Provided by: manpages-fr-extra_20101103_all bug

NOM

       pkcs12 - Utilitaire pour les fichiers PKCS#12

SYNOPSIS

       openssl pkcs12 [-export] [-chain] [-inkey nom_fichier] [-certfile
       nom_fichier] [-name nom] [-caname nom] [-in nom_fichier] [-out
       nom_fichier] [-noout] [-nomacver] [-nocerts] [-clcerts] [-cacerts]
       [-nokeys] [-info] [-des] [-des3] [-idea] [-nodes] [-noiter] [-maciter]
       [-twopass] [-descert] [-certpbe] [-keypbe] [-keyex] [-keysig]
       [-password param] [-passin param] [-passout param] [-rand fichier(s)]

DESCRIPTION

       La commande pkcs12 permet la creation et l'interpretation de fichiers
       PKCS#12 (parfois egalement appelles PFX). Les fichiers PKCS#12 sont
       utilises par plusieurs programmes, entre autres Netscape, MSIE et
       MSOutlook.

OPTIONS DE LA COMMANDE

       Il y a de nombreuses options dont certaines different selon que l'on
       genere ou interprete un fichier. L'operation par defaut est
       l'interpretation, pour la creation d'un fichier PKCS#12, il faut
       utiliser l'option -export.

OPTIONS D'INTERPR'ETATION

       -in nom_fichier
           Ceci specifie le nom du fichier PKCS#12 a interpreter. Par defaut,
           l'entree standard est lue.

       -out nom_fichier
           Le nom de fichier ou seront ecrits les certificats et les cles
           privees. Par defaut ce sera la sortie standard. Ils sont tous
           ecrits au format PEM.

       -pass param, -passin param
           Le fichier PKCS#12 source des mots de passe (c'est-a-dire le
           fichier d'entree). Pour plus d'informations sur le format de param,
           voir la section PHRASE DE PASSE EN PARAM`ETRE d'openssl(1).

       -passout param
           La source de mot de passe a utiliser pour le chiffrement des cles
           privees sorties. Pour plus d'informations sur le format de param,
           voir la section PHRASE DE PASSE EN PARAM`ETRE d'openssl(1).

       -noout
           Cette option empeche l'ajout des cles et des certificats vers la
           version de sortie du fichier PKCS#12.

       -clcerts
           Sortie uniquement des certificats clients (et non des certificats
           CA).

       -cacerts
           Sortie uniquement des certificats CA (et non des certificats
           clients).

       -nocerts
           Aucun certificat ne sera sorti.

       -nokeys
           Aucune cle privee ne sera sortie.

       -info
           Sortie d'informations supplementaires sur la structure du fichier
           PKCS#12, sur les agorithmes employes et sur les nombres
           d'iterations.

       -des
           Utilisation du chiffrement DES pour les cles privees avant la
           sortie.

       -des3
           Utilisation du chiffrement triple DES pour les cles privees avant
           la sortie, c'est l'algorithme utilise par defaut.

       -idea
           Utilisation du chiffrement IDEA pour les cles privees avant la
           sortie.

       -nodes
           Ne pas chiffrer les cles privees du tout.

       -nomacver
           Ne pas verifier l'integrite MAC avant la lecture du fichier.

       -twopass
           Demande des mots de passe distincts pour l'integrite et le
           chiffrement; la plupart des logiciels supposent toujours l'egalite,
           ainsi cette option rendra le fichier PKCS#12 illisible pour ces
           logiciels.

OPTIONS DE CR'EATION DE FICHIER

       -export
           Cette option specifie qu'un fichier PKCS#12 sera genere plutot que
           lu.

       -out nom_fichier
           Ceci specifie le nom du fichier PKCS#12 de sortie. La sortie
           standard est utilisee par defaut.

       -in nom_fichier
           Le nom de fichier a partir duquel les certificats et les cles
           privees sont lues. Par defaut, ce sera l'entree standard. Ils
           doivent tous etre au format PEM. L'ordre n'est pas important, mais
           une cle privee et le certificat correspondant devrait etre present.
           Si des certificats supplementaires sont presents, ils seront
           egalement inclus dans le fichier PKCS#12.

       -inkey nom_fichier
           Le fichier a partir duquel sera lue la cle privee. Si cette option
           n'est pas presente, la cle doit faire partie du fichier d'entree.

