Editer un article - Informaticien.be

Editer un article

Titre
Mots Clés
Texte	.rn '' }` ''' $RCSfile$$Revision$$Date$ ''' ''' $Log$ ''' .de Sh [b][/b] .if t .Sp .ne 5 [b][/b]$1 .. .de Sp .if t .5v .if n .. .de Ip [b][/b] .ie (.$>=3 .ne $3 .el .ne 3 [/col][/row][/table] .UC .if n .hy 0 .if n .na .ds C+ Cv'-.1v'h'-1p's-2+h'-1p'+s0v'.1v'h'-1p' .de CQ " put $1 in typewriter font .ft CW 'if n "c 'if t &$1c 'if n &$1c 'if n &" &$2 $3 $4 $5 $6 $7 '.ft R .. . " AM - accent mark definitions .bd B 3 . " fudge factors for nroff and troff .if n { . ds #H 0 . ds #V .8m . ds #F .3m . ds #[ f1 . ds #] .if t { . ds #H ((1u-(\n(.fu%2u)).13m) . ds #V .6m . ds #F 0 . ds #[ & . ds #] & . " simple accents for nroff and troff .if n { . ds ' & . ds ` & . ds ^ & . ds , & . ds ~ ~ . ds ? ? . ds ! ! . ds / . ds q .if t { . ds ' k:h'-( (.wu8/10-(#H)''h"\| :u" . ds ` k:h'-( (.wu8/10-(#H)'`h'\| :u' . ds ^ k:h'-( (.wu10/11-(#H)'^h'\| :u' . ds , k:h'-( (.wu8/10)',h'\| :u' . ds ~ k:h'-( (.wu-(#H-.1m)'~h'\| :u' . ds ? s-2ch'-w'c'u7/10'uh'(#H'zids+2h'w'c'u8/10' . ds ! s-2(ors+2h'-w'(or'u'v'-.8m'.v'.8m' . ds / k:h'-( (.wu8/10-(#H)'z(slh'\| :u' . ds q oh'-w'o'u8/10's-4v'.4m'z(iv'-.4m's+4h'w'o'u8/10' . " troff and (daisy-wheel) nroff accents .ds : k:h'-( (.wu8/10-(#H+.1m+(#F)'v'-(#V'z.h'.2m+(#F'.h'\| :u'v'(#V' .ds 8 h'(#H'(bh'-(#H' .ds v k:h'-( (.wu9/10-(#H)'v'-(#V'(#[s-4vs0v'(#V'h'\| :u'(#] .ds _ k:h'-( (.wu9/10-(#H+((#F2/3))'v'-.4m'z(hyv'.4m'h'\| :u' .ds . k:h'-( (.wu8/10)'v'(#V4/10'z.v'-(#V4/10'h'\| :u' .ds 3 (#[v'.2m's-2&3s0v'-.2m'(#] .ds o k:h'-( (.wu+w'(de'u-(#H)/2u'v'-.3n'(#[z(dev'.3n'h'\| :u'(#] .ds d- h'(#H'(pdh'-w'~'u'v'-.25m'f2(hyv'.25m'h'-(#H' .ds D- Dk:h'-w'D'u'v'-.11m'z(hyv'.11m'h'\| :u' .ds th (#[v'.3m's+1Is-1v'-.3m'h'-(w'I'u2/3)'s-1os+1(#] .ds Th (#[s+2Is-2h'-w'I'u3/5'v'-.3m'ov'.3m'(#] .ds ae ah'-(w'a'u4/10)'e .ds Ae Ah'-(w'A'u4/10)'E .ds oe oh'-(w'o'u4/10)'e .ds Oe Oh'-(w'O'u4/10)'E . " corrections for vroff .if v .ds ~ k:h'-( (.wu9/10-(#H)'s-2u~ds+2h'\| :u' .if v .ds ^ k:h'-( (.wu10/11-(#H)'v'-.4m'^v'.4m'h'\| :u' . " for low resolution devices (crt and lpr) .if n(.H>23 .if n(.V>19 { . ds : e . ds 8 ss . ds v h'-1'o'(aa(ga' . ds _ h'-1'^ . ds . h'-1'. . ds 3 3 . ds o a . ds d- dh'-1'(ga . ds D- Dh'-1'(hy . ds th o'bp' . ds Th o'LP' . ds ae ae . ds Ae AE . ds oe oe . ds Oe OE .rm #[ #] #H #V #F C [size=18] [b]Nom[/b] [/size] req - utilitaire de certificats et de génération de certificats PKCS#10. [size=18] [b]Résumé[/b] [/size] [b]openssl[/b] [b]req[/b] [[b][/b]-inform PEM\|DER] [[b][/b]-outform PEM\|DER] [[b][/b]-in nomfichier] [[b][/b]-passin arg] [[b][/b]-out nomfichier] [[b][/b]-passout arg] [[b][/b]-text] [[b][/b]-noout] [[b][/b]-verify] [[b][/b]-modulus] [[b][/b]-new] [[b][/b]-rand fichier(s)] [[b][/b]-newkey rsa:octets] [[b][/b]-newkey dsa:fichier] [[b][/b]-nodes] [[b][/b]-key nomfichier] [[b][/b]-keyform PEM\|DER] [[b][/b]-keyout nomfichier] [[b][/b]-[md5\|sha1\|md2\|mdc2]] [[b][/b]-config nomfichier] [[b][/b]-x509] [[b][/b]-days n] [[b][/b]-asn1-kludge] [[b][/b]-newhdr] [[b][/b]-extensions section] [[b][/b]-reqexts section] [size=18] [b]Description[/b] [/size] La commande [b]req[/b] crée et traite des demandes de certificats au format PKCS#10. En plus, elle