table of contents
| CA.PL(1SSL) | OpenSSL | CA.PL(1SSL) |
NOM¶
CA.pl – Interface plus ergonomique pour les programmes de certificats d'OpenSSL
SYNOPSIS¶
CA.pl -? | -h | -help
CA.pl -newcert | -newreq | -newreq-nodes | -xsign | -sign | -signCA | -signcert | -crl | -newca [-extra-cmd paramètre]
CA.pl -pkcs12 [nomcertif]
CA.pl -verify fichiercertif ...
CA.pl -revoke fichiercertif [raison]
DESCRIPTION¶
Le script Perl CA.pl fournit les paramètres à la commande openssl(1) pour les opérations les plus courantes sur les certificats. Son but est de simplifier le processus de création et la gestion de certificats en employant des options simples.
Le script simplifie l'utilisation du programme openssl(1) par les débutants. Son comportement n'est pas toujours celui voulu. Pour plus de contrôle sur le comportement des commandes de certificats, appeler la commande openssl(1) directement.
La plupart des noms de fichiers cités peuvent être modifiés en éditant le script CA.pl.
Dans certains environnements, il peut être impossible d'exécuter le script CA.pl directement (par exemple sous Win32) et l'emplacement par défaut du fichier de configuration peut être erroné. Dans ce cas, la commande :
perl -S CA.pl
peut être lancée (NdT : dans le répertoire où se trouve le script CA.pl) et la variable d'environnement OPENSSL_CONF peut être définie pour indiquer le chemin correct vers le fichier de configuration.
OPTIONS¶
- -?, -h, -help
- Afficher un message d'utilisation.
- -newcert
- Créer un nouveau certificat autosigné. La clef privée est écrite dans le fichier newkey.pem et la demande dans le fichier newreq.pem. Invoque openssl-req(1).
- -newreq
- Créer une nouvelle demande de certificat. La clef privée est écrite dans le fichier newkey.pem et la demande dans le fichier newreq.pem. Exécute openssl-req(1) sous le capot.
- -newreq-nodes
- Identique à -newreq, sauf que la clef privée ne sera pas chiffrée. Utilise openssl-req(1).
- -newca
- Créer une nouvelle hiérarchie d'autorités de
certification à utiliser avec le programme ca (ou les
options -signcert et -xsign). L'utilisateur devra saisir le
nom de fichier des certificats d'autorité de certification (qui est
censé contenir également la clef privée) ou, en
appuyant sur Entrée, des précisions sur l'autorité de
certification seront demandées. Les fichiers et répertoires
correspondants seront créés dans un répertoire
nommé demoCA dans le répertoire actuel. Utilise
openssl-req(1) et openssl-ca(1).
Si le répertoire demoCA existe déjà, la commande -newca ne l'écrasera pas et n'effectuera aucune action. Cela peut arriver lors d'un arrêt inopportun d'un appel précédent avec l'option -newca. Pour retrouver le comportement correct il faut supprimer le répertoire s'il existe déjà.
- -pkcs12
- Créer un fichier PKCS#12 contenant le certificat utilisateur, la clef privée et le certificat de l'autorité de certification. Le programme s'attend à trouver le certificat utilisateur et la clef privée dans le fichier newcert.pem et le certificat de l'autorité de certification dans le fichier demoCA/cacert.pem, puis il crée un fichier newcert.p12. Cette commande peut ainsi être appelée après l'option -sign. Le fichier PKCS#12 peut être directement importé dans un navigateur. S'il y a un argument supplémentaire sur la ligne de commande, il sera utilisé comme nom convivial du certificat (typiquement celui affiché dans la fenêtre des certificats du navigateur), sinon le nom par défaut sera « My Certificate ». Délègue le travail à openssl-pkcs12(1).
- -sign, -signcert, -xsign
- Appeler la commande openssl-ca(1) pour signer une demande de certificat. Ces options s'attendent à trouver la demande dans le fichier newreq.pem. Le nouveau certificat est écrit dans le fichier newcert.pem sauf avec l'option -xsign, auquel cas il est envoyé vers la sortie standard.
