs. Les valeurs possibles sont md5 sha1 mdc2. Si cette
option n’est pas prA~Xsente, MD5 sera utilisA~X. Cette option peut
A~Xtre A~XcrasA~Xe avec l’option correspondante de la ligne de
commande.
string_mask
Cette option masque l’utilisation de certains types de chaA~Xne de
caractA~Xres dans certains champs. La plupart des utilisateurs
n’auront pas besoin de modifier cette option.
Elle peut se voir affecter diverses valeurs : default qui est la
valeur par dA~Xfaut et qui utilise PrintableStrings, T61Strings et
BMPStrings. Si la valeur pkix est spA~XcifiA~Xe, uniquement
PrintableStrings et BMPStrings seront utilisA~Xs. Ceci suit la
recommandation PKIX dans la RFC 2459. Si l’option utf8only est
employA~Xe, alors seules les UTF8Strings sont employA~Xs : ceci est
la recommandation PKIX dans la RFC 2459 pour aprA~Xs 2003.
Finalement l’option nombstr utilise seulement PrintableStrings et
T61Strings : certains logiciels ont des problA~Xmes avec les
BMPStrings et les UTF8Strings, en particulier Netscape.
req_extensions
Ceci spA~Xcifie la section du fichier de configuration contenant
une liste d’extensions A~ ajouter A~ la demande de certificat.
Elle peut A~Xtre remplacA~Xe par l’option -reqexts de la ligne de
commande.
x509_extensions
Ceci spA~Xcifie la section du fichier de configuration contenant
une liste d’extensions A~ ajouter au certificats gA~XnA~XrA~Xs
avec l’option -x509. Elle peut A~Xtre remplacA~Xe par l’option
-extensions de la ligne de commande.
prompt
Si ceci vaut no, aucun champ du certificat ne sera demandA~X A~
l’utilisateur et les valeurs du fichier de configuration sont
prises d’office. Ceci change A~Xgalement le format attendu des
sections distinguished_name et attributes.
utf8
if set to the value yes then field values to be interpreted as UTF8
strings, by default they are interpreted as ASCII. This means that
the field values, whether prompted from a terminal or obtained from
a configuration file, must be valid UTF8 strings.
attributes
Ceci spA~Xcifie la section contenant les attributs pour les
demandes : son format est identique A~ celui de la section
distinguished_name. Typiquement, ces attributs contiennent les
types challengePassword et unstructuredName. Ils sont actuellement
ignorA~Xs par les utilitaires de signature d’OpenSSL mais peuvent
A~Xtre requis par certaines CAs.
distinguished_name
Ceci spA~Xcifie la section contenant les champs des noms
distinguA~Xs (AX distinguished name AX) A~ demander lors d’une
gA~XnA~Xration de certificat ou d’une demande de certificat. Le
format est dA~Xcrit dans la section suivante.
FORMAT DES SECTIONS DE NOM DISTINGUA~X ET Dâ€â€™ATTRIBUT
Il y a deux formats diffA~Xrents pour les sections de nom distinguA~X
et d’attribut. Lorsque l’option prompt vaut no, alors ces sections
contiennent uniquement les noms des champs et leurs valeurs. Par
exemple :
CN=My Name
OU=My Organization
emailAddress=someone@somewhere.org
Ceci permet aux programmes externes (par exemple des interfaces
graphiques) de gA~XnA~Xrer un fichier modA~Xle A~ passer A~ req. Un
exemple de ce type de fichier de configuration se trouve dans la
section EXEMPLES.
Dans l’absence de l’option prompt ou si celle-ci ne vaut pas no, le
fichier contient des informations pour la demande A~ l’invite de
commandes. Ceci se prA~Xsente sous la forme suivante :
nomChamp="invite"
nomChamp_default="Valeur du champ par dA~Xfaut"
nomChamp_min= 2
nomChamp_max= 4
AX nomChamp AX est le nom du champ A~ utiliser, par exemple commonName
(ou CN, nom commun). La chaA~Xne AX invite AX est affichA~Xe lors de la
demande A~ l’utilisateur. Si l’utilisateur ne saisit rien, alors la
valeur par dA~Xfaut, AX nomChamp_default AX, est prise, si prA~Xsente,
ou alors le champ est omis. Un champ peut toujours A~Xtre omis en
saisissant uniquement le caractA~Xre AX . AX.