peut créer des certificats autosignés servant comme CAs racine par exemple. [size=18] [b]Options[/b] [/size] "[b][/b]-inform s-1DERs0\|s-1PEMs0" 4 [table][row][col]    [/col][col]Ceci spécifie le format d'entrée. L'option [b][/b]s-1DERs0 utilise une version encodée [b][/b]s-1DERs0 d'[b][/b]s-1ASN1s0 compatible avec le [b][/b]s-1PKCSs0#10. La forme [b][/b]s-1PEMs0 est le format par défaut : il s'agit du format [b][/b]s-1DERs0 encodée base 64 avec des lignes de pied de page et d'en-tête supplémentaires.[/col][/row][/table] "[b][/b]-outform s-1DERs0\|s-1PEMs0" 4 [table][row][col]    [/col][col]Ceci spécifie le format de sortie, les options étant semblables à celles de l'option [b][/b]-inform.[/col][/row][/table] "[b][/b]-in nomfichier" 4 [table][row][col]    [/col][col]Ceci spécifie le nom du fichier d'entrée à partir duquel la demande est lue ou l'entrée standard par défaut si cette option n'est pas spécifiée. Une demande est uniquement lue si les options de création ([b][/b]-new et [b][/b]-newkey) ne sont pas spécifiées.[/col][/row][/table] "[b][/b]-passin arg" 4 [table][row][col]    [/col][col]La source de mot de passe d'entrée. Pour plus d'informations concernant le format de l'[b]arg[/b], référez-vous à la section [b][/b]s-1ARGUMENTSs0 s-1DEs0 s-1MOTs0 s-1DEs0 s-1PASSEs0 d'openssl (1).[/col][/row][/table] "[b][/b]-out nomfichier" 4 [table][row][col]    [/col][col]Ceci spécifie le nom de fichier de sortie ou la sortie standard par défaut.[/col][/row][/table] "[b][/b]-passout arg" 4 [table][row][col]    [/col][col]La source de mot de passe pour le fichier de sortie. Pour plus d'informations concernant le format de l'[b]arg[/b], référez-vous à la section [b][/b]s-1ARGUMENTSs0 s-1DEs0 s-1MOTs0 s-1DEs0 s-1PASSEs0 d'openssl (1).[/col][/row][/table] "[b][/b]-text" 4 [table][row][col]    [/col][col]Affiche la demande de certificat en plein texte.[/col][/row][/table] "[b][/b]-noout" 4 [table][row][col]    [/col][col]Cette option empêche la sortie de la version encodée de la demande.[/col][/row][/table] "[b][/b]-modulus" 4 [table][row][col]    [/col][col]Cette option affiche la valeur du modulo de la clé publique contenue dans la demande.[/col][/row][/table] "[b][/b]-verify" 4 [table][row][col]    [/col][col]Vérifie la signature lors de la demande.[/col][/row][/table] "[b][/b]-new" 4 [table][row][col]    [/col][col]Cette option génère une nouvelle demande de certificats. Il sera demandé à l'utilisateur de fournir les valeurs de champs nécessaires. Ces champs demandés sont spécifiés ainsi que leur valeurs maximales et minimales sont spécifiées dans le fichier de configuration ainsi que dans les extensions. .Sp Si l'option [b][/b]-key n'est pas utilisée, une nouvelle clé privée s-1RSAs0 sera générée en utilisant l'information du fichier de configuration.[/col][/row][/table] "[b][/b]-rand fichier(s)" 4 [table][row][col]    [/col][col]Un ou plusieurs fichiers contenant des données aléatoires utilisées pour initialiser le générateur de nombres pseudo-aléatoire, ou un socket s-1EGDs0 (cf RAND_egd(3)). Plusieurs fichiers peuvent être spécifiés en utilisant un caractère séparateur dépendant du système d'exploitation : [b];[/b] pour s-1MSs0-Windows, [b],[/b] pour OpenVMS, et [b]:[/b] pour tous les autres.