.\" -*- coding: UTF-8 -*-
.de  Sp \" Vertical space (when we can't use .PP)
.if t .sp .5v
.if n .sp
..
.\" -*- mode: troff; coding: utf-8 -*-
.\" Automatically generated by Pod::Man v6.0.2 (Pod::Simple 3.45)
.\"
.\" Standard preamble:
.\" ========================================================================
.de  Vb \" Begin verbatim text
.ft CW
.nf
.ne \\$1
..
.de  Ve \" End verbatim text
.ft R
.fi
..
.ie  n \{\
.    ds C` ""
.    ds C' ""
'br\}
.el\{\
.    ds C`
.    ds C'
'br\}
.\" \*(C` and \*(C' are quotes in nroff, nothing in troff, for use with C<>.
.ie  \n(.g .ds Aq \(aq
.el       .ds Aq '
.\"
.\" Escape single quotes in literal strings from groff's Unicode transform.
.de  IX
..
.\"
.\" If the F register is >0, we'll generate index entries on stderr for
.\" titles (.TH), headers (.SH), subsections (.SS), items (.Ip), and index
.\" entries marked with X<> in POD.  Of course, you'll have to process the
.\" output yourself in some meaningful fashion.
.\"
.\" Avoid warning from groff about undefined register 'F'.
.nr rF 0
.if  \n(.g .if rF .nr rF 1
.if  (\n(rF:(\n(.g==0)) \{\
.    if \nF \{\
.        de IX
.        tm Index:\\$1\t\\n%\t"\\$2"
..
.        if !\nF==2 \{\
.            nr % 0
.            nr F 2
.        \}
.    \}
.\}
.rr rF
.if  n .ds AD l
.\"
.\" Required to disable full justification in groff 1.23.0.
.\" ========================================================================
.\"
.IX Title "OPENSSL\-SMIME 1ssl"
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.TH OPENSSL\-SMIME 1ssl "5 août 2025" 3.5.2 OpenSSL
.if  n .ad l
.\" For nroff, turn off justification.  Always turn off hyphenation; it makes
.\" way too many mistakes in technical documents.
.nh
.SH NOM
openssl\-smime \- S/MIME command
.SH SYNOPSIS
.IX Header SYNOPSIS
\&\fBopenssl\fP \fBsmime\fP [\fB\-help\fP] [\fB\-encrypt\fP] [\fB\-decrypt\fP] [\fB\-sign\fP]
[\fB\-resign\fP] [\fB\-verify\fP] [\fB\-pk7out\fP] [\fB\-binary\fP] [\fB\-crlfeol\fP]
[\fB\-\fP\f(BIcipher\fR] [\fB\-in\fP \fIfile\fP] [\fB\-certfile\fP \fIfile\fP] [\fB\-signer\fP
\fIfile\fP] [\fB\-nointern\fP] [\fB\-noverify\fP] [\fB\-nochain\fP] [\fB\-nosigs\fP]
[\fB\-nocerts\fP] [\fB\-noattr\fP] [\fB\-nodetach\fP] [\fB\-nosmimecap\fP] [\fB\-recip\fP \fI file\fP] [\fB\-inform\fP \fBDER\fP|\fBPEM\fP|\fBSMIME\fP] [\fB\-outform\fP
\fBDER\fP|\fBPEM\fP|\fBSMIME\fP] [\fB\-keyform\fP \fBDER\fP|\fBPEM\fP|\fBP12\fP|\fBENGINE\fP]
[\fB\-passin\fP \fIarg\fP] [\fB\-inkey\fP \fIfilename\fP|\fIuri\fP] [\fB\-out\fP \fIfile\fP]
[\fB\-content\fP \fIfile\fP] [\fB\-to\fP \fIaddr\fP] [\fB\-from\fP \fIad\fP] [\fB\-subject\fP \fIs\fP]
[\fB\-text\fP] [\fB\-indef\fP] [\fB\-noindef\fP] [\fB\-stream\fP] [\fB\-md\fP \fIdigest\fP]
[\fB\-CAfile\fP \fIfile\fP] [\fB\-no\-CAfile\fP] [\fB\-CApath\fP \fIdir\fP] [\fB\-no\-CApath\fP]
[\fB\-CAstore\fP \fIuri\fP] [\fB\-no\-CAstore\fP] [\fB\-engine\fP \fIid\fP] [\fB\-rand\fP \fIfiles\fP]
[\fB\-writerand\fP \fIfile\fP] [\fB\-allow_proxy_certs\fP] [\fB\-attime\fP \fItimestamp\fP]
