Provided by: manpages-fr-extra_20151231_all bug

NOM

       ocsp - Utilitaire pour le protocole d’état de certificat en ligne

SYNOPSIS

       openssl ocsp [-out nom_fichier] [-issuer fichier] [-cert fichier] [-serial n] [-signer
       fichier] [-signkey fichier] [-sign_other fichier] [-no_certs] [-req_text] [-resp_text]
       [-text] [-reqout fichier] [-respout fichier] [-reqin fichier] [-respin fichier] [-nonce]
       [-no_nonce] [-url URL] [-host hôte:n] [-path] [-CApath rép] [-CAfile
       fichier][-no_alt_chains] [-VAfile fichier] [-validity_period n] [-status_age age]
       [-noverify] [-verify_other fichier] [-trust_other] [-no_intern] [-no_signature_verify]
       [-no_cert_verify] [-no_chain] [-no_cert_checks] [-no_explicit] [-port num] [-index
       fichier] [-CA fichier] [-rsigner fichier] [-rkey fichier] [-rother fichier]
       [-resp_no_certs] [-nmin n] [-ndays n] [-resp_key_id] [-nrequest n] [-md5|-sha1|...]

DESCRIPTION

       Le protocole d'état de certificat en ligne (OCSP) permet aux applications de déterminer
       l’état (de révocation) d'un certificat identifié (RFC 2560).

       La commande ocsp effectue de nombreuses tâches OCSP communes. Elle permet d’afficher les
       demandes et les réponses, créer des demandes et envoyer des requêtes à un répondeur OCSP
       et se comporter comme un mini serveur OCSP lui-même.

OPTIONS DE CLIENT OCSP

       -out nom_fichier
           Indiquer le fichier de sortie, par défaut la sortie standard.

       -issuer fichier
           Indiquer le certificat de l'émetteur actuel. Cette option peut être utilisée plusieurs
           fois. Le certificat mentionné dans le fichier doit être au format PEM. Cette option
           doit être fournie avant toute option -cert.

       -cert fichier
           Ajouter le certificat fichier à la demande. Le certificat d’émetteur est pris à partir
           de l'option -issuer précédente ou une erreur se produit si aucun certificat d’émetteur
           n’est indiqué.

       -serial n
           Identique à l'option de -cert sauf que le certificat de numéro de série num est ajouté
           à la demande. Le numéro de série est interprété comme un entier décimal sauf s’il est
           précédé par 0x. Des nombres négatifs peuvent aussi être indiqués par un signe -
           précédant la valeur.

       -signer fichier, -signkey fichier
           Signer la demande OCSP à l'aide du certificat indiqué dans l'option -signer et la clef
           privée indiquée par l'option -signkey. Si l'option -signkey n'est pas présente, alors
           la clef privée est lue à partir du même fichier que le certificat. Si aucune option
           n'est indiquée, alors la demande OCSP n'est pas signée.

       -sign_other fichier
           Certificats supplémentaires à inclure dans la demande signée.

       -nonce, -no_nonce
           Ajouter une extension nonce OCSP à une demande ou désactiver l’ajout de nonce OCSP.
           Normalement, si une demande OCSP est entrée en utilisant l'option -respin, aucun nonce
           n’est ajouté : utiliser l'option -nonce forcera l’ajout d'un nonce. Si une demande
           OCSP est créé (avec les options -cert et -serial), un nonce est automatiquement
           ajouté, indiquer -no_nonce remplace cela.

       -req_text, -resp_text, -text
           Afficher respectivement au format texte la requête OCSP, la réponse ou les deux.

       -reqout fichier, -respout fichier
           Écrire la demande ou la réponse de certificat encodée en DER dans fichier.

       -reqin fichier, -respin fichier
           Lire un fichier de demande ou de réponse OCSP dans fichier. Ces options sont ignorées
           si la création de demande ou réponse OCSP est implicite grâce à d'autres options (par
           exemple avec les options -serial, -cert et -host).

       -url URL
           Indiquer l’URL de répondeur. Des URL HTTP et HTTPS (SSL ou TLS) peuvent être
           indiquées.

       -host hôte:n, -path chemin
           Si l'option -host est présente, alors la demande OCSP est envoyée à l’hôte sur le port
           n. chemin indique le nom de chemin d'accès HTTP à utiliser ou « / » par défaut.

       -timeout secondes
           Délai de connexion au répondeur OCSP en seconde.

       -CAfile fichier, -CApath rép
           Fichier ou chemin d'accès contenant les certificats de confiance. Ils sont utilisés
           pour vérifier la signature dans la réponse OCSP.

       -no_alt_chains
           Consultez la page de manuel verify pour plus de précisions.

       -verify_other fichier
           Fichier contenant les certificats supplémentaires où tenter de localiser le certificat
           de signature de réponse OCSP. Certains répondeurs omettent le certificat du signataire
           réel de la réponse : cette option permet de fournir le certificat nécessaire dans ces
           cas là.