       -name nomconvivial
           Ceci specifie le nom convivial du certificat et de la cle privee.
           Ce nom est typiquement affiche dans les controles de liste par les
           logiciels qui utilisent ce fichier.

       -certfile nom_fichier
           Un nom de fichier a partir duquel des certificats supplementaires
           seront lus.

       -caname nomconvivial
           Ceci specifie le nom convivial pour d'autres certificats. Cette
           option peut etre utilisee plusieurs fois et correspondre alors aux
           certificats dans l'ordre d'apparition. Netscape ignore les noms
           conviviaux des autres certificats alors que MSIE les affiche.

       -pass param, -passout param
           Le fichier PKCS#12 source des mots de passe (c'est-a-dire le
           fichier d'entree). Pour plus d'informations sur le format de param,
           voir la section PHRASE DE PASSE EN PARAM`ETRE d'openssl(1).

       -passin motdepasse
           La source de mot de passe a utiliser pour l'encodage des cles
           privees de sortie. Pour plus d'informations sur le format de param,
           voir la section PHRASE DE PASSE EN PARAM`ETRE d'openssl(1).

       -chain
           Avec cette option, le programme tente d'inclure toute la chaine de
           certification dans le certificat utilisateur. Le repertoire
           standard CA est utilise pour cette recherche. Un echec de cette
           recherche est consideree comme une erreur fatale.

       -descert
           Chiffrer le certificat avec DES, ceci peut rendre le certificat
           inutilisable avec certains logiciels <<export grade>>. Par defaut,
           la cle privee est chiffree en triple DES et le certificat en
           utilisant un RC2 a 40 bits.

       -keypbe alg, -certpbe alg
           Ces options permettent le choix de l'algorithme de chiffrement pour
           la cle privee et les certificats. Meme si tous les algorithmes
           PKCS#5 v1.5 ou PKCS#12 sont pris en compte, il est conseille
           d'utiliser uniquement PKCS#12. Referez-vous a la liste dans la
           section NOTES pour plus de details.

       -keyex|-keysig
           Specifie que la cle privee est utilisee uniquement pour l'echange
           de cle ou la signature. Cette option est uniquement interpretee par
           MSIE et des produits similaires MS. Normalement, des logiciels
           <<export grade>> permettent seulement l'echange de cles RSA a 512
           bits pour le chiffrement, et une cle de longueur arbitraire pour la
           signature. L'option -keysig marque la cle pour une utilisation
           exclusivement pour des signatures. Une telle cle peut alors etre
           utilisee pour la signature S/MIME, authenticode (signature par
           controles ActiveX) et l'identification de clients SSL, toutefois,
           uniquement MSIE 5.0 et superieur supportent l'utilisation de cles
           de signature pour l'identification de clients SSL.

       -nomaciter, -noiter
           Ces options determinent le nombre d'iterations pour les algorithmes
           MAC et certains algorithmes de cles. A moins de vouloir produire
           des fichiers compatibles avec MSIE 4.0, ces options peuvent etre
           omises.

           Pour decourager des attaques utilisant des dictionnaires importants
           de mot de passe communs, l'algorithme derivant les cles des mots de
           passe peut se voir applique un nombre d'iterations: ceci a pour
           effet de repeter une certaine partie de l'algorithme et ralentit
           l'operation. Le MAC est employe pour s'assurer l'integrite du
           fichier, mais comme il aura normalement le meme mot de passe que
           les cles et les certificats, il peut aussi se voir attaque. Par
           defaut, le nombre d'iterations du MAC et du chiffrement sont de
           2048, en utilisant ces options, le nombre d'iterations MAC et du
           chiffrement peuvent etre mises a 1. Comme ceci reduit la securite
           des informations, elles ne devraient etre utilisees qu'en cas de
           necessite. La plupart des logiciels supportent un nombre arbitraire
           d'iteration et pour MAC et pour l'encodage. MSIE 4.0 ne le supporte
           pas pour MAC et necessite alors l'option -nomaciter.

       -maciter
           Cette option est incluse pour assurer la compatibilite avec
           d'anciennes versions pour forcer le nombre d'iterations pour MAC.
           C'est actuellement le comportement par defaut.