[\fB\-no_check_time\fP] [\fB\-check_ss_sig\fP] [\fB\-crl_check\fP] [\fB\-crl_check_all\fP]
[\fB\-explicit_policy\fP] [\fB\-extended_crl\fP] [\fB\-ignore_critical\fP]
[\fB\-inhibit_any\fP] [\fB\-inhibit_map\fP] [\fB\-partial_chain\fP] [\fB\-policy\fP \fIarg\fP]
[\fB\-policy_check\fP] [\fB\-policy_print\fP] [\fB\-purpose\fP \fIpurpose\fP]
[\fB\-suiteB_128\fP] [\fB\-suiteB_128_only\fP] [\fB\-suiteB_192\fP] [\fB\-trusted_first\fP]
[\fB\-no_alt_chains\fP] [\fB\-use_deltas\fP] [\fB\-auth_level\fP \fInum\fP]
[\fB\-verify_depth\fP \fInum\fP] [\fB\-verify_email\fP \fIemail\fP] [\fB\-verify_hostname\fP
\fIhostname\fP] [\fB\-verify_ip\fP \fIip\fP] [\fB\-verify_name\fP \fIname\fP]
[\fB\-x509_strict\fP] [\fB\-issuer_checks\fP] [\fB\-provider\fP \fIname\fP]
[\fB\-provider\-path\fP \fIpath\fP] [\fB\-provparam\fP \fI[name:]key=value\fP]
[\fB\-propquery\fP \fIpropq\fP] [\fB\-config\fP \fIconfigfile\fP] \&\fIrecipcert\fP ...
.SH DESCRIPTION
.IX Header DESCRIPTION
This command handles S/MIME mail. It can encrypt, decrypt, sign and verify
S/MIME messages.
.SH OPTIONS
.IX Header OPTIONS
There are six operation options that set the type of operation to be
performed: \&\fB\-encrypt\fP, \fB\-decrypt\fP, \fB\-sign\fP, \fB\-resign\fP, \fB\-verify\fP, and
\fB\-pk7out\fP.  These are mutually exclusive.  The meaning of the other options
varies according to the operation type.
.IP \fB\-help\fP 4
.IX Item \-help
Afficher un message d'utilisation.
.IP \fB\-encrypt\fP 4
.IX Item \-encrypt
Chiffrer un message pour les certificats de destinataires donnés. Le fichier
d’entrée est le message à chiffrer. Le fichier de sortie est le message
chiffré au format MIME.
.Sp
Note that no revocation check is done for the recipient cert, so if that key
has been compromised, others may be able to decrypt the text.
.IP \fB\-decrypt\fP 4
.IX Item \-decrypt
Déchiffrer un message en utilisant le certificat et la clef privée
fournis. Le fichier d’entrée attendu est un message chiffré au format
MIME. Le fichier de sortie est le message déchiffré.
.IP \fB\-sign\fP 4
.IX Item \-sign
Signer un message en utilisant le certificat et la clef privée fournis. Le
fichier d’entrée est le message à signer. Le fichier de sortie est le
message signé au format MIME.
.IP \fB\-resign\fP 4
.IX Item \-resign
Re\-signer un message à partir d’un message existant et au moins un nouveau
signataire.
.IP \fB\-verify\fP 4
.IX Item \-verify
Vérifier un message signé. Un message signé est attendu en entrée, les
données signées sont envoyées en sortie. Les signatures en texte clair et
opaques sont prises en charge.
.IP \fB\-pk7out\fP 4
.IX Item \-pk7out
Écrire une structure PKCS#7 encodée PEM en sortie à partir d’un message en
entrée.
.IP "\fB\-in\fP \fIfichier\fP" 4
.IX Item "\-in fichier"
Le message d’entrée à chiffrer ou signer, ou le message MIME à déchiffrer ou
vérifier.
.IP "\fB\-out\fP \fIfilename\fP" 4
.IX Item "\-out fichier"
Le texte de message qui a été déchiffré ou vérifié, ou le message de sortie
au format MIME qui a été signé ou vérifié.