Le nombre de caractA~Xres saisis doit A~Xtre entre les limites de
nomChamp_min et nomChamp_max : il peut y avoir d’autres contraintes
basA~Xes sur le champ utilisA~X (par exemple, countryName doit toujours
avoir une longueur de deux et doit entrer dans un PrintableString).
Certains champs (comme organizationName) peuvent A~Xtre utilisA~Xs plus
d’une fois dans un DN. Ceci pose problA~Xme car dans les fichiers de
configuration, le mA~Xme nom de champ ne sera pas pris en compte A~
deux reprises. Pour A~Xviter ce problA~Xme, si le nomChamp contient des
caractA~Xres suivi d’un point (AX . AX), ils seront ignorA~Xs. Ainsi,
par exemple, une deuxiA~Xme entrA~Xe pour organizationName peut A~Xtre
entrA~Xe en l’appelant AX 1.organizationName AX.
Les noms de champ permis sont les libellA~Xs longs ou courts de tous
les identifiants d’objet. Ceux-ci sont compilA~Xs avec OpenSSL et
incluent les libellA~Xs longs usuels comme commonName, countryName,
localityName, organizationName, organizationUnitName,
stateOrProvinceName. En plus, emailAddress est prA~Xsent tout comme
name, surname, givenName, initials et dnQualifier.
Des identifiants d’objet supplA~Xmentaires peuvent A~Xtre dA~Xfinis
dans un fichier (oid_file) ou une section (oid_section) dans le fichier
de configuration. Tous les champs supplA~Xmentaires sont traitA~Xs
comme des DirectoryString.
EXEMPLES
Examiner et vA~Xrifier une demande de certificat :
openssl req -in req.pem -text -verify -noout
CrA~Xer une clA~X privA~Xe et gA~XnA~Xrer la demande de certificat
correspondante :
openssl genrsa -out key.pem 1024
openssl req -new -key key.pem -out req.pem
La mA~Xme chose en utilisant uniquement req :
openssl req -newkey rsa:1024 -keyout key.pem -out req.pem
GA~XnA~Xrer un certificat auto-signA~X racine :
openssl req -x509 -newkey rsa:1024 -keyout key.pem -out req.pem
Exemple d’un fichier spA~XcifiA~X avec l’option oid_file :
1.2.3.4 shortName A longer Name
1.2.3.6 otherName Other longer Name
Exemple d’une section pouvant A~Xtre rA~XfA~XrencA~X par oid_section
utilisant l’expansion de variables :
testoid1=1.2.3.5
testoid2=${testoid1}.6
Fichier de configuration type demandant les valeurs des champs :
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca
dirstring_type = nobmp
[ req_distinguished_name ]
countryName = Nom du pays (code 2 lettres )
countryName_default = FR
countryName_min = 2
countryName_max = 2
localityName = Nom du lieu (par exemple, la ville)
organizationalUnitName = Nom de l'unitA~X dans l'organisation (par exemple, la section)
commonName = Nom commun (par exemple, VOTRE nom)
commonName_max = 64
emailAddress = Adresse A~Xlectronique
emailAddress_max = 40
[ req_attributes ]
challengePassword = Un mot de passe
challengePassword_min = 4
challengePassword_max = 20
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = CA:true
Configuration type contenant tous les valeurs des champs :
RANDFILE = $ENV::HOME/.rnd
[ req ]
default_bits = 1024
default_keyfile = fichier_clA~X.pem
distinguished_name = req_noms_distinguA~X
attributes = req_attributs
prompt = no
output_password = mon_pass
[ req_distinguished_name ]
C = FR
ST = DA~Xpartement de test
L = Lieu de test
O = Nom de l'organisation
OU = Nom de l'unitA~X dans l'organisation
CN = Nom commun
emailAddress = test@email.adresse
[ req_attributes ]
challengePassword = A challenge password
NOTES
Les lignes de tA~Xte et de fin dans le format PEM sont normalement :
-----BEGIN CERTIFICATE REQUEST-----
-----END CERTIFICATE REQUEST-----
Certains logiciels (certaines versions de Netscape certificate server)
nA~Xcessitent A~ la place :
-----BEGIN NEW CERTIFICATE REQUEST-----
-----END NEW CERTIFICATE REQUEST-----
qui est produit avec l’option -newhdr mais reste compatible autrement.
