Il s'agit de la commande reqssl qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks à l'aide de l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
req - Demande de certificat PKCS#10 et utilitaire de génération de certificat.
SYNOPSIS
openssl req [-informer PEM|DER] [-surformer PEM|DER] [-in nom de fichier] [-passer arg] [-en dehors
nom de fichier] [-passout arg] [-texte] [-clé de publication] [-noout] [-Vérifier] [-module] [-Nouveau] [-rand
des dossiers)] [-nouvelle clé rsa:bits] [-nouvelle clé alg:fichier] [-nœuds] [-clé nom de fichier] [-forme de clé PEM|DER]
[-clé nom de fichier] [-keygen_engine id] [-[digérer]] [-config nom de fichier] [-multivaleur-rdn]
[-X509] [-journées n] [-set_série n] [-asn1-kludge] [-no-asn1-kludge] [-nouveauhdr] [-rallonges
] [-demandes ] [-utf8] [-nomopt] [-demander] [-matière] [-subj arg] [-grouper]
[-verbeux] [-moteur id]
DESCRIPTION
Le manuel de formation req La commande crée et traite principalement les demandes de certificat au format PKCS#10. Ce
peut en outre créer des certificats auto-signés à utiliser en tant qu'autorités de certification racine, par exemple.
COMMAND OPTIONS
-informer DER|PEM
Ceci spécifie le format d'entrée. Les L' l'option utilise une forme encodée ASN1 DER
compatible avec le PKCS#10. Les PEM form est le format par défaut : il se compose du
L' format base64 encodé avec des lignes d'en-tête et de pied de page supplémentaires.
-surformer DER|PEM
Ceci spécifie le format de sortie, les options ont la même signification que le -informer
option.
-in nom de fichier
Ceci spécifie le nom du fichier d'entrée à partir duquel lire une requête ou l'entrée standard si cela
l'option n'est pas spécifiée. Une requête n'est lue que si les options de création (-Nouveau et
-nouvelle clé) ne sont pas spécifiés.
-passer arg
la source du mot de passe du fichier d'entrée. Pour plus d'informations sur le format de arg voir la
PASS PHRASE ARGUMENTS section openssl (1).
-en dehors nom de fichier
Ceci spécifie le nom du fichier de sortie sur lequel écrire ou la sortie standard par défaut.
-passout arg
la source du mot de passe du fichier de sortie. Pour plus d'informations sur le format de arg voir la
PASS PHRASE ARGUMENTS section openssl (1).
-texte
imprime la demande de certificat sous forme de texte.
-matière
imprime le sujet de la demande (ou le sujet du certificat si -X509 est spécifié)
-clé de publication
sort la clé publique.
-noout
cette option empêche la sortie de la version codée de la requête.
-module
cette option imprime la valeur du module de la clé publique contenue dans le
demande.
-Vérifier
vérifie la signature sur la demande.
-Nouveau
cette option génère une nouvelle demande de certificat. Il demandera à l'utilisateur le
valeurs de champ pertinentes. Les champs réels demandés et leur maximum et minimum
les tailles sont spécifiées dans le fichier de configuration et toutes les extensions demandées.
Si la -clé n'est pas utilisée, elle générera une nouvelle clé privée RSA en utilisant
informations spécifiées dans le fichier de configuration.
-subj arg
Remplace le champ objet de la demande d'entrée par les données spécifiées et les sorties modifiées
demander. L'argument doit être formaté comme /type0=value0/type1=value1/type2=..., personnages
peut être échappé par \ (barre oblique inverse), aucun espace n'est ignoré.
-rand des dossiers)
un fichier ou des fichiers contenant des données aléatoires utilisés pour amorcer le générateur de nombres aléatoires, ou un
Prise EGD (voir RAND_egd(3)). Plusieurs fichiers peuvent être spécifiés séparés par un système d'exploitation-
caractère dépendant. Le séparateur est ; pour MS-Windows, , pour OpenVMS, et : pour tous
autres.