.IP "\fB\-inform\fP \fBDER\fP|\fBPEM\fP|\fBSMIME\fP" 4
.IX Item "\-inform DER|PEM|SMIME"
The input format of the PKCS#7 (S/MIME) structure (if one is being read);
the default is \fBSMIME\fP.  See \fBopenssl\-format\-options\fP\|(1) for details.
.IP "\fB\-outform\fP \fBDER\fP|\fBPEM\fP|\fBSMIME\fP" 4
.IX Item "\-outform DER|PEM|SMIME"
The output format of the PKCS#7 (S/MIME) structure (if one is being
written); the default is \fBSMIME\fP.  See \fBopenssl\-format\-options\fP\|(1) for
details.
.IP "\fB\-keyform\fP \fBDER\fP|\fBPEM\fP|\fBP12\fP|\fBENGINE\fP" 4
.IX Item "\-keyform DER|PEM|P12|ENGINE"
The key format; unspecified by default.  See \fBopenssl\-format\-options\fP\|(1)
for details.
.IP "\fB\-stream\fP, \fB\-indef\fP" 4
.IX Item "\-stream, \-indef"
Les options \fB\-stream\fP et \fB\-indef\fP sont équivalentes et activent
l’utilisation de flux d’entrées et sorties pour les opérations
d’encodage. Cela permet le traitement de données en une seule passe sans
devoir faire tenir tout le contenu en mémoire, avec la possibilité de
prendre en charge de très gros fichiers. Le flux est automatiquement défini
pour la signature S/MIME avec données détachées si le format de sortie est
\fBSMIME\fP, et actuellement désactivé par défaut pour toutes les autres
opérations.
.IP \fB\-noindef\fP 4
.IX Item \-noindef
Désactiver le flux d’entrées et sorties là où cela produirait un encodage
construit de taille indéfinie. Cette option ne sert actuellement à rien. À
l’avenir, le flux sera activé par défaut sur toutes les opérations
adéquates, et cette option permettra de le désactiver.
.IP "\fB\-content\fP \fIfichier\fP" 4
.IX Item "\-content fichier"
Cela indique un fichier avec le contenu détaché, ce n’est utile qu’avec la
commande \fB\-verify\fP. Ce n’est utilisable que si la structure PKCS#7 utilise
la forme de signature détachée où le contenu n’est pas inclus. Cette option
écrasera tout le contenu si le format d’entrée est S/MIME et qu’il utilise
le type de contenu MIME multipart/signed.
.IP \fB\-text\fP 4
.IX Item \-text
Cette option ajoute les en\-têtes MIME de texte clair (text/plain) au message
fourni en cas de chiffrement ou de signature. En cas de déchiffrement ou de
vérification, cela supprime les en\-têtes de texte : si le message déchiffré
ou vérifié n’est pas de type MIME text/plain, alors une erreur survient.
.IP "\fB\-md\fP \fIalgorithme\fP" 4
.IX Item "\-md algorithme"
L’algorithme de signature à utiliser lors de signature ou re\-signature. En
cas d’absence, l’algorithme de signature par défaut pour la clef de
signature sera utilisé (en général SHA1).
.IP \fB\-\fP\f(BIchiffrement\fR 4
.IX Item \-chiffrement
The encryption algorithm to use. For example, DES (56 bits) \- \fB\-des\fP,
triple DES (168 bits) \- \fB\-des3\fP, or AES (256 bits) \- \fB\-aes256\fP.  Any
standard algorithm name (as used by the \fBEVP_get_cipherbyname()\fP function)
can also be used, preceded by a dash, for example \fB\-aes\-128\-cbc\fP.  See
\fBopenssl\-enc\fP\|(1) for a list of ciphers supported by your version of
OpenSSL.
.Sp
If not specified, AES\-256\-CBC is used as the default. Only used with
\fB\-encrypt\fP.
.IP \fB\-nointern\fP 4
.IX Item \-nointern
Lors de la vérification d’un message, les certificats inclus (s’il y en a)
sont généralement recherchés dans le message pour trouver le certificat de
signature. Avec cette option, seuls les certificats indiqués dans l’option
\fB\-certfile\fP sont utilisés. Les certificats fournis peuvent cependant
toujours être utilisés comme autorités de certification non dignes de
confiance.
.IP \fB\-noverify\fP 4
.IX Item \-noverify
Ne pas vérifier le certificat des signataires d’un message signé.
