CA.PL(1ssl) OpenSSL CA.PL(1ssl) NOM CA.pl - Interface plus ergonomique pour les programmes de certificats d'OpenSSL SYNOPSIS CA.pl -? | -h | -help CA.pl -newcert | -newreq | -newreq-nodes | -xsign | -sign | -signCA | -signcert | -crl | -newca [-extra-cmd parametre] CA.pl -pkcs12 [nomcertif] CA.pl -verify fichiercertif ... CA.pl -revoke fichiercertif [raison] DESCRIPTION Le script Perl CA.pl fournit les parametres a la commande openssl(1) pour les operations les plus courantes sur les certificats. Son but est de simplifier le processus de creation et la gestion de certificats en employant des options simples. Le script simplifie l'utilisation du programme openssl(1) par les debutants. Son comportement n'est pas toujours celui voulu. Pour plus de controle sur le comportement des commandes de certificats, appeler la commande openssl(1) directement. La plupart des noms de fichiers cites peuvent etre modifies en editant le script CA.pl. Dans certains environnements, il peut etre impossible d'executer le script CA.pl directement (par exemple sous Win32) et l'emplacement par defaut du fichier de configuration peut etre errone. Dans ce cas, la commande : perl -S CA.pl peut etre lancee (NdT : dans le repertoire ou se trouve le script CA.pl) et la variable d'environnement OPENSSL_CONF peut etre definie pour indiquer le chemin correct vers le fichier de configuration. OPTIONS -?, -h, -help Afficher un message d'utilisation. -newcert Creer un nouveau certificat autosigne. La clef privee est ecrite dans le fichier newkey.pem et la demande dans le fichier newreq.pem. Invoque openssl-req(1). -newreq Creer une nouvelle demande de certificat. La clef privee est ecrite dans le fichier newkey.pem et la demande dans le fichier newreq.pem. Execute openssl-req(1) sous le capot. -newreq-nodes Identique a -newreq, sauf que la clef privee ne sera pas chiffree. Utilise openssl-req(1). -newca Creer une nouvelle hierarchie d'autorites de certification a utiliser avec le programme ca (ou les options -signcert et -xsign). L'utilisateur devra saisir le nom de fichier des certificats d'autorite de certification (qui est cense contenir egalement la clef privee) ou, en appuyant sur Entree, des precisions sur l'autorite de certification seront demandees. Les fichiers et repertoires correspondants seront crees dans un repertoire nomme demoCA dans le repertoire actuel. Utilise openssl-req(1) et openssl-ca(1). Si le repertoire demoCA existe deja, la commande -newca ne l'ecrasera pas et n'effectuera aucune action. Cela peut arriver lors d'un arret inopportun d'un appel precedent avec l'option -newca. Pour retrouver le comportement correct il faut supprimer le repertoire s'il existe deja. -pkcs12 Creer un fichier PKCS#12 contenant le certificat utilisateur, la clef privee et le certificat de l'autorite de certification. Le programme s'attend a trouver le certificat utilisateur et la clef privee dans le fichier newcert.pem et le certificat de l'autorite de certification dans le fichier demoCA/cacert.pem, puis il cree un fichier newcert.p12. Cette commande peut ainsi etre appelee apres l'option -sign. Le fichier PKCS#12 peut etre directement importe dans un navigateur. S'il y a un argument supplementaire sur la ligne de commande, il sera utilise comme nom convivial du certificat (typiquement celui affiche dans la fenetre des certificats du navigateur), sinon le nom par defaut sera << My Certificate >>. Delegue le travail a openssl-pkcs12(1). -sign, -signcert, -xsign Appeler la commande openssl-ca(1) pour signer une demande de certificat. Ces options s'attendent a trouver la demande dans le fichier newreq.pem. Le nouveau certificat est ecrit dans le fichier newcert.pem sauf avec l'option -xsign, auquel cas il est envoye vers la sortie standard. -signCA Cette option est identique a -sign, sauf que la section v3_ca du fichier de configuration est utilisee, ce qui fait de la demande signee un certificat d'autorite de certification valable. C'est utile pour creer des autorites de certification intermediaires a partir d'une autorite de certification racine. Des parametres supplementaires sont passes a openssl-ca(1). -signcert Identique a -sign a la difference qu'un certificat autosigne est attendu dans le fichier newreq.pem. Des parametres supplementaires sont passes a openssl-x509(1) et openssl-ca(1). -crl Generer une liste de certificats revoques (CRL). Execute openssl-ca(1). -revoke fichiercertif [raison] Revoquer le certificat contenu dans le fichiercertif specifie. Une raison facultative peut etre specifiee et doit etre une de celles-ci : unspecified (<< non precise >>), keyCompromise (<< clef compromise >>), CACompromise (<< autorite de certification compromise >>), affiliationChanged (<< changement d'affiliation >>), superseded (<< remplace >>), cessationOfOperation (<< cessation d'activite >>), certificateHold (<< certificat suspendu >>) ou removeFromCRL (<< retire de la liste de revocations de certificat >>). Exploite openssl-ca(1). -verify Verifier les certificats avec le certificat de l'autorite de certification pour demoCA. Si aucun certificat n'est indique sur la ligne de commande, le fichier newcert.pem est verifie. Invoque openssl-verify(1). -extra-cmd parametre Pour chaque option extra-cmd, passer le parametre a la sous-commande d'openssl(1) du meme nom que cmd si cette sous-commande est invoquee. Par exemple, si openssl-req(1) est invoque, le parametre donne avec -extra-req lui sera passe. Pour des parametres comportant plusieurs mots, repetez l'option ou mettez les parametres entre guillemets afin que l'interpreteur de commande les considere comme un seul mot. Consultez la documentation de chaque commande pour davantage d'informations. EXEMPLES Creation d'une hierarchie d'autorites de certification : CA.pl -newca Exemple complet de creation d'un certificat : creer une autorite de certification, creer une demande, signer la demande et finalement creer un fichier PKCS#12 pour contenir le certificat. CA.pl -newca CA.pl -newreq CA.pl -sign CA.pl -pkcs12 "Mon certificat de test" ENVIRONNEMENT La variable d'environnement OPENSSL peut etre utilisee pour specifier le nom du programme OpenSSL. Ce peut etre un nom de chemin complet ou un chemin relatif. La variable d'environnement OPENSSL_CONFIG peut etre utilisee pour specifier une option de configuration et la valeur des commandes req et ca invoquees par ce script. Sa valeur doit etre l'option et le nom du chemin comme dans "-config /chemin/vers/fichier-conf". VOIR AUSSI openssl(1), openssl-x509(1), openssl-ca(1), openssl-req(1), openssl-pkcs12(1), config(5) COPYRIGHT Copyright 2000-2025 Les auteurs du projet OpenSSL. Tous droits reserves. Sous licence Apache 2.0 (la << Licence >>). Vous ne pouvez utiliser ce fichier que conformement a la Licence. Vous trouverez une copie dans le fichier LICENSE de la distribution du source ou a l'adresse . TRADUCTION La traduction francaise de cette page de manuel a ete creee par stolck, Nicolas Francois , David Prevot et Jean-Pierre Giraud Cette traduction est une documentation libre ; veuillez vous reporter a la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITE LEGALE. Si vous decouvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message a . 3.6.1 27 janvier 2026 CA.PL(1ssl)