- -signCA
- Cette option est identique à -sign, sauf que la section v3_ca du fichier de configuration est utilisée, ce qui fait de la demande signée un certificat d'autorité de certification valable. C'est utile pour créer des autorités de certification intermédiaires à partir d'une autorité de certification racine. Des paramètres supplémentaires sont passés à openssl-ca(1).
- -signcert
- Identique à -sign à la différence qu'un certificat autosigné est attendu dans le fichier newreq.pem. Des paramètres supplémentaires sont passés à openssl-x509(1) et openssl-ca(1).
- -crl
- Générer une liste de certificats révoqués (CRL). Exécute openssl-ca(1).
- -revoke fichiercertif [raison]
- Révoquer le certificat contenu dans le fichiercertif spécifié. Une raison facultative peut être spécifiée et doit être une de celles-ci : unspecified (« non précisé »), keyCompromise (« clef compromise »), CACompromise (« autorité de certification compromise »), affiliationChanged (« changement d'affiliation »), superseded (« remplacé »), cessationOfOperation (« cessation d'activité »), certificateHold (« certificat suspendu ») ou removeFromCRL (« retiré de la liste de révocations de certificat »). Exploite openssl-ca(1).
- -verify
- Vérifier les certificats avec le certificat de l'autorité de certification pour demoCA. Si aucun certificat n'est indiqué sur la ligne de commande, le fichier newcert.pem est vérifié. Invoque openssl-verify(1).
- -extra-cmd paramètre
- Pour chaque option extra-cmd, passer le paramètre à la sous-commande d'openssl(1) du même nom que cmd si cette sous-commande est invoquée. Par exemple, si openssl-req(1) est invoqué, le paramètre donné avec -extra-req lui sera passé. Pour des paramètres comportant plusieurs mots, répétez l'option ou mettez les paramètres entre guillemets afin que l'interpréteur de commande les considère comme un seul mot. Consultez la documentation de chaque commande pour davantage d'informations.
EXEMPLES¶
Création d'une hiérarchie d'autorités de certification :
CA.pl -newca
Exemple complet de création d'un certificat : créer une autorité de certification, créer une demande, signer la demande et finalement créer un fichier PKCS#12 pour contenir le certificat.
CA.pl -newca CA.pl -newreq CA.pl -sign CA.pl -pkcs12 "Mon certificat de test"
ENVIRONNEMENT¶
La variable d'environnement OPENSSL peut être utilisée pour spécifier le nom du programme OpenSSL. Ce peut être un nom de chemin complet ou un chemin relatif.
La variable d'environnement OPENSSL_CONFIG peut être utilisée pour spécifier une option de configuration et la valeur des commandes req et ca invoquées par ce script. Sa valeur doit être l'option et le nom du chemin comme dans "-config /chemin/vers/fichier-conf".
VOIR AUSSI¶
openssl(1), openssl-x509(1), openssl-ca(1), openssl-req(1), openssl-pkcs12(1), config(5)
COPYRIGHT¶
Copyright 2000-2025 Les auteurs du projet OpenSSL. Tous droits réservés.
Sous licence Apache 2.0 (la « Licence »). Vous ne pouvez utiliser ce fichier que conformément à la Licence. Vous trouverez une copie dans le fichier LICENSE de la distribution du source ou à l'adresse <https://www.openssl.org/source/license.html>.
TRADUCTION¶
La traduction française de cette page de manuel a été créée par stolck, Nicolas François <nicolas.francois@centraliens.net>, David Prévot <david@tilapin.org> et Jean-Pierre Giraud <jean-pierregiraud@neuf.fr>
Cette traduction est une documentation libre ; veuillez vous reporter à la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.
Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à debian-l10n-french@lists.debian.org.
| 30 septembre 2025 | 3.5.4 |