| <?xml version="1.0" encoding="ISO-8859-1" ?> |
| <!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd"> |
| <?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?> |
| <!-- English Revision : 1592205 --> |
| <!-- French translation : Lucien GENTIS --> |
| <!-- Reviewed by : Vincent Deffontaines --> |
| |
| <!-- |
| Licensed to the Apache Software Foundation (ASF) under one or more |
| contributor license agreements. See the NOTICE file distributed with |
| this work for additional information regarding copyright ownership. |
| The ASF licenses this file to You under the Apache License, Version 2.0 |
| (the "License"); you may not use this file except in compliance with |
| the License. You may obtain a copy of the License at |
| |
| http://www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| |
| <manualpage metafile="ctlogconfig.xml.meta"> |
| <parentdocument href="./">Programs</parentdocument> |
| |
| <title>ctlogconfig, l'utilitaire de configuration du service de |
| transparence des certificats</title> |
| |
| <summary> |
| <p><code>ctlogconfig</code> est un utilitaire permettant de créer et |
| maintenir une base de données pour la configuration du service de |
| transparence des certificats utilisable par le module |
| <module>mod_ssl_ct</module> ; nous nous référerons à ce service |
| sous le terme "log" dans la suite de cette documentation.</p> |
| |
| <p>Avant d'aller plus loin, et si ce n'est déjà fait, veuillez |
| consulter le document <a |
| href="../mod/mod_ssl_ct.html#logconf">Configuration des logs</a> |
| dans la documentation du module <module>mod_ssl_ct</module>.</p> |
| |
| <p>Vous pouvez vous inspirer des <a href="#examples">exemples |
| ci-dessous</a> pour une utilisation typique.</p> |
| |
| </summary> |
| <seealso><module>mod_ssl_ct</module></seealso> |
| |
| <section id="synopsis"> |
| <title>Exemples et définitions</title> |
| <p><code> |
| <strong>ctlogconfig</strong> <em>/path/to/db</em> <strong>dump</strong> |
| </code></p> |
| |
| <p><code> |
| <strong>ctlogconfig</strong> <em>/path/to/db</em> <strong>configure-public-key</strong> |
| [ <em>log-id</em>|<em>record-id</em> ] |
| <em>/path/to/public-key.pem</em> |
| </code></p> |
| |
| <p><code> |
| <strong>ctlogconfig</strong> <em>/path/to/db</em> <strong>configure-url</strong> |
| [ <em>log-id</em>|<em>record-id</em> ] |
| <em>log-URL</em> |
| </code></p> |
| |
| <p><code> |
| <strong>ctlogconfig</strong> <em>/path/to/db</em> <strong>valid-time-range</strong> |
| <em>log-id</em>|<em>record-id</em> |
| <em>min-timestamp</em> <em>max-timestamp</em> |
| </code></p> |
| |
| <p><code> |
| <strong>ctlogconfig</strong> <em>/path/to/db</em> <strong>trust</strong> |
| <em>log-id</em>|<em>record-id</em> |
| </code></p> |
| |
| <p><code> |
| <strong>ctlogconfig</strong> <em>/path/to/db</em> <strong>distrust</strong> |
| <em>log-id</em>|<em>record-id</em> |
| </code></p> |
| |
| <p><code> |
| <strong>ctlogconfig</strong> <em>/path/to/db</em> <strong>forget</strong> |
| <em>log-id</em>|<em>record-id</em> |
| </code></p> |
| |
| <dl> |
| <dt><em>log-id</em></dt> |
| <dd>Il s'agit de l'identifiant du log qui est généré en effectuant |
| un hash SHA-256 au format hexadécimal de la clé publique du log. |
| La taille de cette chaîne est de 64 caractères. </dd> |
| |
| <dt><em>record-id</em></dt> |
| <dd>Il s'agit du numéro d'enregistrement dans la base de données, |
| tel qu'il s'affiche avec la sous-commande <strong>dump</strong>, |
| préfixé par le caractère <strong>#</strong>. Par exemple, |
| <strong>#4</strong> renvoie au quatrième enregistrement de la base |
| de données (utilisez le mécanisme d'échappement du shell si |
| nécessaire).</dd> |
| |
| <dt><em>/path/to/public-key.pem</em></dt> |
| <dd>Il s'agit du chemin vers le fichier contenant la clé publique du |
| log au format PEM. En effet, la clé publique n'est pas stockée dans la base de |
| données, et le fichier ne peut donc pas être supprimé jusqu'à ce que |
| la donnée qui y fait référence dans la base de données soit |
| supprimée ou modifiée.</dd> |
| |
| <dt><em>min-timestamp</em>, <em>max-timestamp</em></dt> |
| <dd>Un repère de temps (timestamp) est un temps exprimé en |
| millisecondes depuis le temps epoch, sans tenir compte des secondes |
| sautées. C'est le format de temps utilisé dans les SCTs. Le repère |
| de temps doit être fourni sous la forme d'un nombre décimal. |
| <br /> |
| Spécifiez <strong><code>-</code></strong> pour un des repères de |
