Provided by:
manpages-fr-extra_20101103_all 
NOM
pkcs12 - Utilitaire pour les fichiers PKCS#12
SYNOPSIS
openssl pkcs12 [-export] [-chain] [-inkey nom_fichier] [-certfile
nom_fichier] [-name nom] [-caname nom] [-in nom_fichier] [-out
nom_fichier] [-noout] [-nomacver] [-nocerts] [-clcerts] [-cacerts]
[-nokeys] [-info] [-des] [-des3] [-idea] [-nodes] [-noiter] [-maciter]
[-twopass] [-descert] [-certpbe] [-keypbe] [-keyex] [-keysig]
[-password param] [-passin param] [-passout param] [-rand fichier(s)]
DESCRIPTION
La commande pkcs12 permet la creation et l'interpretation de fichiers
PKCS#12 (parfois egalement appelles PFX). Les fichiers PKCS#12 sont
utilises par plusieurs programmes, entre autres Netscape, MSIE et
MSOutlook.
OPTIONS DE LA COMMANDE
Il y a de nombreuses options dont certaines different selon que l'on
genere ou interprete un fichier. L'operation par defaut est
l'interpretation, pour la creation d'un fichier PKCS#12, il faut
utiliser l'option -export.
OPTIONS D'INTERPR'ETATION
-in nom_fichier
Ceci specifie le nom du fichier PKCS#12 a interpreter. Par defaut,
l'entree standard est lue.
-out nom_fichier
Le nom de fichier ou seront ecrits les certificats et les cles
privees. Par defaut ce sera la sortie standard. Ils sont tous
ecrits au format PEM.
-pass param, -passin param
Le fichier PKCS#12 source des mots de passe (c'est-a-dire le
fichier d'entree). Pour plus d'informations sur le format de param,
voir la section PHRASE DE PASSE EN PARAM`ETRE d'openssl(1).
-passout param
La source de mot de passe a utiliser pour le chiffrement des cles
privees sorties. Pour plus d'informations sur le format de param,
voir la section PHRASE DE PASSE EN PARAM`ETRE d'openssl(1).
-noout
Cette option empeche l'ajout des cles et des certificats vers la
version de sortie du fichier PKCS#12.
-clcerts
Sortie uniquement des certificats clients (et non des certificats
CA).
-cacerts
Sortie uniquement des certificats CA (et non des certificats
clients).
-nocerts
Aucun certificat ne sera sorti.
-nokeys
Aucune cle privee ne sera sortie.
-info
Sortie d'informations supplementaires sur la structure du fichier
PKCS#12, sur les agorithmes employes et sur les nombres
d'iterations.
-des
Utilisation du chiffrement DES pour les cles privees avant la
sortie.
-des3
Utilisation du chiffrement triple DES pour les cles privees avant
la sortie, c'est l'algorithme utilise par defaut.
-idea
Utilisation du chiffrement IDEA pour les cles privees avant la
sortie.
-nodes
Ne pas chiffrer les cles privees du tout.
-nomacver
Ne pas verifier l'integrite MAC avant la lecture du fichier.
-twopass
Demande des mots de passe distincts pour l'integrite et le
chiffrement; la plupart des logiciels supposent toujours l'egalite,
ainsi cette option rendra le fichier PKCS#12 illisible pour ces
logiciels.
OPTIONS DE CR'EATION DE FICHIER
-export
Cette option specifie qu'un fichier PKCS#12 sera genere plutot que
lu.
-out nom_fichier
Ceci specifie le nom du fichier PKCS#12 de sortie. La sortie
standard est utilisee par defaut.
-in nom_fichier
Le nom de fichier a partir duquel les certificats et les cles
privees sont lues. Par defaut, ce sera l'entree standard. Ils
doivent tous etre au format PEM. L'ordre n'est pas important, mais
une cle privee et le certificat correspondant devrait etre present.
Si des certificats supplementaires sont presents, ils seront
egalement inclus dans le fichier PKCS#12.
-inkey nom_fichier
Le fichier a partir duquel sera lue la cle privee. Si cette option
n'est pas presente, la cle doit faire partie du fichier d'entree.