-nouvelle clé arg
cette option crée une nouvelle demande de certificat et une nouvelle clé privée. L'argument
prend une forme parmi plusieurs. rsa:nbits, Où nbits est le nombre de bits, génère un
Clé RSA nbits en taille. Si nbits est omis, c'est-à-dire -nouvelle clé rsa spécifié, la valeur par défaut
la taille de la clé spécifiée dans le fichier de configuration est utilisée.
Tous les autres algorithmes prennent en charge le -nouvelle clé alg:fichier formulaire, où fichier peut être un algorithme
fichier de paramètres, créé par le clé genp -genparam commande ou et certificat X.509 pour
une clé avec un algorithme approprié.
param:fichier génère une clé à l'aide du fichier de paramètres ou du certificat filet, l'algorithme
est déterminé par les paramètres. algname:fichier utiliser l'algorithme nom alg et fichier de paramètres
filet: les deux algorithmes doivent correspondre ou une erreur se produit. nom alg utilise juste un algorithme
nom alg, et les paramètres, si nécessaire, doivent être spécifiés via -pkeyopt paramètre.
dsa:nom de fichier génère une clé DSA en utilisant les paramètres du fichier nom de fichier.
ec:nom de fichier génère une clé EC (utilisable à la fois avec les algorithmes ECDSA ou ECDH),
gost2001:nom de fichier génère la clé GOST R 34.10-2001 (nécessite cgost moteur configuré
dans le fichier de configuration). Si juste gost2001 est spécifié un jeu de paramètres doit être
spécifié par -pkeyopt jeu de paramètres : X
-pkeyopt opt:valeur
définir l'option d'algorithme de clé publique opter à Plus-value. L'ensemble précis d'options prises en charge
dépend de l'algorithme à clé publique utilisé et de son implémentation. Voir clé - KEY GÉNÉRATION
OPTIONS dans le clé genp page de manuel pour plus de détails.
-clé nom de fichier
Ceci spécifie le fichier à partir duquel lire la clé privée. Il accepte également le format PKCS#8
clés privées pour les fichiers au format PEM.
-forme de clé PEM|DER
le format du fichier de clé privée spécifié dans le -clé argument. PEM est la valeur par défaut.
-clé nom de fichier
cela donne le nom de fichier dans lequel écrire la clé privée nouvellement créée. Si cette option est
pas spécifié, le nom de fichier présent dans le fichier de configuration est utilisé.
-nœuds
si cette option est spécifiée, alors si une clé privée est créée, elle ne sera pas chiffrée.
-[digérer]
ceci spécifie le condensé de message avec lequel signer la demande (comme -md5, -sha1). Ce
remplace l'algorithme de résumé spécifié dans le fichier de configuration.
Certains algorithmes à clé publique peuvent outrepasser ce choix. Par exemple, les signatures DSA
utilisez toujours les signatures SHA1, GOST R 34.10, utilisez toujours GOST R 34.11-94 (-md_gost94).
-config nom de fichier
cela permet de spécifier un fichier de configuration alternatif, cela remplace le
le nom du fichier au moment de la compilation ou tout autre spécifié dans le OPENSSL_CONF variable d'environnement.
-subj arg
définit le nom du sujet pour une nouvelle demande ou remplace le nom du sujet lors du traitement d'un
demander. L'argument doit être formaté comme /type0=value0/type1=value1/type2=...,
les caractères peuvent être échappés par \ (barre oblique inverse), aucun espace n'est ignoré.
-multivaleur-rdn
cette option entraîne l'interprétation de l'argument -subj avec une prise en charge complète de
RDN à valeurs multiples. Exemple:
/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=Jean Biche
Si -multi-rdn n'est pas utilisé, la valeur UID est 123456+CN=Jean Biche.
-X509
cette option génère un certificat auto-signé au lieu d'une demande de certificat. Cette
est généralement utilisé pour générer un certificat de test ou une autorité de certification racine auto-signé. Les
les extensions ajoutées au certificat (le cas échéant) sont spécifiées dans le fichier de configuration.