.IP \fB\-nochain\fP 4
.IX Item \-nochain
Ne pas enchaîner la vérification des certificats de signataires :
c’est\-à\-dire ne pas utiliser les certificats dans le message signé comme
autorités de certification non dignes de confiance.
.IP \fB\-nosigs\fP 4
.IX Item \-nosigs
Don\*(Aqt try to verify the signatures on the message.
.IP \fB\-nocerts\fP 4
.IX Item \-nocerts
When signing a message, the signer\*(Aqs certificate is normally included.
With this option it is excluded. This will reduce the size of the signed
message, but the verifier must have a copy of the signers certificate
available locally (passed using the \fB\-certfile\fP option for example).
.IP \fB\-noattr\fP 4
.IX Item \-noattr
Normalement, quand un message est signé, un ensemble d’attributs est inclus,
y compris l’heure de signature et les algorithmes symétriques pris en
charge. Avec cette option, ils ne sont pas inclus.
.IP \fB\-nodetach\fP 4
.IX Item \-nodetach
Lors de la signature d’un message en utilisant une signature opaque : cette
forme résiste mieux à la traduction par relais de message, mais ne peut pas
être lue par des clients de lecture de courriers qui ne prennent pas en
charge S/MIME. Sans cette option, une signature en clair avec le type MIME
multipart/signed est utilisée.
.IP \fB\-nosmimecap\fP 4
.IX Item \-nosmimecap
When signing a message, do not include the \fBSMIMECapabilities\fP attribute.
.IP \fB\-binary\fP 4
.IX Item \-binary
Normalement, le message d’entrée est converti au format « canonique », c’est
à dire en utilisant effectivement RC et PAL (CR et LF en anglais) comme fin
de ligne : conformément à la spécification S/MIME. Quand cette option est
présente, aucune traduction n’est réalisée. C’est utile lors du traitement
de données binaires qui pourraient ne pas être au format MIME.
.IP \fB\-crlfeol\fP 4
.IX Item \-crlfeol
Normally the output file uses a single \fBLF\fP as end of line. When this
option is present \fBCRLF\fP is used instead.
.IP "\fB\-certfile\fP \fIfichier\fP" 4
.IX Item "\-certfile fichier"
Allows additional certificates to be specified. When signing these will be
included with the message. When verifying, these will be searched for signer
certificates and will be used for chain building.
.Sp
The input can be in PEM, DER, or PKCS#12 format.
.IP "\fB\-signer\fP \fIfichier\fP" 4
.IX Item "\-signer fichier"
Un certificat de signature lors de la signature ou re\-signature d’un
message, cette option peut être utilisée plusieurs fois si plus d’un
signataire est nécessaire. Si un message est en cours de vérification, alors
les certificats des signataires seront écrits dans ce fichier si la
vérification est réussie.
.IP "\fB\-recip\fP \fIfichier\fP" 4
.IX Item "\-recip fichier"
Le certificat des destinataires lors du déchiffrement d’un message. Ce
certificat doit correspondre à celui des destinataires du message ou alors
une erreur survient.
.IP "\fB\-inkey\fP \fIfilename\fP|\fIuri\fP" 4
.IX Item "\-inkey filename|uri"
La clef privée à utiliser lors de la signature ou du déchiffrement. Cela
doit correspondre au certificat correspondant. Si cette option n’est pas
indiquée, alors la clef privée doit être incluse dans le fichier de
certificats indiqué avec les options \fB\-recip\fP ou \fB\-signer\fP. Lors de la
signature, cette option peut être utilisée plusieurs fois pour indiquer des
clefs successives.
.IP "\fB\-passin\fP \fIparam\fP" 4
.IX Item "\-passin param"
The private key password source. For more information about the format of
\fIarg\fP see \fBopenssl\-passphrase\-options\fP\|(1).
.IP "\fB\-to\fP, \fB\-from\fP, \fB\-subject\fP" 4
.IX Item "\-to, \-from, \-subject"
The relevant mail headers. These are included outside the signed portion of
a message so they may be included manually. If signing then many S/MIME mail
clients check the signers certificate\*(Aqs email address matches that
specified in the From: address.