-name nomconvivial
Ceci specifie le nom convivial du certificat et de la cle privee.
Ce nom est typiquement affiche dans les controles de liste par les
logiciels qui utilisent ce fichier.
-certfile nom_fichier
Un nom de fichier a partir duquel des certificats supplementaires
seront lus.
-caname nomconvivial
Ceci specifie le nom convivial pour d'autres certificats. Cette
option peut etre utilisee plusieurs fois et correspondre alors aux
certificats dans l'ordre d'apparition. Netscape ignore les noms
conviviaux des autres certificats alors que MSIE les affiche.
-pass param, -passout param
Le fichier PKCS#12 source des mots de passe (c'est-a-dire le
fichier d'entree). Pour plus d'informations sur le format de param,
voir la section PHRASE DE PASSE EN PARAM`ETRE d'openssl(1).
-passin motdepasse
La source de mot de passe a utiliser pour l'encodage des cles
privees de sortie. Pour plus d'informations sur le format de param,
voir la section PHRASE DE PASSE EN PARAM`ETRE d'openssl(1).
-chain
Avec cette option, le programme tente d'inclure toute la chaine de
certification dans le certificat utilisateur. Le repertoire
standard CA est utilise pour cette recherche. Un echec de cette
recherche est consideree comme une erreur fatale.
-descert
Chiffrer le certificat avec DES, ceci peut rendre le certificat
inutilisable avec certains logiciels <<export grade>>. Par defaut,
la cle privee est chiffree en triple DES et le certificat en
utilisant un RC2 a 40 bits.
-keypbe alg, -certpbe alg
Ces options permettent le choix de l'algorithme de chiffrement pour
la cle privee et les certificats. Meme si tous les algorithmes
PKCS#5 v1.5 ou PKCS#12 sont pris en compte, il est conseille
d'utiliser uniquement PKCS#12. Referez-vous a la liste dans la
section NOTES pour plus de details.
-keyex|-keysig
Specifie que la cle privee est utilisee uniquement pour l'echange
de cle ou la signature. Cette option est uniquement interpretee par
MSIE et des produits similaires MS. Normalement, des logiciels
<<export grade>> permettent seulement l'echange de cles RSA a 512
bits pour le chiffrement, et une cle de longueur arbitraire pour la
signature. L'option -keysig marque la cle pour une utilisation
exclusivement pour des signatures. Une telle cle peut alors etre
utilisee pour la signature S/MIME, authenticode (signature par
controles ActiveX) et l'identification de clients SSL, toutefois,
uniquement MSIE 5.0 et superieur supportent l'utilisation de cles
de signature pour l'identification de clients SSL.
-nomaciter, -noiter
Ces options determinent le nombre d'iterations pour les algorithmes
MAC et certains algorithmes de cles. A moins de vouloir produire
des fichiers compatibles avec MSIE 4.0, ces options peuvent etre
omises.
Pour decourager des attaques utilisant des dictionnaires importants
de mot de passe communs, l'algorithme derivant les cles des mots de
passe peut se voir applique un nombre d'iterations: ceci a pour
effet de repeter une certaine partie de l'algorithme et ralentit
l'operation. Le MAC est employe pour s'assurer l'integrite du
fichier, mais comme il aura normalement le meme mot de passe que
les cles et les certificats, il peut aussi se voir attaque. Par
defaut, le nombre d'iterations du MAC et du chiffrement sont de
2048, en utilisant ces options, le nombre d'iterations MAC et du
chiffrement peuvent etre mises a 1. Comme ceci reduit la securite
des informations, elles ne devraient etre utilisees qu'en cas de
necessite. La plupart des logiciels supportent un nombre arbitraire
d'iteration et pour MAC et pour l'encodage. MSIE 4.0 ne le supporte
pas pour MAC et necessite alors l'option -nomaciter.
-maciter
Cette option est incluse pour assurer la compatibilite avec
d'anciennes versions pour forcer le nombre d'iterations pour MAC.
C'est actuellement le comportement par defaut.