       -trust_other
           Les certificats indiqués par l'option -verify_other devraient être explicitement de
           confiance et aucune vérification supplémentaire ne sera effectuée. C’est utile lorsque
           la chaîne complète de certificats répondeur n'est pas disponible ou quand faire
           confiance à une autorité de certification racine n'est pas approprié.

       -VAfile  fichier
           Fichier contenant les certificats de répondeur explicitement approuvés. Équivalent aux
           options -verify_other et -trust_other.

       -noverify
           Ne pas essayer de vérifier la signature de réponse OCSP ou les valeurs de nonce. Cette
           option ne sera normalement utilisée que pour le débogage, car elle désactive toute
           vérification du certificat des répondeurs.

       -no_intern
           Ignorer les certificats contenus dans la réponse OCSP lors de la recherche du
           certificat des signataires. Avec cette option, le certificat des signataires doit être
           indiqué avec les options -verify_other ou -VAfile

       -no_signature_verify
           Ne pas vérifier la signature de réponse OCSP. Puisque cette option tolère les
           signatures non valables des réponses OCSP, elle ne devrait être utilisée qu’à des fins
           de test.

       -no_cert_verify
           Ne pas vérifier du tout le certificat des signataires de réponse OCSP. Puisque cette
           option permet à la réponse OCSP d’être signée par n’importe quel certificat, elle ne
           devrait être utilisée qu’à des fins de test.

       -no_chain
           Ne pas utiliser les certificats dans la réponse comme des certificats supplémentaires
           d’autorité non fiables.

       -no_explicit
           Ne pas catégoriquement croire le certificat d’autorité racine s’il est utilisé comme
           autorité de confiance pour une signature OCSP.

       -no_cert_checks
           Ne pas effectuer de contrôle supplémentaire sur le certificat des signataires de
           réponse OCSP. C'est-à-dire, ne pas faire de contrôle pour vérifier que le certificat
           des signataires est autorisé à fournir les informations d'état nécessaires : par
           conséquent, cette option ne devrait être utilisée qu’à des fins de test.

       -validity_period n, -status_age age
           Ces options indiquent la plage de temps, en seconde, qui sera tolérée dans une réponse
           OCSP. Chaque réponse d'état de certificat comprend un temps notBefore et un temps
           notAfter. Le temps actuel devrait se situer entre ces deux valeurs, mais l'intervalle
           entre les deux temps peut n’être que de quelques secondes. En pratique, les horloges
           du répondeur et des clients OCSP peuvent ne pas être précisément synchronisées et donc
           ce type de contrôle peut échouer. Pour éviter cela, l’option -validity_period peut
           être utilisée pour indiquer une plage d'erreur acceptable en secondes, la valeur par
           défaut est de 5 minutes.

           Si le temps notAfter est omis dans une réponse, cela signifie que de nouvelles
           informations d'état sont disponibles immédiatement. Dans ce cas, l'âge du champ
           notBefore est vérifié pour voir s’il n'est pas plus vieux que age en seconde. Par
           défaut, cette vérification supplémentaire n'est pas effectuée.

       -md5|-sha1|-sha256|-ripemod160|...
           Cette option définit l’algorithme de signature à utiliser pour l'identification de
           certificat dans la demande OCSP. Par défaut, SHA-1 est utilisé.

OPTIONS DE SERVEUR OCSP

       -index fichier
           fichier est un fichier texte d'indices au format ca contenant des informations de
           révocations de certificat.

           Si l'option -index est indiquée, l'utilitaire ocsp est en mode répondeur, sinon il est
           en mode client. La ou les demandes que les répondeurs traitent peuvent être soit
           indiquées sur la ligne de commande (avec des options -issuer et -serial), soit
           fournies dans un fichier (en utilisant l'option -respin) ou à l’aide de clients OCSP
           externes (si -port ou -url sont indiquées).

           Si l'option -index est présente, alors les options -CA et -rsigner doivent également
           être présentes.

       -CA fichier
           Certificat d’autorité correspondant aux informations de révocations de -indexfile.

       -rsigner fichier
           Le certificat à utiliser pour signer les réponses OCSP.

       -rother fichier
           Certificats supplémentaires à inclure dans la réponse OCSP.

       -resp_no_certs
           Ne pas inclure les certificats dans la réponse OCSP.

       -resp_key_id
           Identifier le certificat de signataire en utilisant l'identifiant de clef, par défaut,
           cela consiste à utiliser le nom d’objet.

       -rkey fichier
           La clef privée à utiliser pour signer les réponses OCSP : en cas d’absence, le fichier
           indiqué dans l'option -rsigner est utilisé.

       -port num
           Port où écouter les demandes OCSP. Le port peut également être indiqué par l'option
           -url .

       -nrequest n
           Le serveur OCSP se terminera après avoir reçu n demandes, par défaut sans limite.

       -nmin n, -ndays n
           Temps en minute ou jour pendant lequel les informations fraîches de révocations ne
           sont pas disponibles : utilisé dans le champ nextUpdate. Si aucune option n'est
           présente, alors le champ nextUpdate est omis, ce qui signifie que les informations
           fraîches de révocations sont disponibles immédiatement.