.IP "\fB\-allow_proxy_certs\fP, \fB\-attime\fP, \fB\-no_check_time\fP, \fB\-check_ss_sig\fP, \fB\-crl_check\fP, \fB\-crl_check_all\fP, \fB\-explicit_policy\fP, \fB\-extended_crl\fP, \fB\-ignore_critical\fP, \fB\-inhibit_any\fP, \fB\-inhibit_map\fP, \fB\-no_alt_chains\fP, \fB\-partial_chain\fP, \fB\-policy\fP, \fB\-policy_check\fP, \fB\-policy_print\fP, \fB\-purpose\fP, \fB\-suiteB_128\fP, \fB\-suiteB_128_only\fP, \fB\-suiteB_192\fP, \fB\-trusted_first\fP, \fB\-use_deltas\fP, \fB\-auth_level\fP, \fB\-verify_depth\fP, \fB\-verify_email\fP, \fB\-verify_hostname\fP, \fB\-verify_ip\fP, \fB\-verify_name\fP, \fB\-x509_strict\fP \fB\-issuer_checks\fP" 4
.IX Item "\-allow_proxy_certs, \-attime, \-no_check_time, \-check_ss_sig, \-crl_check, \-crl_check_all, \-explicit_policy, \-extended_crl, \-ignore_critical, \-inhibit_any, \-inhibit_map, \-no_alt_chains, \-partial_chain, \-policy, \-policy_check, \-policy_print, \-purpose, \-suiteB_128, \-suiteB_128_only, \-suiteB_192, \-trusted_first, \-use_deltas, \-auth_level, \-verify_depth, \-verify_email, \-verify_hostname, \-verify_ip, \-verify_name, \-x509_strict \-issuer_checks"
Set various options of certificate chain verification.  See "Verification
Options" in \fBopenssl\-verification\-options\fP\|(1) for details.
.Sp
Any verification errors cause the command to exit.
.IP "\fB\-CAfile\fP \fIfile\fP, \fB\-no\-CAfile\fP, \fB\-CApath\fP \fIdir\fP, \fB\-no\-CApath\fP, \fB\-CAstore\fP \fIuri\fP, \fB\-no\-CAstore\fP" 4
.IX Item "\-CAfile file, \-no\-CAfile, \-CApath dir, \-no\-CApath, \-CAstore uri, \-no\-CAstore"
See "Trusted Certificate Options" in \fBopenssl\-verification\-options\fP\|(1)
for details.
.IP "\fB\-engine\fP \fIid\fP" 4
.IX Item "\-engine id"
Voir « Options de moteur » dans \fBopenssl\fP\|(1). Cette option est obsolète.
.IP "\fB\-rand\fP \fIfichiers\fP, \fB\-writerand\fP \fIfichier\fP" 4
.IX Item "\-rand fichiers, \-writerand fichier"
Voir « Options d'état aléatoire » dans \fBopenssl\fP\|(1) pour des détails.
.IP "\fB\-provider\fP \fInom\fP" 4
.IX Item "\-provider nom"
.PD 0
.IP "\fB\-provider\-path\fP \fIchemin\fP" 4
.IX Item "\-provider\-path chemin"
.IP "\fB\-provparam\fP \fI[nom:]clé=valeur\fP]" 4
.IX Item "\-provparam [nom:]clé=valeur"
.IP "\fB\-propquery\fP \fIpropq\fP" 4
.IX Item "\-propquery propq"
.PD
Voir « Options de fournisseur » dans \fBopenssl\fP\|(1), \fBprovider\fP\|(7) et
\fBproperty\fP\|(7).
.IP "\fB\-config\fP \fIconfigfile\fP" 4
.IX Item "\-config configfile"
See "Configuration Option" in \fBopenssl\fP\|(1).
.IP "\fIrecipcert\fP ..." 4
.IX Item "recipcert ..."
Au moins un certificat de destinataires de message : utilisé lors du
chiffrement d’un message.
.SH NOTES
.IX Header NOTES
Le message MIME doit être envoyé sans ligne vide entre les en\-têtes et la
sortie. Certains programmes de courriers ajouteront automatiquement une
ligne vide. Passer le message dans un tube directement à sendmail est une
façon de conserver le format correct.
.PP
The supplied message to be signed or encrypted must include the necessary
MIME headers or many S/MIME clients won\*(Aqt display it properly (if at
all). You can use the \fB\-text\fP option to automatically add plain text
headers.
.PP
Un message « signé et chiffré » est un message signé qui est ensuite
chiffré. Cela peut être réalisé en chiffrant un message déjà signé :
consultez la section d’exemples.