Sauf indication contraire à l'aide du set_serial option, un grand nombre aléatoire sera utilisé pour
le numéro de série.
-journées n
lorsque le -X509 l'option est utilisée, cela spécifie le nombre de jours pour certifier le
certificat pour. La valeur par défaut est de 30 jours.
-set_série n
numéro de série à utiliser lors de la sortie d'un certificat auto-signé. Cela peut être précisé
sous forme de valeur décimale ou de valeur hexadécimale si elle est précédée de 0x. Il est possible d'utiliser le négatif
numéros de série, mais ce n'est pas recommandé.
-rallonges
-demandes
ces options spécifient des sections alternatives pour inclure les extensions de certificat (si le
-X509 est présente) ou des extensions de demande de certificat. Cela permet à plusieurs
différentes sections à utiliser dans le même fichier de configuration pour spécifier les demandes d'un
variété de fins.
-utf8
cette option entraîne l'interprétation des valeurs de champ comme des chaînes UTF8, par défaut elles sont
interprété comme ASCII. Cela signifie que les valeurs de champ, qu'elles soient demandées à partir d'un
terminal ou obtenu à partir d'un fichier de configuration, doivent être des chaînes UTF8 valides.
-nomopt option
option qui détermine comment les noms de sujet ou d'émetteur sont affichés. Les option
L'argument peut être une seule option ou plusieurs options séparées par des virgules.
Alternativement le -nomopt Le commutateur peut être utilisé plus d'une fois pour définir plusieurs options.
Voir le x509(1) page de manuel pour plus de détails.
-demander
personnaliser le format de sortie utilisé avec -texteL’ option l'argument peut être un seul
option ou plusieurs options séparées par des virgules.
Voir la discussion du -certificat paramètre dans la x509 commander.
-asn1-kludge
par défaut le req la commande génère des demandes de certificat ne contenant aucun attribut dans
le bon format PKCS#10. Cependant, certaines AC n'accepteront que les demandes contenant
pas d'attributs sous une forme invalide : cette option produit ce format invalide.
Plus précisément le Attributs dans une demande de certificat PKCS#10 sont définis comme un SET OF
Attribut. Ils sont pas EN OPTION donc si aucun attribut n'est présent, ils devraient être
codé comme un vide SET OF. Le formulaire invalide n'inclut pas le vide SET OF Les
la forme correcte le fait.
Il est à noter que très peu d'AC nécessitent encore l'utilisation de cette option.
-no-asn1-kludge
Inverse l'effet de -asn1-kludge
-nouveauhdr
Ajoute le mot NOUVEAU aux lignes d'en-tête et de pied de page du fichier PEM sur la demande générée.
Certains logiciels (serveur de certificats Netscape) et certaines autorités de certification en ont besoin.
-grouper
mode non interactif.
-verbeux
imprimer des détails supplémentaires sur les opérations en cours.
-moteur id
spécifiant un moteur (par son unique id chaîne) provoquera req tenter d'obtenir un
référence fonctionnelle au moteur spécifié, l'initialisant ainsi si besoin. Les
engine sera alors défini par défaut pour tous les algorithmes disponibles.
-keygen_engine id
spécifie un moteur (par son unique id chaîne) qui serait utilisé pour la génération de clé
fonctionnement sans maintenance
CONFIGURATION DOSSIER Format
Les options de configuration sont spécifiées dans le req section du fichier de configuration. Comme
avec tous les fichiers de configuration si aucune valeur n'est spécifiée dans la section spécifique (c'est-à-dire req)
puis l'initiale sans nom ou défaut la section est également recherchée.
Les options disponibles sont décrites en détail ci-dessous.
saisir mot de passe mot de passe_sortie
Les mots de passe pour le fichier de clé privée d'entrée (si présent) et la clé privée de sortie
fichier (s'il est créé). Les options de la ligne de commande passer et évanouissement Commande
les valeurs du fichier de configuration.
bits_défaut
Spécifie la taille de clé par défaut en bits.