Vérification de réponse OCSP.

       La réponse OCSP suit les règles précisées dans la RFC 2560.

       Initialement, le certificat de répondeur OCSP est localisé puis la signature de la demande
       OCSP vérifiée en utilisant la clef publique du certificat de répondeur.

       Ensuite, une vérification normale de certificat est effectuée sur le certificat de
       répondeur OCSP en construisant une chaîne de certificats dans le processus. Les
       emplacements de certificats de confiance utilisés pour construire la chaîne peuvent être
       indiqués par les options -CAfile et -CApath ou ils seront recherchés dans le répertoire
       standard des certificats OpenSSL.

       Si la première vérification échoue, alors le processus de vérification OCSP s'arrête avec
       une erreur.

       Sinon, le certificat d'autorité de certification émettrice dans la demande est comparé au
       certificat de répondeur OCSP : en cas de correspondance, la vérification OCSP réussit.

       Sinon, le certificat d’autorité du répondeur OCSP est comparé au certificat d’autorité
       émis dans la demande. En cas de correspondance, et que l’utilisation de clef étendue
       OCSPSigning est présente dans le certificat de répondeur OCSP, la vérification OCSP
       réussit.

       Sinon, si -no_explicit n’est pas défini, la confiance de l’autorité de certification
       racine des autorités de certification des répondeurs OCSP est vérifiée pour la signature
       OCSP. Si c’est le cas, la vérification OCSP réussit.

       Si aucune de ces vérifications ne réussit, la vérification OCSP échoue.

       Ce que cela signifie effectivement est que si le certificat du répondeur OCSP est autorisé
       directement par l’autorité de certificat à propos de laquelle il publie des informations
       de révocations (et qu’il est correctement configuré), alors la vérification réussira.

       Si le répondeur OCSP est un « répondeur global » qui peut donner des précisions sur
       plusieurs autorités de certification et possède sa propre chaîne de certificats distincte,
       alors son autorité de certification racine peut être de confiance pour la signature OCSP.
       Par exemple :

        openssl x509 -in CAocsp.pem -addtrust OCSPSigning -out CAconfiance.pem

       Alternativement, le certificat de répondeur lui-même peut être approuvé explicitement avec
       l'option -VAfile.

NOTES

       Comme indiqué précédemment, la plupart des options de vérification sont à des fins de test
       ou de débogage. Normalement, seules les options -CApath, -CAfile et (si le répondeur est
       un « VA global ») -VAfile doivent être utilisées.

       Le serveur OCSP n'est utile qu’à des fins de test et de démonstration : il n'est pas
       vraiment utilisable comme un répondeur OCSP complet. Il ne contient qu'une gestion très
       basique de la requête HTTP et ne peut que gérer la forme POST des requêtes OCSP. Il gère
       également les demandes en série, il ne peut donc pas répondre à de nouvelles demandes
       avant d’avoir traité l’actuelle. Le format de fichier texte d'index de la révocation est
       également inefficace pour de grandes quantités de données de révocations.

       L’application ocsp peut être exécutée en mode répondeur à l’aide d’un script CGI en
       utilisant les options -respin et -respout.

EXEMPLES

       Créer une demande OCSP et écrire dans un fichier :

        openssl ocsp -issuer émetteur.pem -cert c1.pem -cert c2.pem \
               -reqout dem.der

       Envoyer une requête à un répondeur OCSP avec l'URL http://ocsp.example.com/, sauvegarder
       la réponse dans un fichier et l’afficher au format texte :

        openssl ocsp -issuer émetteur.pem -cert c1.pem -cert c2.pem \
            -url http://ocsp.example.com/ -resp_text -respout rep.der

       Lire une réponse OCSP et l’afficher au format texte :

        openssl ocsp -respin rep.der -text

       Serveur OCSP sur le port 8888 utilisant une configuration ca standard et un certificat de
       répondeur séparé. Toutes les demandes et les réponses sont envoyées dans un fichier :

        openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem \
               -CA demoCA/cacert.pem -text -out log.txt

       Comme ci-dessus mais en se terminant après traitement d'une demande :

        openssl ocsp -index demoCA/index.txt -port 8888 -rsigner rcert.pem \
               -CA demoCA/cacert.pem -nrequest 1

       Demander des informations d'état en utilisant une demande générée en interne :

        openssl ocsp -index demoCA/index.txt -rsigner rcert.pem \
               -CA demoCA/cacert.pem -issuer demoCA/cacert.pem -serial 1

       Demander des informations d’état en utilisant une demande lue dans un fichier, écrire la
       réponse dans un second fichier.

        openssl ocsp -index demoCA/index.txt -rsigner rcert.pem -CA demoCA/cacert.pem
            -reqin req.der -respout resp.der

HISTORIQUE

       L'option -no_alt_chains a été ajoutée dans la version 1.0.2b d'OpenSSL.

TRADUCTION

       La traduction de cette page de manuel est maintenue par les membres de la liste
       <debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler toute erreur de
       traduction par un rapport de bogue sur le paquet manpages-fr-extra.