-rand fichier(s)
Un ou plusieurs fichiers contenant des donnees aleatoires utilisees
pour initialiser le generateur de nombres pseudo-aleatoires, ou une
socket EGD (consultez RAND_egd(3)). Plusieurs fichiers peuvent etre
specifies en les separant par le separateur du systeme
d'exploitation: <<;>> pour MS-Windows, <<,>> pour OpenVMS et <<:>>
pour tous les autres.
NOTES
Malgre le nombre important d'options, la plupart de celles-ci ne sont
utilisees que tres rarement. Pour l'interpretation de fichiers PKCS#12,
seules -in et -out sont necessaires, pour la creation, -export et -name
sont utilisees egalement.
Si aucune des options -clcerts, -cacerts ou -nocerts n'est presente,
alors tous les certificats seront generes dans l'ordre d'apparence dans
les fichiers source PKCS#12. De plus, il n'y a aucune garantie que le
premier certificat trouve est celui correspondant a la cle privee.
Certains logiciels necessitant une cle privee supposent que le premier
certificat du fichier correspond a la cle privee: ceci n'est pas
forcement toujours le cas. En utilisant l'option l'option -clcerts le
probleme est resolu en incluant uniquement le certificat correspondant
a la cle privee. Si besoin est, les certificats CA peuvent etre
generees a part avec les options -nokeys -cacerts.
Les options -keypbe et -certpbe permettent de preciser l'algorithme de
chiffrement pour la cle privee et pour les certificats. Normalement,
les valeurs par defauts devraient convenir, mais certains logiciels ne
gerent pas les cles privees encodees avec triple DES, alors l'option
-keypbe PBE-SHA1-RC2-40 reduit le chiffrement de la cle privee a un RC2
de 40 bits. Une description complete de tous les algorithmes est
contenue dans la page de manuel de pkcs8.
EXEMPLES
Interpretation d'un fichier PKCS#12 et sortie vers un fichier:
openssl pkcs12 -in file.p12 -out file.pem
Sortie des certificats clients uniquement:
openssl pkcs12 -in file.p12 -clcerts -out file.pem
Ne pas chiffrer la cle privee:
openssl pkcs12 -in file.p12 -out file.pem -nodes
Afficher les informations sur un fichier PKCS#12:
openssl pkcs12 -in file.p12 -info -noout
Creer un fichier PKCS#12:
openssl pkcs12 -export -in file.pem -out file.p12 -name "My Certificate"
Inclure des certificats supplementaires:
openssl pkcs12 -export -in file.pem -out file.p12 -name "My Certificate" \
-certfile othercerts.pem
BOGUES
Certains disent que tout le standard PKCS#12 est un seul grand bogue
:-)
Les versions d'OpenSSL avant 0.9.6a avaient un bogue dans les routines
de generation de cle PKCS#12. Sous certaines circonstances rares, ceci
pouvait conduire a un fichier PKCS#12 chiffre avec une cle non valable.
Ainsi certains fichiers PKCS#12 d'autres implementations (MSIE ou
Netscape) et qui declenchaient ce bogues ne pouvaient etre dechiffres
par OpenSSL et inversement OpenSSL produisait des fichier non
dechiffrable par d'autres implementations. La probabilite de produire
un tels fichiers est relativement faible: inferieure a 1 sur 256.
Une consequence de la correction de ce bogue est que de tels fichiers
PKCS#12 ne peuvent etre interpretes avec une version corrigee.
L'utilitaire pkcs12 signale alors que le MAC est valide, mais le
dechiffrement des cles privees extraites est voue a l'echec.
Ce probleme peut etre contourne en extrayant les cles privees et les
certificats avec une version ancienne d'OpenSSL puis en regenerant le
fichier PKCS#12 avec une version plus recente a partir des cles et des
certificats. Par exemple:
old-openssl -in bad.p12 -out keycerts.pem
openssl -in keycerts.pem -export -name "My PKCS#12 file" -out fixed.p12
VOIR AUSSI
pkcs8(1)
TRADUCTION
Cette page de manuel a ete traduite par Eltrai en 2002 et est maintenue
par la liste <debian-l10n-french AT lists DOT debian DOT org>.
Veuillez signaler toute erreur de traduction par un rapport de bogue
sur le paquet manpages-fr-extra.