[/col][/row][/table] "[b][/b]-newkey arg" 4 [table][row][col]    [/col][col]Cette option crée une nouvelle demande de certificat et une nouvelle clé privée. L'argument est l'une des deux formes suivantes : [b]rsa:nombrebits[/b], où [b]nombrebits[/b] est le nombre de bits, génère une clé s-1RSAs0 de taille [b]nombrebits[/b], [b]dsa:nomfichier[/b] génère une clé s-1DSAs0 utilisant les paramètres de [b]nomfichier[/b][/col][/row][/table] "[b][/b]-key nomfichier" 4 [table][row][col]    [/col][col]Ceci spécifie le fichier de clé privée à lire. Des fichiers au format s-1PEMs0 contenant des clés privées s-1PKCSs0#8 sont également acceptés.[/col][/row][/table] "[b][/b]-keyform s-1PEMs0\|s-1DERs0" 4 [table][row][col]    [/col][col]Le format de la clé privée spécifiée avec l'option [b][/b]-key. s-1PEMs0 est le défaut.[/col][/row][/table] "[b][/b]-keyout nomfichier" 4 [table][row][col]    [/col][col]Ceci donne le nom de fichier où la clé privée créée sera écrite. Par défaut, le nom spécifié par le fichier de configuration est utilisé.[/col][/row][/table] "[b][/b]-nodes" 4 [table][row][col]    [/col][col]Avec cette option, si une clé privée est créée, elle ne sera pas encodée.[/col][/row][/table] "[b][/b]-[md5\|sha1\|md2\|mdc2]" 4 [table][row][col]    [/col][col]Ceci spécifie l'algorithme de signature à appliquer à la demande. Si présente, cette option prévaut à celle donnée dans le fichier de configuration. Les demandes s-1DSAs0 utilisent toujours s-1SHA1s0.[/col][/row][/table] "[b][/b]-config nomfichier" 4 [table][row][col]    [/col][col]Ceci permet d'utiliser un fichier de configuration alternatif, à la place de celui spécifié lors de la compilation ou avec la variable d'environnement [b][/b]s-1OPENSSL_CONFs0.[/col][/row][/table] "[b][/b]-x509" 4 [table][row][col]    [/col][col]Cette option génère un certificat auto-signé à la place d'une demande de certificat. Elle est utilisé typiquement pour générer des certificats de test ou tout s-1CAs0 auto-signé racine. Les extensions à ajouter au certificat, s'il y en a, sont spécifiées dans le fichier de configuration.[/col][/row][/table] "[b][/b]-days n" 4 [table][row][col]    [/col][col]Lorsque l'option [b][/b]-x509 est utilisée, ceci spécifie le nombre de jours pour lequel le certificat sera certifié. La valeur par défaut est 30 jours.[/col][/row][/table] "[b][/b]-extensions section" 4[/col][/row][/table] "[b][/b]-reqexts section" 4 [table][row][col]    [/col][col]Ces options précisent des sections alternatives d'extension de certificat (si l'option [b][/b]-x509 est présente), ou de demandes de certificat à inclure. Ceci permet d'utiliser des sections différentes du même fichier de configuration servant à des propos variés.[/col][/row][/table] "[b][/b]-asn1-kludge" 4 [table][row][col]    [/col][col]Par défaut, la commande [b]req[/b] génère des demandes de certificats sans attributs dans un format s-1PKCSs0#10 valide. Toutefois, certains CA acceptent uniquement des demandes sans attributs sous une forme invalide qui est produite avec cette option. .Sp Plus précisément, les [b]Attributs[/b] d'une demande de certificat s-1PKCSs0#10 sont définies comme [b]Attributs[/b] s-1SETs0 s-1OFs0. Ils [b]ne[/b] sont pas s-1OPTIONALs0, ainsi, si aucun attribut n'est présent, une entrée [b][/b]s-1SETs0 s-1OFs0 devrait le signaler. La forme invalide n'inclut pas cette entrée alors que la forme valide le fait. .Sp Notons que très peu de CAs nécessitent encore l'usage de cette option.