Cette option est utilisée conjointement avec le -Nouveau possibilité de générer une nouvelle clé. Ça peut
être remplacé en spécifiant une taille de clé explicite dans le -nouvelle clé option. Le plus petit
la taille de clé acceptée est de 512 bits. Si aucune taille de clé n'est spécifiée, 2048 bits sont utilisés.
fichier_clé_par défaut
Il s'agit du nom de fichier par défaut dans lequel écrire une clé privée. Si non spécifié, la clé est
écrit sur la sortie standard. Ceci peut être annulé par le -clé option.
fichier_oid
Ceci spécifie un fichier contenant des OBJET IDENTIFIANTS. Chaque ligne du fichier
doit être composé de la forme numérique de l'identifiant de l'objet suivi d'un espace blanc
puis le nom court suivi d'un espace et enfin le nom long.
oid_section
Ceci spécifie une section dans le fichier de configuration contenant un objet supplémentaire
identifiants. Chaque ligne doit comprendre le nom abrégé de l'identifiant de l'objet
suivie par = et la forme numérique. Les noms courts et longs sont les mêmes lorsque ce
option est utilisée.
FICHIER RAND
Ceci spécifie un nom de fichier dans lequel les informations de graine de nombre aléatoire sont placées et lues
de, ou une prise EGD (voir RAND_egd(3)). Il est utilisé pour la génération de clé privée.
chiffrement_clé
S'il est défini sur aucune alors si une clé privée est générée, elle est pas crypté. C'est
équivalent à la -nœuds option de ligne de commande. Pour la compatibilité chiffrer_rsa_key est un
option équivalente.
par défaut_md
Cette option spécifie l'algorithme de résumé à utiliser. Les valeurs possibles incluent md5 sha1
mdc2. S'il n'est pas présent, MD5 est utilisé. Cette option peut être remplacée sur la commande
ligne.
masque_chaîne
Cette option masque l'utilisation de certains types de chaînes dans certains champs. La plupart des utilisateurs
n'aurez pas besoin de changer cette option.
Il peut être réglé sur plusieurs valeurs défaut qui est aussi l'option par défaut utilise
PrintableStrings, T61Strings et BMPStrings si le pkix la valeur est utilisée alors seulement
PrintableStrings et BMPStrings seront utilisés. Ceci suit la recommandation PKIX dans
RFC2459. Si la utf8seulement est utilisée, alors seules les chaînes UTF8 seront utilisées : c'est
la recommandation PKIX dans la RFC2459 après 2003. Enfin la nombstr l'option utilise simplement
PrintableStrings et T61Strings : certains logiciels ont des problèmes avec les BMPStrings et
UTF8Strings : en particulier Netscape.
req_extensions
ceci spécifie la section du fichier de configuration contenant une liste d'extensions à ajouter
à la demande de certificat. Il peut être outrepassé par le -demandes commutateur de ligne de commande.
Voir le x509v3_config(5) page de manuel pour plus de détails sur le format de la section d'extension.
x509_extensions
ceci spécifie la section du fichier de configuration contenant une liste d'extensions à ajouter
au certificat généré lorsque le -X509 l'interrupteur est utilisé. Il peut être outrepassé par le
-rallonges commutateur de ligne de commande.
prompt
si mis à la valeur aucune cela désactive l'invite des champs de certificat et prend juste
valeurs du fichier de configuration directement. Il modifie également le format attendu du
nom distingué et attributs sections.
utf8
si mis à la valeur oui puis les valeurs de champ à interpréter comme des chaînes UTF8, en
par défaut, ils sont interprétés comme ASCII. Cela signifie que les valeurs de champ, qu'elles soient
demandé à partir d'un terminal ou obtenu à partir d'un fichier de configuration, doit être UTF8 valide
cordes.
attributs
ceci spécifie la section contenant tous les attributs de requête : son format est le même
as nom distingué. Typiquement, ceux-ci peuvent contenir le challengePassword ou
types de noms non structurés. Ils sont actuellement ignorés par la signature de requête d'OpenSSL
utilitaires, mais certaines autorités de certification pourraient en vouloir.
nom distingué
Ceci spécifie la section contenant les champs de nom unique à demander quand
générer un certificat ou une demande de certificat. Le format est décrit dans le prochain
.
