Provided by: manpages-fr-extra_20151231_all bug

NOM
       SSL_CTX_load_verify_locations - Définir l'emplacement par défaut des certificats d'autorité de
       certification


SYNOPSIS
        #include <openssl/ssl.h>

        int SSL_CTX_load_verify_locations(SSL_CTX *ctx, const char *CAfile,
                                          const char *CApath);


DESCRIPTION
       SSL_CTX_load_verify_locations() précise l'emplacement pour ctx où les certificats d'autorité, aux fins de
       vérifications, sont situés. Les certificats disponibles par CAfile et CApath sont considérés de
       confiance.


NOTES
       Si CAfile n'est pas NULL, il pointe vers un fichier de certificats d'autorité de certification au format
       PEM. Le fichier peut contenir plusieurs certificats d'autorité de certification identifiés par des
       séquences

        -----BEGIN CERTIFICATE-----
        ... (CA certificate codé en base64) ...

        -----END CERTIFICATE-----
       Avant, entre et après les certificats, il peut y avoir un texte qui peut, par exemple, décrire les
       certificats.

       CAfile est traité lors de l'exécution de la fonction SSL_CTX_load_verify_locations()

       Si CApath n'est pas NULL, il pointe vers un répertoire contenant des certificats d'autorité de
       certification au format PEM. Chaque fichier contient un certificat d'autorité de certification. La
       recherche de ces fichiers s'effectue par la valeur de hachage de nom du sujet de l'autorité de
       certification, qui doit donc être disponible. Si plusieurs certificats d'autorité de certification ont la
       même valeur de hachage de nom, leur extension peut être différente (par exemple 9d66eef0.0,
       9d66eef0.1, etc.). La recherche est faite dans l'ordre des numéros d'extension, indépendamment des autres
       propriétés des certificats. Utilisez l'utilitaire c_rehash pour créer les liens nécessaires.

       Les certificats dans CApath ne sont consultés que lorsqu'il le faut, par exemple lors de la construction
       d'une chaîne de certificats ou lorsque l'on vérifie effectivement le certificat d'un interlocuteur.

       Quand on recherche des certificats d'autorité de certification, la bibliothèque OpenSSL cherchera les
       certificats d’abord dans CAfile puis dans CApath. La correspondance du certificat est établie sur la base
       du nom du sujet, de la clef d’identification (si elle existe) et du numéro de série du certificat à
       vérifier. Si ces données ne correspondent pas, le certificat suivant est testé. Si un premier certificat
       dont les paramètres correspondent est trouvé, le processus de vérification est exécuté et aucun autre
       certificat avec les mêmes paramètres ne sera recherché en cas d'échec.

       En mode serveur, quand un certificat client est demandé, le serveur doit envoyer la liste des autorités
       de certification dont il accepte les certificats. Cette liste n'est pas déterminée par le contenu de
       CAfile ou CApath et doit être être configurée avec la famille de fonctions SSL_CTX_set_client_CA_list(3).

       Lors de la construction de sa chaîne de certificats, un client ou serveur OpenSSL essaiera de combler les
       certificats manquants à partir de CAfile ou de CApath, si la chaîne de certificats n'est pas précisée
       (voir SSL_CTX_add_extra_chain_cert(3), SSL_CTX_use_certificate(3).


AVERTISSEMENTS
       Si plusieurs certificats d'autorité de certification correspondant au nom, à la clef d’identification et
       au numéro de série sont disponibles, seul le premier sera examiné. Cela peut entraîner des résultats
       inattendus si le même certificat d'autorité de certification est disponible avec plusieurs dates
       d'expiration différentes. Si une erreur de vérification « certificate expired » survient, aucun autre
       certificat ne sera recherché. Assurez-vous de ne pas avoir de certificats expirés mêlés à des certificats
       valides.


EXEMPLES
       Générer un fichier de certificat d'autorité de certification avec un texte descriptif à partir des
       certificats d'autorité de certification ca1.pem ca2.pem ca3.pem :

        #!/bin/sh
        rm CAfile.pem
        for i in ca1.pem ca2.pem ca3.pem ; do
          openssl x509 -in $i -text >> CAfile.pem
        done

       Préparer le répertoire /quelque/part/certificats contenant plusieurs certificats d'autorité de
       certification à définir comme CApath :

        cd /quelque/part/certificats
        c_rehash .


VALEURS DE RETOUR
       Les valeurs suivantes peuvent être renvoyées :

       0   L'opération  a  échoué  parce  que  CAfile et CApath sont NULL ou le traitement d'un des emplacements
           spécifié a échoué. Vérifiez la pile d'erreur pour découvrir la raison.

       1   L'opération a réussi.


VOIR AUSSI
       ssl(3),     SSL_CTX_set_client_CA_list(3),     SSL_get_client_CA_list(3),     SSL_CTX_use_certificate(3),
       SSL_CTX_add_extra_chain_cert(3), SSL_CTX_set_cert_store(3)


TRADUCTION
       La  traduction  de  cette page de manuel est maintenue par les membres de la liste <debian-l10n-french AT
       lists DOT debian DOT org>. Veuillez signaler toute erreur de traduction par un rapport de  bogue  sur  le
       paquet manpages-fr-extra.

1.0.2a 1.0.2c                                      2015-12-31       fr::ssl::SSL_CTX_load_verify_locations(3SSL)