[/col][/row][/table] "[b][/b]-newhdr" 4 [table][row][col]    [/col][col]Ajoute le mot [b][/b]s-1NEWs0 aux lignes d'en-tête et de pied de page du fichier s-1PEMs0 du fichier de sortie. Certains logiciels (Netscape certificate server) et certains CAs ont besoin de ceci.[/col][/row][/table] [size=18] [b]Format du fichier de configuration[/b] [/size] Les options de configuration sont spécifiées dans la section [b]req[/b] du fichier de configuration. Comme avec tous les fichiers de configuration, si aucune valeur n'est donnée dans la section correspondante (p.e. [b]req[/b]), la section initiale ou la section par défaut est également parcourue. Les options disponibles sont décrites en détail ci-dessous. "[b]input_password[/b] output_password" 4 [table][row][col]    [/col][col]Les mots de passe pour le fichier de clé privée d'entrée (si présent) et pour le fichier de clé privée de sortie (si on en crée une). Les options de ligne de commande [b]passin[/b] et [b]passout[/b] remplacent les valeurs du fichier de configuration.[/col][/row][/table] "[b]default_bits[/b]" 4 [table][row][col]    [/col][col]Ceci spécifie la taille de clé par défaut en bits. Si elle n'est pas spécifiée, la valeur 512 est utilisée. Elle est utilisée lors de l'emploi de l'option [b][/b]-new. Elle peut être écrasée avec l'option [b][/b]-newkey.[/col][/row][/table] "[b]default_keyfile[/b]" 4 [table][row][col]    [/col][col]Ceci est le nom de fichier par défaut pour la clé privée. Si non spécifiée, la clé sera écrite vers la sortie standard. Ceci peut être remplacé par l'option [b][/b]-keyout.[/col][/row][/table] "[b]oid_file[/b]" 4 [table][row][col]    [/col][col]Ceci spécifie un fichier contenant des [b][/b]s-1IDENTIFIANTSs0 s-1D's0s-1OBJETs0 supplémentaires. Chaque ligne du fichier consiste en la forme numérique de l'identifiant d'objet, suivi d'une espace puis le libellé court, suivi d'une espace et finalement le libellé long.[/col][/row][/table] "[b]oid_section[/b]" 4 [table][row][col]    [/col][col]Ceci spécifie une section du fichier de configuration contenant des identifiants d'objet supplémentaires. Chaque ligne devrait comprendre le libellé court suivi d'un signe [b]=[/b] puis la forme numérique. Le libellé long est identique au libellé court avec cette option.[/col][/row][/table] "[b][/b]s-1RANDFILEs0" 4 [table][row][col]    [/col][col]Ceci spécifie le fichier où les informations de la racine des nombres aléatoires sont lues et écrites, ou un socket s-1EGDs0 (cf RAND_egd(3)). Elles sont utilisées pour la génération de clé privée.[/col][/row][/table] "[b]encrypt_key[/b]" 4 [table][row][col]    [/col][col]Si ceci vaut [b]no[/b], lors de la génération d'une clé privée, elle n'est pas encodée. Ceci équivaut à l'option [b][/b]-nodes de la ligne de commande. Pour assurer la compatibilité, [b]encrypt_rsa_key[/b] est une option équivalente.