A~X l’entrA~Xe, les deux versions sont acceptA~Xes de faA~Xon
transparente.
Les demandes de certificat gA~XnA~XrA~Xes par Xenroll avec MSIE ont des
extensions supplA~Xmentaires. Elles incluent une extension keyUsage qui
dA~Xtermine le type de la clA~X (signature ou gA~XnA~Xral) et tous les
OIDs supplA~Xmentaires entrA~Xs par le script dans une extension
extendedKeyUsage.
DIAGNOSTIC
Les messages suivants soulA~Xvent souvent des interrogations :
Using configuration from /some/path/openssl.cnf
Unable to load config info
Qui est suivi peu aprA~Xs par :
unable to find 'distinguished_name' in config
problems making Certificate Request
Le premier message explique le tout : le fichier de configuration est
introuvable ! Certaines opA~Xrations (telle que la vA~Xrification d’une
demande de certificat) ne nA~Xcessitent pas de fichier de
configuration, alors son utilisation n’est pas renforcA~Xe. La
gA~XnA~Xration de certificats ou de demandes, au contraire,
nA~Xcessitent un fichier de configuration. Ceci peut A~Xtre
considA~XrA~X comme un bogue.
Un autre message portant A~ confusion est :
Attributes:
a0:00
Ceci est affichA~X lorsqu’aucun attribut n’est prA~Xsent et que la
demande inclut la structure vide SET OF correcte (dont l’encodage DER
est 0xa0 0x00). Si vous voyez uniquement :
Attributes:
alors le SET OF manque et l’encodage ainsi techniquement non valable.
RA~XfA~Xrez-vous A~ la description de l’option -asn1-kludge pour plus
d’information.
VARIABLES Dâ€â€™ENVIRONNEMENT
La variable OPENSSL_CONF si dA~Xfinie permet un fichier de
configuration alternatif. Un autre fichier sera utilisA~X si l’option
-config de la ligne de commande est prA~Xsente. Pour des raisons de
compatibilitA~X, la variable SSLEAY_CONF a la mA~Xme utilisation, mais
son utilisation est dA~XconseillA~X.
BOGUES
La gestion des T61Strings (ou TeletexStrings) est cassA~Xe : elles sont
traitA~Xes effectivement comme des chaA~Xnes ISO-8859-1 (Latin 1),
Netscape et MSIE ont un comportement similaire. Ceci peut poser
problA~Xme lorsque vous avez besoin de caractA~Xres qui ne sont pas
disponibles dans les PrintableStrings et que vous ne voulez ou pouvez
pas utiliser les BMPStrings.
La consA~Xquence de cette gestion de T61String est que la seule faA~Xon
correcte de reprA~Xsenter des caractA~Xres accentuA~Xs dans OpenSSL est
d’utiliser un BMPString : malheureusement, Netscape ne les aime pas.
Ainsi, pour utiliser les caractA~Xres accentuA~Xs avec Netscape et
MSIE, vous devrez utiliser actuellement le format non valable des
T61Strings.
La demande A~ l’invite de commande n’est pas trA~Xs ergonomique. Vous
ne pouvez confirmer les saisies et les extensions doivent A~Xtre
dA~Xfinies de faA~Xon statique dans le fichier de configuration.
Quelques-unes comme par exemple une adresse A~Xlectronique dans le
subjectAltName devraient A~Xtre donnA~Xes par l’utilisateur.
VOIR AUSSI
x509(1), ca(1), genrsa(1), gendsa(1), config(5)
TRADUCTION
Cette page de manuel a A~XtA~X traduite par arne en 2002 et est
maintenue par la liste <debian-l10n-french AT lists DOT debian DOT
org>. Veuillez signaler toute erreur de traduction par un rapport de
bogue sur le paquet manpages-fr-extra.