DISTINGUÉ Nom ET ATTRIBUT SECTION Format
Il existe deux formats distincts pour les sections de nom distinctif et d'attribut. Si la
prompt l'option est définie sur aucune alors ces sections consistent simplement en des noms de champs et des valeurs : pour
Par exemple,
CN=Mon nom
OU=Mon organisation
emailAdresse=[email protected]
Cela permet à des programmes externes (par exemple basés sur une interface graphique) de générer un fichier modèle avec tous les
les noms et les valeurs des champs et transmettez-les simplement à req. Un exemple de ce genre de configuration
le fichier est contenu dans le EXEMPLES .
Alternativement, si le prompt l'option est absente ou n'est pas définie sur aucune alors le fichier contient le champ
incitant des informations. Il se compose de lignes de la forme :
fieldName="invite"
fieldName_default="valeur de champ par défaut"
fieldName_min= 2
fieldName_max= 4
"fieldName" est le nom du champ utilisé, par exemple commonName (ou CN). L'"invite"
chaîne est utilisée pour demander à l'utilisateur d'entrer les détails pertinents. Si l'utilisateur n'entre rien
alors la valeur par défaut est utilisée si aucune valeur par défaut n'est présente, alors le champ est omis. UNE
Le champ peut toujours être omis si une valeur par défaut est présente si l'utilisateur entre simplement le '.'
caractère.
Le nombre de caractères saisis doit être compris entre fieldName_min et fieldName_max
limites : il peut y avoir des restrictions supplémentaires en fonction du champ utilisé (par exemple
countryName ne peut contenir que deux caractères et doit tenir dans une PrintableString).
Certains champs (tels que OrganizationName) peuvent être utilisés plusieurs fois dans un DN. Cela présente un
problème car les fichiers de configuration ne reconnaîtront pas le même nom apparaissant deux fois. À
éviter ce problème si le fieldName contient des caractères suivis d'un point, ils
sera ignoré. Ainsi, par exemple, un deuxième nom d'organisation peut être saisi en l'appelant
"1.nom de l'organisation".
Les noms de champ autorisés réels sont tout nom court ou long d'identificateur d'objet. Ceux-ci sont
compilé dans OpenSSL et inclure les valeurs habituelles telles que commonName, countryName,
localityName, organizationName, organizationUnitName, stateOrProvinceName. en outre
emailAddress est inclus ainsi que le nom, le prénom, les initiales de givenName et dnQualifier.
Des identifiants d'objet supplémentaires peuvent être définis avec le fichier_oid or oid_section options
le fichier de configuration. Tout champ supplémentaire sera traité comme s'il s'agissait d'un
Chaîne d'annuaire.