[/col][/row][/table] "[b]default_md[/b]" 4 [table][row][col]    [/col][col]Cette option spécifie l'algorithme de signature à employer. Les valeurs possibles comprennent [b]md5[/b] sha1 mdc2. Si cette option n'est pas présente, s-1MD5s0 est prise. Cette option peut être écrasée avec l'option correspondante de la ligne de commande.[/col][/row][/table] "[b]string_mask[/b]" 4 [table][row][col]    [/col][col]Cette option masque l'utilisation de certains types de chaîne de caractères dans certains champs. La plupart des utilisateurs n'auront pas besoin de modifier cette option. .Sp Elle peut se voir affecter diverses valeurs : [b]default[/b] qu'est la valeur par défaut qui utilise PrintableStrings, T61Strings et BMPStrings. Si la valeur [b]pkix[/b] est spécifiée, uniquement PrintableStrings et BMPStrings seront utilisés. Ceci suit la recommandation s-1PKIXs0 danss-1RFC2459s0. Si l'option [b]utf8only[/b] est employée, alors uniquement les UTF8Strings sont employés : ceci est la recommandation s-1PKIXs0 danss-1RFC2459s0 pour après 2003. Finalement l'option [b]nombstr[/b] utilise seulement PrintableStrings et T61Strings : certains logiciels ont des problèmes avec les BMPStrings et les UTF8Strings, en particulier Netscape.[/col][/row][/table] "[b]req_extensions[/b]" 4 [table][row][col]    [/col][col]Ceci spécifie la section du fichier de configuration contenant une liste d'extensions à ajouter à la demande de certificat. Elle peut être remplacé par l'option [b][/b]-reqexts de la ligne de commande.[/col][/row][/table] "[b]x509_extensions[/b]" 4 [table][row][col]    [/col][col]Ceci spécifie la section du fichier de configuration contenant une liste d'extensions à ajouter au certificat généré avec l'option [b][/b]-x509. Elle peut être remplacée par l'option [b][/b]-extensions de la ligne de commande.[/col][/row][/table] "[b]prompt[/b]" 4 [table][row][col]    [/col][col]Si ceci vaut [b]no[/b], aucun champ du certificat ne sera demandé à l'utilisateur et les valeurs du fichier de configuration sont prises d'office. Ceci change également le format attendu des sections [b]distinguished_name[/b] et [b]attributes[/b].[/col][/row][/table] "[b]attributes[/b]" 4 [table][row][col]    [/col][col]Ceci spécifie la section contenant les attributs pour les demandes : son format est identique à celui de la section [b]distinguished_name[/b]. Typiquement, ces attributs contiennent les types challengePassword et unstructuredName. Ils sont actuellement ignorés par les utilitaires de signature d'OpenSSL mais peuvent être requis par certains CAs.[/col][/row][/table] "[b]distinguished_name[/b]" 4 [table][row][col]    [/col][col]Ceci spécifie la section contenant les champs de nom distingué à demander lors d'une génération de certificat ou d'une demande de certificat. Le format est décrit dans la section suivante.