| temps s'il n'est pas connu. Par exemple, lorsque vous définissez le |
| repère de temps minimum valide pour un log qui reste valide, |
| spécifiez <strong><code>-</code></strong> pour |
| <em>max-timestamp</em>. |
| <br /> |
| Les SCTs reçu par le mandataire depuis ce log seront invalides si le |
| repère de temps est plus ancien que <em>min-timestamp</em> ou plus |
| récent que <em>max-timestamp</em>.</dd> |
| |
| </dl> |
| |
| </section> |
| |
| <section id="subcommands"> |
| <title>Commandes</title> |
| <dl> |
| <dt>dump</dt> |
| <dd>Affiche les éléments de configuration de la base de données. |
| L'identifiant des enregistrements que cette commande affiche peut |
| servir de référence pour les enregistrements devant être affectés |
| par les autres commandes.</dd> |
| |
| <dt>configure-public-key</dt> |
| <dd>Ajoute une clé publique pour un log de la base de données ou |
| modifie la clé publique d'un log existant. La clé publique d'un log |
| permet de valider la signature des SCTs (Signed certificate |
| Timestamp) reçus par un mandataire depuis un serveur d'arrière-plan |
| (La base de données sera créée si elle n'existe pas encore).</dd> |
| |
| <dt>configure-url</dt> |
| <dd>Ajoute une URL pour un log de la base de données ou modifie |
| l'URL d'un log existant. L'URL d'un log permet de soumettre des |
| certificats de serveur à ce dernier afin d'obtenir des SCTs qui |
| pourront être envoyés aux clients (La base de données sera créée si |
| elle n'existe pas encore).</dd> |
| |
| <dt>valid-time-range</dt> |
| <dd>Cette commande permet de définir le temps de validation minimum |
| et/ou maximum pour un log. Les SCTs en provenance du log possédant |
| un repère de temps en dehors de la plage définie seront rejetés. |
| Utilisez <code>-</code> pour un temps non défini (La base de données |
| sera créée si elle n'existe pas encore).</dd> |
| |
| <dt>trust</dt> |
| <dd>Marque un log comme digne de confiance, ce qui est la situation |
| par défaut. Cette command permet de marquer un log comme digne de |
| confiance, alors que ce n'était pas le cas auparavant (La base de |
| données sera créée si elle n'existe pas encore).</dd> |
| |
| <dt>distrust</dt> |
| <dd>Marque un log comme non digne de confiance (La base de |
| données sera créée si elle n'existe pas encore).</dd> |
| |
| <dt>forget</dt> |
| <dd>Supprime de la base de données les informations relatives |
| à un log.</dd> |
| </dl> |
| </section> |
| |
| <section id="examples"> |
| <title>Exemples</title> |
| |
| <p>Soit une instance de httpd Apache qui fonctionne en tant que |
| serveur TLS et mandataire. Le serveur TLS doit obtenir des SCTs de la |
| part de certains logs connus afin de pouvoir les transmettre aux |
| clients, et le mandataire doit pouvoir valider la signature des SCTs |
| en provenance des serveurs d'arrière-plan.</p> |
| |
| <p>Nous allons tout d'abord définir les URLs des logs où les |
| certificats sont enregistrés :</p> |
| |
| <example> |
| $ ctlogconfig /path/to/conf/log-config configure-url http://log1.example.com/<br /> |
| $ ctlogconfig /path/to/conf/log-config configure-url http://log2.example.com/<br /> |
| $ ctlogconfig /path/to/conf/log-config dump<br /> |
| Log entry:<br /> |
| Record 1<br /> |
| Log id : (not configured)<br /> |
| Public key file: (not configured)<br /> |
| URL : http://log1.example.com/<br /> |
| Time range : -INF to +INF<br /> |
| <br /> |
| Log entry:<br /> |
| Record 2<br /> |
| Log id : (not configured)<br /> |
| Public key file: (not configured)<br /> |
| URL : http://log2.example.com/<br /> |
| Time range : -INF to +INF<br /> |
| </example> |
| |
| <p>Nous pouvons maintenant attribuer une clé publique à un log où le |
| certificat de notre seul serveur d'arrière-plan est publié. Dans notre |
| cas, il s'agit du log dont l'URL est http://log2.example.com/, et qui |
| a déjà été configuré.</p> |
| |
| <example> |
| $ ctlogconfig /path/to/conf/log-config configure-public-key \#2 /path/to/conf/log2-pub.pem<br /> |
| $ ctlogconfig /path/to/conf/log-config dump<br /> |
| Log entry:<br /> |
| Record 1<br /> |
| Log id : (not configured)<br /> |
| Public key file: (not configured)<br /> |
| URL : http://log1.example.com/<br /> |
| Time range : -INF to +INF<br /> |
| <br /> |
| Log entry:<br /> |
| Record 2<br /> |
| Log id : (not configured)<br /> |
| Public key file: /path/to/conf/log2-pub.pem<br /> |
| URL : http://log2.example.com/<br /> |
| Time range : -INF to +INF<br /> |
| </example> |
| </section> |
| |
| </manualpage> |