EXEMPLES
Examiner et vérifier la demande de certificat :
openssl req -in req.pem -text -verify -noout
Créez une clé privée, puis générez une demande de certificat à partir de celle-ci :
openssl genrsa -out key.pem 2048
openssl req -new -key key.pem -out req.pem
La même chose mais en utilisant simplement req :
openssl req -newkey rsa:2048 -keyout key.pem -out req.pem
Générez un certificat racine auto-signé :
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out req.pem
Exemple de fichier pointé par le fichier_oid option:
1.2.3.4 shortName Un nom plus long
1.2.3.6 otherName Autre nom plus long
Exemple d'une section pointée par oid_section en utilisant l'expansion variable:
testoïde1=1.2.3.5
testoïde2=${testoïde1}.6
Exemple de fichier de configuration demandant des valeurs de champ :
[requête]
bits_défaut = 2048
default_keyfile = privkey.pem
nom_distingué = req_nom_distingué
attributs = req_attributes
x509_extensions = v3_ca
dirstring_type = nobmp
[ req_nom_distingué ]
countryName = Nom du pays (code à 2 lettres)
countryName_default = AU
nom_pays_min = 2
nom_pays_max = 2
localityName = Nom de la localité (par exemple, la ville)
organisationUnitName = nom de l'unité organisationnelle (par exemple, section)
commonName = Nom commun (par exemple, VOTRE nom)
nom_commun_max = 64
emailAddress = Adresse e-mail
emailAddress_max = 40
[ attributs_req ]
challengePassword = Un mot de passe de défi
challengePassword_min = 4
challengePassword_max = 20
[v3_ca]
subjectKeyIdentifier=hachage
AuthorityKeyIdentifier=keyid:always,issuer:always
contraintes de base = CA: vrai
Exemple de configuration contenant toutes les valeurs de champ :
RANDFILE = $ENV::HOME/.rnd
[requête]
bits_défaut = 2048
default_keyfile = keyfile.pem
nom_distingué = req_nom_distingué
attributs = req_attributes
invite = non
output_password = monpasse
[ req_nom_distingué ]
C = Go
ST = État ou province de test
L = Localité de test
O = Nom de l'organisation
OU = Nom de l'unité organisationnelle
CN = Nom commun
adresse e-mail = [email protected]
[ attributs_req ]
challengePassword = Un mot de passe de défi
NOTES
Les lignes d'en-tête et de pied de page dans le PEM format sont normalement :
-----DÉBUT DE LA DEMANDE DE CERTIFICAT-----
-----FIN DE LA DEMANDE DE CERTIFICAT-----
certains logiciels (certaines versions du serveur de certificats Netscape) nécessitent à la place :
----- COMMENCER UNE NOUVELLE DEMANDE DE CERTIFICAT -----
-----FIN DE NOUVELLE DEMANDE DE CERTIFICAT-----
qui est produit avec le -nouveauhdr option mais est par ailleurs compatible. L'une ou l'autre forme est
accepté de manière transparente en entrée.
Les demandes de certificats générées par Xenroll avec MSIE ont des extensions ajoutées. Il comprend
le cléUtilisation extension qui détermine le type de clé (signature seule ou général
but) et tous les OID supplémentaires entrés par le script dans une extension extendedKeyUsage.
DIAGNOSTIC
Les messages suivants sont fréquemment demandés à propos de :
Utilisation de la configuration de /some/path/openssl.cnf
Impossible de charger les informations de configuration
Ceci est suivi quelque temps plus tard par...
impossible de trouver 'distinguished_name' dans la configuration
problèmes lors de la demande de certificat
Le premier message d'erreur est l'indice : il ne trouve pas le fichier de configuration ! Certain
les opérations (comme l'examen d'une demande de certificat) n'ont pas besoin d'un fichier de configuration.
l'utilisation n'est pas imposée. La génération de certificats ou de demandes nécessite cependant un
fichier de configuration. Cela pourrait être considéré comme un bug.
Voici un autre message déroutant :
Attributs:
a0:00
ceci s'affiche lorsqu'aucun attribut n'est présent et que la demande inclut le bon
vide SET OF structure (dont le codage DER est 0xa0 0x00). Si vous voyez juste :
Attributs:
puis le SET OF est manquant et l'encodage est techniquement invalide (mais il est toléré).
Voir la description de l'option de ligne de commande -asn1-kludge pour plus d'informations.
ENVIRONNEMENT VARIABLES
La variable OPENSSL_CONF si défini, permet à un autre emplacement de fichier de configuration de
être spécifié, il sera remplacé par le -config commutateur de ligne de commande s'il est présent.
Pour des raisons de compatibilité, le SSLEAY_CONF variable d'environnement a le même objectif mais
son utilisation est déconseillée.
Utiliser reqssl en ligne à l'aide des services onworks.net