[/col][/row][/table] [size=18] [b]Nom[/b] [/size] Il y a deux formats différents pour les sections de nom distingué et d'attribut. Lorsque l'option [b]prompt[/b] vaut [b]no[/b], alors ces sections contiennent uniquement les noms de champ et leurs valeurs : par exemple .Vb 3 & CN=Mon nom & OU=Mon organisation & emailAddress=quelquun@quelquepart.org .Ve Ceci permet aux programmes externes (p.ex. d'interfaçage graphique) de générer un fichier modèle à passer à [b]req[/b]. Un exemple de ce type de fichier de configuration se trouve dans la section [b]EXEMPLES[/b]. Dans l'absence de l'option [b]prompt[/b] ou si celle-ci ne vaut pas [b]no[/b], le fichier contient des informations pour la demande à l'invité de commandes. Ceci se présente sous la forme suivante : .Vb 4 & nomChamp="prompt" & nomChamp_default="Valeur du champ par défaut" & nomChamp_min= 2 & nomChamp_max= 4 .Ve (L"nomChamp(R" est le nom du champ à utiliser, par exemple commonName (ou CN, nom commun). La chaîne (L"prompt(R" est affichée lors de la demande à l'utilisateur. Si l'utilisateur ne saisit rien, alors la valeur par défaut, (L"nomChamp_default(R", est prise, si présente, ou alors le champs est omis. Un champ peut toujours être omis en saisissant uniquement le caractère (L'.(R'. Le nombre de caractères saisis doit être entre les limites de nomChamp_min et nomChamp_max : il peut y avoir d'autres contraintes basées sur le champ utilisé (par exemple, countryName doit toujours avoir une longueur de deux et doit entrer dans un PrintableString). Certains champs (comme organizationName) peuvent être utilisés plus d'une fois. Ceci pose problème car dans les fichiers de configuration, le même nom de champ ne sera pas pris en compte à deux reprises. Pour éviter ce problème, si le nomChamp contient des caractères suivi d'un point ((L'.(R'), ils seront ignorés. Ainsi, par exemple, une deuxième entrée pour organizationName peut être entrée en l'appelant (L"1.organizationName(R". Les noms de champ permis sont les libellés longs ou courts de tous les identifiants d'objet. Ceux-ci sont compilé avec OpenSSL et incluent les libellés longs usuels comme commonName, countryName, localityName, organizationName,organizationUnitName, stateOrPrivinceName. En plus, emailAddress est présent tout comme name, surname, givenName initials et dnQualifier. Des identifiants d'objet supplémentaires peuvent être définis dans un fichier ([b]oid_file[/b]) ou une section ([b]oid_section[/b]) dans le fichier de configuration. Tous les champs supplémentaires sont traités comme des DirectoryString. [size=18] [b]Exemples[/b] [/size] Examine et vérifie une demande de certificat: .Vb 1 & openssl req -in req.pem -text -verify -noout .Ve Crée une clé privée et génère la demande de certificat correspondante: .Vb 2 & openssl genrsa -out key.pem 1024 & openssl req -new -key key.pem -out req.pem .Ve La même chose en utilisant uniquement req .Vb 1 & openssl req -newkey rsa:1024 -keyout key.pem -out req.pem .Ve Générer un certificat auto-signé racine : .Vb 1 & openssl req -x509 -newkey rsa:1024 -keyout key.pem -out req.pem .Ve Exemple d'un fichier spécifié avec l'option [b]oid_file[/b] : .Vb 2 & 1.2.3.4 libelleCourt Un libellé long & 1.2.3.6 autreLibelle Un autre libellé long .Ve Exemple d'une section [b]oid_section[/b] utilisant l'expansion de variables : .Vb 2 & testoid1=1.2.3.5 & testoid2=${testoid1}.6 .Ve Fichier de configuration type demandant les valeur de champ : .Vb 6 & [ req ] & default_bits = 1024 & default_keyfile = privkey.pem & distinguished_name = req_distinguished_name & attributes = req_attributes & x509_extensions = v3_ca .Ve .Vb 1 & dirstring_type = nobmp .Ve .Vb 5 & [ req_distinguished_name ] & countryName = Nom du pays (code 2 lettres ) & countryName_default = FR & countryName_min = 2 & countryName_max = 2 .Ve .Vb 1 & localityName = Nom du lieu (par exemple, la ville) .Ve .Vb 1 & organizationalUnitName = Nom de l'unité dans l'organisation (par exemple, la section) .Ve .Vb 2 & commonName = Nom commun (par exemple, VOTRE nom) & commonName_max = 64 .Ve .Vb 2 & emailAddress = Adresse mél & emailAddress_max = 40 .Ve .Vb 4 & [ req_attributes ] & challengePassword = Un mot de passe & challengePassword_min = 4 & challengePassword_max = 20 .Ve .Vb 1 & [ v3_ca ] .Ve .Vb 3 & subjectKeyIdentifier=hash & authorityKeyIdentifier=keyid:always,issuer:always & basicConstraints = CA:true .Ve Configuration type contenant tous les champs : .Vb 1 & RANDFILE = $ENV::HOME/.rnd .Ve .Vb 7 & [ req ] & default_bits = 1024 & default_keyfile = fichiercle.pem & distinguished_name = req_noms_distingues & attributes = req_attributs & prompt = no & output_password = monpass .Ve .Vb 8 & [ req_noms_distingues ] & C = FR & ST = Département de test & L = Lieu de test & O = Nom organisation & OU = Nom de l'Unité & CN = Nom commun & emailAddress = test@email.address .Ve .Vb 2 & [ req_attributs ] & challengePassword = Un mot de passe .Ve [size=18] [b]Notes[/b] [/size] Les lignes d'en-tête et de pied de page au format [b]PEM[/b] sont normalement : .Vb 2 & -----BEGIN CERTIFICATE REQUEST---- & -----END CERTIFICATE REQUEST---- .Ve Certains logiciels (certaines versions de Netscape certificate server) nécessitent à la place : .Vb 2 & -----BEGIN NEW CERTIFICATE REQUEST---- & -----END NEW CERTIFICATE REQUEST---- .Ve qui est produit avec l'option [b][/b]-newhdr mais reste compatible autrement. À l'entrée, les deux versions sont acceptées de façon transparente. Les demandes de certificat générées par [b]Xenroll[/b] avec MSIE ont des extensions supplémentaires. Elles incluent une extension [b]keyUsage[/b] qui détermine le type de la clé (signature ou général) et tous les OIDs entrées par le script dans une extension extendedKeyUsage. [size=18] [b]Diagnostiques[/b] [/size] Les mesages suivants posent problème fréquemment : .Vb 2 & Using configuration from /some/path/openssl.cnf & Unable to load config info .Ve Ceci est suivi peu après par : .Vb 2 & unable to find 'distinguished_name' in config & problems making Certificate Request .Ve Le premier message explique le tout: le fichier de configuration est introuvable. Certaines opérations (telle que la vérification d'une demande de certificat) ne dépendent pas d'un fichier de configuration, alors son utilisation n'est pas renforcée. La génération de certificats ou de demandes, au contraire, nécessitent un fichier de configuration. Ceci peut être considéré comme un bogue. Un autre message portant à confusion est : .Vb 2 & Attributes: & a0:00 .Ve Ceci est affiché lorsqu'aucun attribut n'est présent et que la demande inclut la structure vide [b]SET[/b] OF correcte (dont l'encodage DER est 0xa0 0x00). Si vous voyez uniquement .Vb 1 & Attributes: .Ve alors le [b]SET[/b] OF manque et l'encodage ainsi invalide techniquement. Référez-vous à la description de l'option [b][/b]-asn1-kludge pour plus