Provided by:
manpages-fr-extra_20101103_all 
NOM
CA.pl - Interface plus ergonomique pour les programmes de certificats
d'OpenSSL
SYNOPSIS
CA.pl [-?] [-h] [-help] [-newcert] [-newreq] [-newreq-nodes] [-newca]
[-xsign] [-sign] [-signreq] [-signcert] [-verify] [fichiers]
DESCRIPTION
Le script perl CA.pl fournit les parametres a la commande openssl pour
les operations les plus courantes sur les certificats. Son but est de
simplifier le processus de creation et la gestion de certificats en
employant des options simples.
OPTIONS DE LA COMMANDE
?, -h, -help
affiche un descriptif d'utilisation.
-newcert
cree un nouveau certificat autosigne. La cle privee et le
certificat sont ecrits dans le fichier <<newreq.pem>>.
-newreq
cree une nouvelle demande de certificat. La cle privee et le
certificat sont ecrits dans le fichier <<newreq.pem>>.
-newreq-nodes
identique a -newreq, sauf que la cle privee ne sera pas chiffree.
-newca
cree une nouvelle hierarchie de CA a utiliser avec le programme ca
(ou les options -signcert et -xsign). L'utilisateur devra saisir le
nom du fichier de certificat de la CA (qui est cense contenir
egalement la cle privee) ou, en appuyant sur ENTREE, les details de
la CA seront demandes. Les fichiers et repertoires correspondants
seront crees dans un dossier nomme <<demoCA>> dans le repertoire
courant.
-pkcs12
cree un fichier PKCS#12 contenant le certificat utilisateur, la cle
privee et le certificat de la CA. Le programme s'attend a trouver
le certificat utilisateur et la cle privee dans le fichier
<<newcert.pem>> et le certificat CA dans le fichier
demoCA/cacert.pem, puis cree un fichier <<newcert.p12>>. Cette
commande peut ainsi etre appelee apres l'option -sign. Le fichier
PKCS#12 peut etre directement importe dans un navigateur. Un
argument supplementaire a la ligne de commande sera le <<nom
amical>> du certificat (celui typiquement affiche dans la fenetre
des certificats du navigateur), autrement le nom par defaut sera
<<My Certificate>>.
-sign, -signreq, -xsign
appelle le programme ca pour signer une demande de certificat. Il
s'attend a trouver la demande dans le fichier <<newreq.pem>>. Le
nouveau certificat est ecrit dans le fichier <<newcert.pem>> sauf
avec l'option -xsign, auquel cas il est envoye vers la sortie
standard.
-signCA
cette option est identique a -signreq, sauf que la section v3_ca du
fichier de configuration est utilisee, ce qui fait de la demande
signee un certificat CA valable. Ceci est utile pour creer des CA
intermediaires a partir d'une CA racine.
-signcert
identique a -sign a la difference pres que le certificat autosigne
est attendu dans le fichier <<newreq.pem>>.
-verify
verifie le certificat avec le certificat de la CA <<demoCA>>. Si
aucun certificat n'est specifie sur la ligne de commande, le
fichier <<newcert.pem>> est verifie.
fichiers
un ou plusieurs noms de fichier de certificat a utiliser avec
l'option -verify.
EXEMPLES
Creation d'une hierarchie CA:
CA.pl -newca
Exemple complet de creation d'un certificat: creer une CA, creer une
demande, signer la demande et finalement creer un fichier PKCS#12 pour
contenir le certificat.
CA.pl -newca
CA.pl -newreq
CA.pl -signreq
CA.pl -pkcs12 "My Test Certificate"
CERTIFICATS DSA
Meme si CA.pl cree des CA et demandes au format RSA, il est toujours
possible de l'utiliser avec des certificats et demandes de type DSA en
utilisant la commande req(1) directement. L'exemple suivant montre les
manipulations types.
Creer les parametres DSA:
openssl dsaparam -out dsap.pem 1024
Creer un certificat CA de type DSA avec sa cle privee:
openssl req -x509 -newkey dsa:dsap.pem -keyout cacert.pem -out cacert.pem
Creer les fichiers et repertoires de la CA:
CA.pl -newca
Entrer cacert.pem lors de la demande pour le nom de fichier CA.
Creer une demande de certificat DSA et sa cle privee (un autre jeu de
parametres peut etre genere auparavant):
openssl req -out newreq.pem -newkey dsa:dsap.pem
Signer la demande:
CA.pl -signreq
NOTES
La plupart des noms de fichiers cites peuvent etre modifies en editant
le script CA.pl.
Si le repertoire demoCA existe deja, la commande -newca ne l'ecrasera
pas et n'effectuera aucune action. Ceci peut arriver lors d'un arret
inopportun d'un appel precedent avec l'option -newca. Pour retrouver le
comportement correct il faut supprimer le repertoire demoCA.
Sous certains environnements il peut s'averer impossible d'executer le
script CA.pl directement (par exemple Win32) et l'emplacement par
defaut du fichier de configuration peut etre errone. Alors la commande:
perl -S CA.pl
peut etre lancee (NdT : dans le repertoire ou se trouve le script
CA.pl) et la variable d'environnement OPENSSL_CONF permet de specifier
le chemin correct vers le fichier de configuration <<openssl.conf>>.
Le script simplifie l'utilisation du programme openssl pour debutants.
Son comportement n'est pas toujours celui voulu. Pour plus de controle
sur le comportement des commandes concernant les certificats il faut
appeler la commande openssl directement.
VARIABLES D'ENVIRONNEMENT
La variable OPENSSL_CONF, si elle est definie, permet de specifier
l'emplacement d'un fichier de configuration alternatif. Elle doit
contenir le chemin complet avec le nom du fichier et non seulement le
dossier.
VOIR AUSSI
x509(1), ca(1), req(1), pkcs12(1), config(5)
TRADUCTION
Cette page de manuel a ete traduite par stolck en 2002 et est maintenue
par la liste <debian-l10n-french AT lists DOT debian DOT org>.
Veuillez signaler toute erreur de traduction par un rapport de bogue
sur le paquet manpages-fr-extra.