Provided by: manpages-fr-extra_20140201_all bug

NOM

       CA.pl - Interface plus ergonomique pour les programmes de certificats d'OpenSSL

SYNOPSIS

       CA.pl [-?] [-h] [-help] [-newcert] [-newreq] [-newreq-nodes] [-newca] [-xsign] [-sign]
       [-signreq] [-signcert] [-verify] [fichiers]

DESCRIPTION

       Le script Perl CA.pl fournit les paramètres à la commande openssl pour les opérations les
       plus courantes sur les certificats. Son but est de simplifier le processus de création et
       la gestion de certificats en employant des options simples.

OPTIONS DE LA COMMANDE

       ?, -h, -help
           Afficher un descriptif d'utilisation.

       -newcert
           Créer un nouveau certificat autosigné. La clef privée est écrite dans le fichier
           « newkey.pem » et la demande dans le fichier « newreq.pem ».

       -newreq
           Créer un nouveau certificat. La clef privée est écrite dans le fichier « newkey.pem »
           et la demande dans le fichier « newreq.pem ».

       -newreq-nodes
           Identique à -newreq, sauf que la clef privée ne sera pas chiffrée.

       -newca
           Créer une nouvelle hiérarchie d'autorité de certification à utiliser avec le programme
           ca (ou les options -signcert et -xsign). L'utilisateur devra saisir le nom de fichier
           des certificats de l'autorité de certification (qui est censé contenir également la
           clef privée) ou, en appuyant sur Entrée, des précisions sur l'autorité de
           certification seront demandées. Les fichiers et répertoires correspondants seront
           créés dans un son répertoire nommé « demoCA » dans le répertoire actuel.

       -pkcs12
           Créer un fichier PKCS#12 contenant le certificat utilisateur, la clef privée et le
           certificat de l'autorité de certification. Le programme s'attend à trouver le
           certificat utilisateur et la clef privée dans le fichier « newcert.pem » et le
           certificat de l'autorité de certification dans le fichier demoCA/cacert.pem, puis crée
           un fichier « newcert.p12 ». Cette commande peut ainsi être appelée après l'option
           -sign. Le fichier PKCS#12 peut être directement importé dans un navigateur. Un
           argument supplémentaire à la ligne de commande sera le nom courant du certificat
           (celui typiquement affiché dans la fenêtre des certificats du navigateur), sinon le
           nom par défaut sera « My Certificate ».

       -sign, -signreq, -xsign
           Appeler le programme ca pour signer une demande de certificat. Il s'attend à trouver
           la demande dans le fichier « newreq.pem ». Le nouveau certificat est écrit dans le
           fichier « newcert.pem » sauf avec l'option -xsign, auquel cas il est envoyé vers la
           sortie standard.

       -signCA
           Cette option est identique à -signreq, sauf que la section v3_ca du fichier de
           configuration est utilisée, ce qui fait de la demande signée un certificat d'autorité
           de certification valable. C'est utile pour créer des autorités de certification
           intermédiaires à partir d'une autorité de certification racine.

       -signcert
           Identique à -sign à la différence qu'un certificat autosigné est attendu dans le
           fichier « newreq.pem ».

       -verify
           Vérifier le certificat avec le certificat de l'autorité de certification « demoCA ».
           Si aucun certificat n'est indiqué sur la ligne de commande, le fichier « newcert.pem »
           est vérifié.

       fichiers
           Un ou plusieurs noms de fichier de certificat à utiliser avec l'option -verify.

EXEMPLES

       Création d'une hiérarchie d'autorité de certification :

        CA.pl -newca

       Exemple complet de création d'un certificat : créer une autorité de certification, créer
       une demande, signer la demande et finalement créer un fichier PKCS#12 pour contenir le
       certificat.

        CA.pl -newca
        CA.pl -newreq
        CA.pl -signreq
        CA.pl -pkcs12 "Mon certificat de test"

CERTIFICATS DSA

       Même si CA.pl crée des autorités de certification et demandes au format RSA, il est
       toujours possible de l'utiliser avec des certificats et demandes au format DSA en
       utilisant la commande req(1) directement. L'exemple suivant montre les manipulations
       typiques.

       Créer les paramètres DSA :

        openssl dsaparam -out dsap.pem 1024

       Créer un certificat d'autorité de certification DSA avec sa clef privée :

        openssl req -x509 -newkey dsa:dsap.pem -keyout cacert.pem -out cacert.pem

       Créer les fichiers et répertoires de l'autorité de certification :

        CA.pl -newca

       Saisir cacert.pem lors de la demande du nom de fichier d'autorité de certification.

       Créer une demande de certificat DSA et sa clef privée (un autre jeu de paramètres peut
       être généré auparavant) :

        openssl req -out newreq.pem -newkey dsa:dsap.pem

       Signer la demande :

        CA.pl -signreq

NOTES

       La plupart des noms de fichiers cités peuvent être modifiés en éditant le script CA.pl.

       Si le répertoire demoCA existe déjà, la commande -newca ne l'écrasera pas et n'effectuera
       aucune action. Cela peut arriver lors d'un arrêt inopportun d'un appel précédent avec
       l'option -newca. Pour retrouver le comportement correct il faut supprimer le répertoire
       demoCA.

       Dans certains environnements, il peut être impossible d'exécuter le script CA.pl
       directement (par exemple sous Win32) et l'emplacement par défaut du fichier de
       configuration peut être erroné. Dans ce cas, la commande :

        perl -S CA.pl

       peut être lancée (NdT : dans le répertoire où se trouve le script CA.pl) et la variable
       d'environnement OPENSSL_CONF est modifiée pour indiquer le chemin correct vers le fichier
       de configuration « openssl.conf ».

       Le script simplifie l'utilisation du programme openssl aux débutants. Son comportement
       n'est pas toujours celui voulu. Pour plus de contrôle sur le comportement des commandes de
       certificats, appeler la commande openssl directement.

VARIABLES D'ENVIRONNEMENT

       La variable OPENSSL_CONF, si elle est définie, permet d'indiquer l'emplacement d'un
       fichier de configuration alternatif. Elle doit contenir le chemin complet avec le nom du
       fichier, pas seulement son répertoire.

VOIR AUSSI

       x509(1), ca(1), req(1), pkcs12(1), config(5)

TRADUCTION

       Cette page de manuel a été traduite par stolck en 2002 et est maintenue par la liste
       <debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler toute erreur de
       traduction par un rapport de bogue sur le paquet manpages-fr-extra.