.PP
Cette version du programme ne permet qu’un seul signataire par message mais
vérifiera plusieurs signataires sur les messages reçus. Certains clients
S/MIME ont des problèmes avec les messages contenant plusieurs
signataires. Les messages peuvent être signés « en parallèle » en signant un
message déjà signé.
.PP
Les options \fB\-encrypt\fP et \fB\-decrypt\fP miment l’utilisation classique dans
les clients S/MIME. Pour être exact, elles traitent des données enveloppées
PKCS#7 : les données chiffrées PKCS#7 sont utilisées dans d’autres buts.
.PP
L’option \fB\-resign\fP utilise un algorithme de signature de message existant
lors de l’ajout d’un nouveau signataire. Cela signifie que les attributs
doivent être présents dans au moins une signature existante utilisant le
même algorithme de signature de message, ou cette opération échouera.
.PP
The \fB\-stream\fP and \fB\-indef\fP options enable streaming I/O support.  As a
result the encoding is BER using indefinite length constructed encoding and
no longer DER. Streaming is supported for the \fB\-encrypt\fP operation and the
\&\fB\-sign\fP operation if the content is not detached.
.PP
Le flux est toujours utilisé pour l’opération \fB\-sign\fP avec les données
détachées mais puisque le contenu ne fait plus partie de la structure
PKCS#7, l’encodage reste DER.
.SH "CODES DE RETOUR"
.IX Header "CODES DE RETOUR"
.IP 0 4
L’opération s’est terminée correctement.
.IP 1 4
.IX Item 1
Une erreur est survenue lors du traitement des options de la commande.
.IP 2 4
.IX Item 2
Un des fichiers d’entrée n’a pas pu être lu.
.IP 3 4
.IX Item 3
Une erreur est survenue lors de la création du fichier PKCS#7 ou lors de la
lecture du message MIME.
.IP 4 4
.IX Item 4
Une erreur est survenue lors du déchiffrement ou de la vérification du
message.
.IP 5 4
.IX Item 5
Le message a été vérifié correctement mais une erreur est survenue lors de
l’écriture des certificats de signataires.
.SH EXEMPLES
.IX Header EXEMPLES
Créer un message signé en texte clair :
.PP
.Vb 2
\& openssl smime \-sign \-in message.txt \-text \-out mail.msg \e
\&        \-signer mycert.pem
.Ve
.PP
Créer un message signé opaque :
.PP
.Vb 2
\& openssl smime \-sign \-in message.txt \-text \-out mail.msg \-nodetach \e
\&        \-signer mycert.pem
.Ve
.PP
Créer un message signé, inclure quelques certificats supplémentaires et lire
la clef privée depuis un autre fichier :
.PP
.Vb 2
\& openssl smime \-sign \-in in.txt \-text \-out mail.msg \e
\&        \-signer mycert.pem \-inkey mykey.pem \-certfile mycerts.pem
.Ve
.PP
Créer un message signé avec deux signataires :
.PP
.Vb 2
\& openssl smime \-sign \-in message.txt \-text \-out mail.msg \e
\&        \-signer mycert.pem \-signer othercert.pem
.Ve
.PP
Envoyer un message signé sous UNIX directement à sendmail, y compris les
en\-têtes :
.PP
.Vb 3
\& openssl smime \-sign \-in in.txt \-text \-signer mycert.pem \e
\&        \-from steve@openssl.org \-to someone@somewhere \e
\&        \-subject "Signed message" | sendmail someone@somewhere
.Ve
.PP
Verify a message and extract the signer\*(Aqs certificate if successful:
.PP
.Vb 1
\& openssl smime \-verify \-in mail.msg \-signer user.pem \-out signedtext.txt
.Ve
.PP
Envoyer un message chiffré en utilisant un DES triple :
.PP
.Vb 3
\& openssl smime \-encrypt \-in in.txt \-out mail.msg \-from steve@openssl.org \e
\&        \-to someone@somewhere \-subject "Encrypted message" \e
\&        \-des3 user.pem
.Ve
.PP
Signer et chiffrer un message :
.PP
.Vb 4
\& openssl smime \-sign \-in ml.txt \-signer my.pem \-text \e
\&        | openssl smime \-encrypt \-out mail.msg \e
\&        \-from steve@openssl.org \-to someone@somewhere \e
\&        \-subject "Signed and Encrypted message" \-des3 user.pem
.Ve
.PP
Remarque : la commande de chiffrement n’inclut pas l’option \fB\-text\fP parce
que le message en cours de chiffrement a déjà les en\-têtes MIME.