       -rand fichier(s)
           Un ou plusieurs fichiers contenant des donnees aleatoires utilisees
           pour initialiser le generateur de nombres pseudo-aleatoires, ou une
           socket EGD (consultez RAND_egd(3)). Plusieurs fichiers peuvent etre
           specifies en les separant par le separateur du systeme
           d'exploitation: <<;>> pour MS-Windows, <<,>> pour OpenVMS et <<:>>
           pour tous les autres.

NOTES

       Malgre le nombre important d'options, la plupart de celles-ci ne sont
       utilisees que tres rarement. Pour l'interpretation de fichiers PKCS#12,
       seules -in et -out sont necessaires, pour la creation, -export et -name
       sont utilisees egalement.

       Si aucune des options -clcerts, -cacerts ou -nocerts n'est presente,
       alors tous les certificats seront generes dans l'ordre d'apparence dans
       les fichiers source PKCS#12. De plus, il n'y a aucune garantie que le
       premier certificat trouve est celui correspondant a la cle privee.
       Certains logiciels necessitant une cle privee supposent que le premier
       certificat du fichier correspond a la cle privee: ceci n'est pas
       forcement toujours le cas. En utilisant l'option l'option -clcerts le
       probleme est resolu en incluant uniquement le certificat correspondant
       a la cle privee. Si besoin est, les certificats CA peuvent etre
       generees a part avec les options -nokeys -cacerts.

       Les options -keypbe et -certpbe permettent de preciser l'algorithme de
       chiffrement pour la cle privee et pour les certificats. Normalement,
       les valeurs par defauts devraient convenir, mais certains logiciels ne
       gerent pas les cles privees encodees avec triple DES, alors l'option
       -keypbe PBE-SHA1-RC2-40 reduit le chiffrement de la cle privee a un RC2
       de 40 bits. Une description complete de tous les algorithmes est
       contenue dans la page de manuel de pkcs8.

EXEMPLES

       Interpretation d'un fichier PKCS#12 et sortie vers un fichier:

        openssl pkcs12 -in file.p12 -out file.pem

       Sortie des certificats clients uniquement:

        openssl pkcs12 -in file.p12 -clcerts -out file.pem

       Ne pas chiffrer la cle privee:

        openssl pkcs12 -in file.p12 -out file.pem -nodes

       Afficher les informations sur un fichier PKCS#12:

        openssl pkcs12 -in file.p12 -info -noout

       Creer un fichier PKCS#12:

        openssl pkcs12 -export -in file.pem -out file.p12 -name "My Certificate"

       Inclure des certificats supplementaires:

        openssl pkcs12 -export -in file.pem -out file.p12 -name "My Certificate" \
         -certfile othercerts.pem

BOGUES

       Certains disent que tout le standard PKCS#12 est un seul grand bogue
       :-)

       Les versions d'OpenSSL avant 0.9.6a avaient un bogue dans les routines
       de generation de cle PKCS#12. Sous certaines circonstances rares, ceci
       pouvait conduire a un fichier PKCS#12 chiffre avec une cle non valable.
       Ainsi certains fichiers PKCS#12 d'autres implementations (MSIE ou
       Netscape) et qui declenchaient ce bogues ne pouvaient etre dechiffres
       par OpenSSL et inversement OpenSSL produisait des fichier non
       dechiffrable par d'autres implementations. La probabilite de produire
       un tels fichiers est relativement faible: inferieure a 1 sur 256.

       Une consequence de la correction de ce bogue est que de tels fichiers
       PKCS#12 ne peuvent etre interpretes avec une version corrigee.
       L'utilitaire pkcs12 signale alors que le MAC est valide, mais le
       dechiffrement des cles privees extraites est voue a l'echec.

       Ce probleme peut etre contourne en extrayant les cles privees et les
       certificats avec une version ancienne d'OpenSSL puis en regenerant le
       fichier PKCS#12 avec une version plus recente a partir des cles et des
       certificats. Par exemple:

        old-openssl -in bad.p12 -out keycerts.pem
        openssl -in keycerts.pem -export -name "My PKCS#12 file" -out fixed.p12

VOIR AUSSI

       pkcs8(1)

TRADUCTION

       Cette page de manuel a ete traduite par Eltrai en 2002 et est maintenue
       par la liste <debian-l10n-french AT lists DOT debian DOT org>.
       Veuillez signaler toute erreur de traduction par un rapport de bogue
       sur le paquet manpages-fr-extra.