Provided by: manpages-fr-extra_20101103_all bug

NOM

       CA.pl - Interface plus ergonomique pour les programmes de certificats
       d'OpenSSL

SYNOPSIS

       CA.pl [-?] [-h] [-help] [-newcert] [-newreq] [-newreq-nodes] [-newca]
       [-xsign] [-sign] [-signreq] [-signcert] [-verify] [fichiers]

DESCRIPTION

       Le script perl CA.pl fournit les parametres a la commande openssl pour
       les operations les plus courantes sur les certificats. Son but est de
       simplifier le processus de creation et la gestion de certificats en
       employant des options simples.

OPTIONS DE LA COMMANDE

       ?, -h, -help
           affiche un descriptif d'utilisation.

       -newcert
           cree un nouveau certificat autosigne. La cle privee et le
           certificat sont ecrits dans le fichier <<newreq.pem>>.

       -newreq
           cree une nouvelle demande de certificat. La cle privee et le
           certificat sont ecrits dans le fichier <<newreq.pem>>.

       -newreq-nodes
           identique a -newreq, sauf que la cle privee ne sera pas chiffree.

       -newca
           cree une nouvelle hierarchie de CA a utiliser avec le programme ca
           (ou les options -signcert et -xsign). L'utilisateur devra saisir le
           nom du fichier de certificat de la CA (qui est cense contenir
           egalement la cle privee) ou, en appuyant sur ENTREE, les details de
           la CA seront demandes. Les fichiers et repertoires correspondants
           seront crees dans un dossier nomme <<demoCA>> dans le repertoire
           courant.

       -pkcs12
           cree un fichier PKCS#12 contenant le certificat utilisateur, la cle
           privee et le certificat de la CA. Le programme s'attend a trouver
           le certificat utilisateur et la cle privee dans le fichier
           <<newcert.pem>> et le certificat CA dans le fichier
           demoCA/cacert.pem, puis cree un fichier <<newcert.p12>>. Cette
           commande peut ainsi etre appelee apres l'option -sign. Le fichier
           PKCS#12 peut etre directement importe dans un navigateur. Un
           argument supplementaire a la ligne de commande sera le <<nom
           amical>> du certificat (celui typiquement affiche dans la fenetre
           des certificats du navigateur), autrement le nom par defaut sera
           <<My Certificate>>.

       -sign, -signreq, -xsign
           appelle le programme ca pour signer une demande de certificat. Il
           s'attend a trouver la demande dans le fichier <<newreq.pem>>. Le
           nouveau certificat est ecrit dans le fichier <<newcert.pem>> sauf
           avec l'option -xsign, auquel cas il est envoye vers la sortie
           standard.

       -signCA
           cette option est identique a -signreq, sauf que la section v3_ca du
           fichier de configuration est utilisee, ce qui fait de la demande
           signee un certificat CA valable. Ceci est utile pour creer des CA
           intermediaires a partir d'une CA racine.

       -signcert
           identique a -sign a la difference pres que le certificat autosigne
           est attendu dans le fichier <<newreq.pem>>.

       -verify
           verifie le certificat avec le certificat de la CA <<demoCA>>. Si
           aucun certificat n'est specifie sur la ligne de commande, le
           fichier <<newcert.pem>> est verifie.

       fichiers
           un ou plusieurs noms de fichier de certificat a utiliser avec
           l'option -verify.

EXEMPLES

       Creation d'une hierarchie CA:

        CA.pl -newca

       Exemple complet de creation d'un certificat: creer une CA, creer une
       demande, signer la demande et finalement creer un fichier PKCS#12 pour
       contenir le certificat.

        CA.pl -newca
        CA.pl -newreq
        CA.pl -signreq
        CA.pl -pkcs12 "My Test Certificate"

CERTIFICATS DSA

       Meme si CA.pl cree des CA et demandes au format RSA, il est toujours
       possible de l'utiliser avec des certificats et demandes de type DSA en
       utilisant la commande req(1) directement. L'exemple suivant montre les
       manipulations types.

       Creer les parametres DSA:

        openssl dsaparam -out dsap.pem 1024

       Creer un certificat CA de type DSA avec sa cle privee:

        openssl req -x509 -newkey dsa:dsap.pem -keyout cacert.pem -out cacert.pem

       Creer les fichiers et repertoires de la CA:

        CA.pl -newca

       Entrer cacert.pem lors de la demande pour le nom de fichier CA.

       Creer une demande de certificat DSA et sa cle privee (un autre jeu de
       parametres peut etre genere auparavant):

        openssl req -out newreq.pem -newkey dsa:dsap.pem

       Signer la demande:

        CA.pl -signreq

NOTES

       La plupart des noms de fichiers cites peuvent etre modifies en editant
       le script CA.pl.

       Si le repertoire demoCA existe deja, la commande -newca ne l'ecrasera
       pas et n'effectuera aucune action. Ceci peut arriver lors d'un arret
       inopportun d'un appel precedent avec l'option -newca. Pour retrouver le
       comportement correct il faut supprimer le repertoire demoCA.

       Sous certains environnements il peut s'averer impossible d'executer le
       script CA.pl directement (par exemple Win32) et l'emplacement par
       defaut du fichier de configuration peut etre errone. Alors la commande:

        perl -S CA.pl

       peut etre lancee (NdT : dans le repertoire ou se trouve le script
       CA.pl) et la variable d'environnement OPENSSL_CONF permet de specifier
       le chemin correct vers le fichier de configuration <<openssl.conf>>.

       Le script simplifie l'utilisation du programme openssl pour debutants.
       Son comportement n'est pas toujours celui voulu. Pour plus de controle
       sur le comportement des commandes concernant les certificats il faut
       appeler la commande openssl directement.

VARIABLES D'ENVIRONNEMENT

       La variable OPENSSL_CONF, si elle est definie, permet de specifier
       l'emplacement d'un fichier de configuration alternatif. Elle doit
       contenir le chemin complet avec le nom du fichier et non seulement le
       dossier.

VOIR AUSSI

       x509(1), ca(1), req(1), pkcs12(1), config(5)

TRADUCTION

       Cette page de manuel a ete traduite par stolck en 2002 et est maintenue
       par la liste <debian-l10n-french AT lists DOT debian DOT org>.
       Veuillez signaler toute erreur de traduction par un rapport de bogue
       sur le paquet manpages-fr-extra.