.PP
Déchiffrer un courrier :
.PP
.Vb 1
\& openssl smime \-decrypt \-in mail.msg \-recip mycert.pem \-inkey key.pem
.Ve
.PP
La sortie du type Netscape de signature est une structure PKCS#7 au format
de signature détachée. Vous pouvez utiliser ce programme pour vérifier la
signature en coupant les lignes de structure encodées en base64 et en les
encadrant avec :
.PP
.Vb 2
\& \-\-\-\-\-BEGIN PKCS7\-\-\-\-\-
\& \-\-\-\-\-END PKCS7\-\-\-\-\-
.Ve
.PP
et en utilisant la commande :
.PP
.Vb 1
\& openssl smime \-verify \-inform PEM \-in signature.pem \-content contenu.txt
.Ve
.PP
Sinon, vous pouvez aussi décoder de base64 la signature et utiliser :
.PP
.Vb 1
\& openssl smime \-verify \-inform DER \-in signature.der \-content contenu.txt
.Ve
.PP
Créer et chiffrer un message en utilisant Camellia 128 bits :
.PP
.Vb 1
\& openssl smime \-encrypt \-in plain.txt \-camellia128 \-out mail.msg cert.pem
.Ve
.PP
Ajouter un signataire à un message existant :
.PP
.Vb 1
\& openssl smime \-resign \-in mail.msg \-signer newsign.pem \-out mail2.msg
.Ve
.SH BOGUES
.IX Header BOGUES
The MIME parser isn\*(Aqt very clever: it seems to handle most messages that
I\*(Aqve thrown at it but it may choke on others.
.PP
The code currently will only write out the signer\*(Aqs certificate to a
file: if the signer has a separate encryption certificate this must be
manually extracted. There should be some heuristic that determines the
correct encryption certificate.
.PP
Dans l’idéal, une base de données de certificats devrait être maintenue pour
chaque adresse électronique.
.PP
The code doesn\*(Aqt currently take note of the permitted symmetric
encryption algorithms as supplied in the SMIMECapabilities signed
attribute. This means the user has to manually include the correct
encryption algorithm. It should store the list of permitted ciphers in a
database and only use those.
.PP
No revocation checking is done on the signer\*(Aqs certificate.
.PP
Le code actuel ne peut traiter que les messages S/MIME v2, les structures
S/MIME v3 plus complexes peuvent provoquer des erreurs d’analyse.
.SH "VOIR AUSSI"
.IX Header "VOIR AUSSI"
\&\fBossl_store\-file\fP\|(7)
.SH HISTORIQUE
.IX Header HISTORIQUE
The default encryption cipher was changed from 3DES to AES\-256 in OpenSSL
3.5.
.PP
L’utilisation de plusieurs options \fB\-signer\fP et la commande \fB\-resign\fP ont
été ajoutées pour la première fois dans OpenSSL 1.0.0
.PP
The \-no_alt_chains option was added in OpenSSL 1.1.0.
.PP
L’option \fB\-engine\fP est obsolète dans OpenSSL 1.0.2b.
.SH COPYRIGHT
.IX Header COPYRIGHT
Copyright 2000\-2025 Les auteurs du projet OpenSSL. Tous droits réservés.
.PP
Sous licence Apache 2.0 (la « Licence »). Vous ne pouvez utiliser ce fichier
que conformément à la Licence. Vous trouverez une copie dans le fichier
\s-1LICENSE\s0 de la distribution du source ou à l'adresse
<https://www.openssl.org/source/license.html>.
.PP
.SH TRADUCTION
La traduction française de cette page de manuel a été créée par
David Prévot <david@tilapin.org>
.
.PP
Cette traduction est une documentation libre ; veuillez vous reporter à la
.UR https://www.gnu.org/licenses/gpl-3.0.html
GNU General Public License version 3
.UE
concernant les conditions de copie et 
de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.
.PP
Si vous découvrez un bogue dans la traduction de cette page de manuel, 
veuillez envoyer un message à
.MT debian-l10n-french@lists.debian.org
.ME .