SYNOPSIS
openssl genpkey [-out fichier] [-outform PEM|DER] [-pass param] [-cipher] [-engine identifiant] [-paramfile fichier] [-algorithm algorithme] [-pkeyopt opt:valeur] [-genparam] [-text]DESCRIPTION
La commande genpkey génère une clef privée.OPTIONS
- -out fichier
- Le fichier de sortie. S'il n'est pas indiqué, la sortie standard est utilisée.
- -outform DER|PEM
- Cela indique le format de sortie DER ou PEM.
- -pass param
- La source de mot de passe pour le fichier de sortie. Pour plus de renseignements sur le format de param, consultez la section PARAMÈTRES DE PHRASE SECRÈTE d'openssl(1).
- -cipher
- Cette option indique de chiffrer la clef privée avec l’algorithme fourni. N’importe quel nom d’algorithme accepté par EVP_get_cipherbyname() est acceptable, comme par exemple des3.
- -engine identifiant
- L’indication d’un moteur (en utilisant son identifiant unique identifiant) forcera genpkey à essayer d'obtenir une référence fonctionnelle pour le moteur indiqué et à l'initialiser si nécessaire. Le moteur sera ensuite utilisé par défaut pour tous les algorithmes disponibles. Si elle est utilisée, cette option devrait être indiquée avant toutes les autres options.
- -algorithm algorithme
- L’algorithme à clef publique à utiliser, comme par exemple RSA, DSA ou DH. Si utilisée, cette option doit être indiquée avant toutes les options -pkeyopt. Les options -paramfile et -algorithm s’excluent mutuellement.
- -pkeyopt opt:valeur
- Définir l’option d’algorithme à clef publique opt à valeur. L’ensemble exact d’options prises en charge dépend de l’algorithme à clef publique utilisé et de son implémentation. Consultez la section OPTIONS DE GÉNÉRATION DE CLEF ci-dessous pour plus de précisions.
- -genparam
- Générer un ensemble de paramètres au lieu d’une clef privée. Si utilisée, cette option doit être indiquée avant les options -algorithm, -paramfile et -pkeyopt.
- -paramfile fichier
- Certains algorithmes à clef publique génèrent une clef publique à partir d’un ensemble de paramètres. Ils peuvent être fournis en utilisant cette option. Si cette option est utilisée, l’algorithme à clef publique utilisé est déterminé par les paramètres. Si utilisée, cette option doit être indiquée avant les options -pkeyopt. Les options -paramfile et -algorithm s’excluent mutuellement.
- -text
- Afficher une représentation au format texte (en clair) des clefs privée et publique et des paramètres avec la structure PEM ou DER.
OPTIONS DE GÉNÉRATION DE CLEF
Les options prises en charge par un algorithme et même par chaque implémentation d’un algorithme peuvent varier. Les options pour les implémentations d’OpenSSL sont précisées ci-dessous.OPTIONS DE GÉNÉRATION DE CLEF RSA
- rsa_keygen_bits:nombrebits
- Le nombre de bits dans la clef générée. Sans indication, 1024 est utilisé.
- rsa_keygen_pubexp:valeur
- La valeur d’exposant public RSA. Cela peut être une grande valeur décimale ou hexadécimale si précédée de 0x. La valeur par défaut est 65537.
OPTIONS DE GÉNÉRATION DE PARAMÈTRES DSA
- dsa_paramgen_bits:nombrebits
- Le nombre de bits dans les paramètres générés. Sans indication, 1024 est utilisé.
OPTIONS DE GÉNÉRATION DE PARAMÈTRES DH
- dh_paramgen_prime_len:nombrebits
- Le nombre de bits dans le paramètre p de nombre premier.
- dh_paramgen_generator:valeur
- La valeur à utiliser pour le générateur g.
- dh_rfc5114:num
- Si cette option est définie, les paramètres RFC 5114 adéquats sont utilisés au lieu d’en créer de nouveaux. La valeur num peut prendre la valeur 1, 2 ou 3 correspondant aux paramètres DH RFC 5114 constitués d’un groupe de 1024 bits avec un sous-groupe de 160 bits, d’un groupe de 2048 bits avec un sous-groupe de 224 bits ou d’un groupe de 2048 bits avec un sous-groupe de 256 bits conformément aux sections 2.1, 2.2 et 2.3 de la RFC 5114.
OPTIONS DE GÉNÉRATION DE PARAMÈTRES EC
- ec_paramgen_curve:courbe
- La courbe EC à utiliser.
OPTIONS DE GÉNÉRATION DE CLEF GOST2001 ET DE PARAMÈTRES
La prise en charge de Gost 2001 n’est pas activée par défaut. Pour activer cet algorithme, le moteur ccgost devrait être chargé dans le fichier de configuration d’OpenSSL. Consultez README.gost dans le répertoire engines/ccgost de la distribution des sources pour plus de précisions.Utiliser un fichier de paramètres pour l’algorithme GOST R 34.10 est facultatif. Les paramètres peuvent être indiqués directement lors de la génération de clef ainsi que pendant la génération du fichier de paramètres.
- paramset:nom
-
Indiquer l’ensemble de paramètres GOST R 34.10-2001 d’après la
RFC 4357. L’ensemble de paramètres peut être indiqué à l’aide de nom abrégé,
nom court d’objet ou OID numérique. Les ensembles de paramètres suivants
sont pris en charge :
ensemble OID Utilisation A 1.2.643.2.2.35.1 Signature B 1.2.643.2.2.35.2 Signature C 1.2.643.2.2.35.3 Signature XA 1.2.643.2.2.36.0 Échange de clef XB 1.2.643.2.2.36.1 Échange de clef test 1.2.643.2.2.35.0 Test
NOTES
L’utilisation du programme genpkey est préférable aux utilitaires spécifiques à l’algorithme car des options d’algorithme supplémentaires et des algorithmes fournis par ENGINE peuvent être utilisés.EXEMPLES
Générer une clef privée RSA en utilisant les paramètres par défaut :
openssl genpkey -algorithm RSA -out clef.pem
Chiffrer une clef privée en utilisant un AES 128 bits et la phrase secrète « salut » :
openssl genpkey -algorithm RSA -out clef.pem -aes-128-cbc \ -pass pass:salut
Créer une clef RSA de 2048 bits en utilisant 3 comme exposant public :
openssl genpkey -algorithm RSA -out clef.pem \ -pkeyopt rsa_keygen_bits:2048 \ -pkeyopt rsa_keygen_pubexp:3
Générer des paramètres DSA de 1024 bits :
openssl genpkey -genparam -algorithm DSA -out pdsa.pem \ -pkeyopt dsa_paramgen_bits:1024
Créer une clef DSA à partir de paramètres :
openssl genpkey -paramfile pdsa.pem -out clefdsa.pem
Générer des paramètres DH de 1024 bits :
openssl genpkey -genparam -algorithm DH -out pdh.pem \ -pkeyopt dh_paramgen_prime_len:1024
Afficher les paramètres DH RFC 5114 sur 2048 bits avec un sous-groupe de 224 bits :
openssl genpkey -genparam -algorithm DH -out pdh.pem \ -pkeyopt dh_rfc5114:2
Créer une clef DH à partir de paramètres :
openssl genpkey -paramfile pdh.pem -out clefdh.pem
TRADUCTION
La traduction de cette page de manuel est maintenue par les membres de la liste <debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler toute erreur de traduction par un rapport de bogue sur le paquet manpages-fr-extra.