d'information. [size=18] [b]Variables denvironnement[/b] [/size] La variable [b]OPENSSL_CONF[/b] si définie permet un fichier de configuration alternatif. Il sera écrasé avec l'option [b][/b]-config de la ligne de commande si elle est présente. Pour des raison de compatibilité, la variable [b]SSLEAY_CONF[/b] sert à ce même propos bien que son utilisation soit déconseillé. [size=18] [b]Bugs[/b] [/size] La gestion des T61Strings (ou TeletexStrings) est cassée : ils sont traités effectivement comme ISO-8859-1 (Latin 1), Netscape et MSIE ont un comportement similaire. Ceci peut poser problème lorsque vous avez besoin de caractères qui ne sont pas disponibles dans les PrintableStrings et que vous ne voulez ou pouvez pas utiliser les BMPStrings. La conséquence de cette gestion de T61String est que la seule façon correcte de représenter des caractères accentués dans OpenSSL est d'utiliser un BMPString : malheureusement, Netscape ne les aime pas. Ainsi, pour utiliser les caractères accentués avec Netscape et MSIE, vous devrez utiliser le format invalide des T61Strings actuellement. La demande à l'invité n'est pas très présentable et peu fonctionnelle. Vous ne pouvez confirmer les saisies et les extensions doivent être définies de façon statique dans le fichier de configuration. Quelques-unes comme par exemple une adresse mél dans le subjectAltName devraient être données par l'utilisateur. [size=18] [b]Voir aussi[/b] [/size] x509(1), ca(1), genrsa(1), gendsa(1), config(5) .rn }` '' .IX Title "REQ 1" .IX Name "req - PKCS#10 certificate and certificate generating utility." .IX Header "NOM" .IX Header "SYNOPSIS" .IX Header "DESCRIPTION" .IX Header "OPTIONS DE LA COMMANDE" .IX Item "[b][/b]-inform s-1DERs0\|s-1PEMs0" .IX Item "[b][/b]-outform s-1DERs0\|s-1PEMs0" .IX Item "[b][/b]-in nomfichier" .IX Item "[b][/b]-passin arg" .IX Item "[b][/b]-out nomfichier" .IX Item "[b][/b]-passout arg" .IX Item "[b][/b]-text" .IX Item "[b][/b]-noout" .IX Item "[b][/b]-modulus" .IX Item "[b][/b]-verify" .IX Item "[b][/b]-new" .IX Item "[b][/b]-rand file(s)" .IX Item "[b][/b]-newkey arg" .IX Item "[b][/b]-key nomfichier" .IX Item "[b][/b]-keyform s-1PEMs0\|s-1DERs0" .IX Item "[b][/b]-keyout nomfichier" .IX Item "[b][/b]-nodes" .IX Item "[b][/b]-[md5\|sha1\|md2\|mdc2]" .IX Item "[b][/b]-config nomfichier" .IX Item "[b][/b]-x509" .IX Item "[b][/b]-days n" .IX Item "[b][/b]-extensions section" .IX Item "[b][/b]-reqexts section" .IX Item "[b][/b]-asn1-kludge" .IX Item "[b][/b]-newhdr" .IX Header "FORMAT DU FICHIER DE CONFIGURATION " .IX Item "[b]input_password[/b] output_password" .IX Item "[b]default_bits[/b]" .IX Item "[b]default_keyfile[/b]" .IX Item "[b]oid_file[/b]" .IX Item "[b]oid_section[/b]" .IX Item "[b][/b]s-1RANDFILEs0" .IX Item "[b]encrypt_key[/b]" .IX Item "[b]default_md[/b]" .IX Item "[b]string_mask[/b]" .IX Item "[b]req_extensions[/b]" .IX Item "[b]x509_extensions[/b]" .IX Item "[b]prompt[/b]" .IX Item "[b]attributes[/b]" .IX Item "[b]distinguished_name[/b]" .IX Header "FORMAT DES SECTIONS DE NOM DISTINGUÉ ET D'ATTRIBUT" .IX Header "EXEMPLES" .IX Header "NOTES" .IX Header "DIAGNOSTICS" .IX Header "VARIABLES D'ENVIRONNEMENT" .IX Header "BOGUES" .IX Header "VOIR AUSSI"
Fichier