Cette extension utilise les fonctions de OpenSSL pour générer et vérifier les signatures, ainsi que pour sceller (chiffrer) et ouvrir (déchiffrer) les données. OpenSSL offre beaucoup de fonctionnalités que ce module n’offre pas actuellement. Quelques-unes pourront être ajoutées dans le futur.

Afin de pouvoir utiliser les fonctions OpenSSL, vous devez installer les fonctions OpenSSL. PHP depuis les version 4.0.5 et 4.3.1 fonctionnent avec openSSL >= 0.9.5. Les autres versions (PHP <=4.0.4pl1 et >= 4.3.2) nécessitent OpenSSL >= 0.9.6.

Pour utiliser le support OpenSSL de PHP, vous devez aussi compiler PHP avec l’option de configuration “–with-openssl[=DIR]”.

Note aux utilisateurs Win32 : Afin d’activer ce module dans l’environnement Windows, vous devez copier les bibliothèques libeay32.dll depuis le dossier DLL de PHP/Win32 dans le dossier système SYSTEM32 de votre machine (par exemple : “C:\WINNT\SYSTEM32” ou “C:\WINDOWS\SYSTEM32”).
De plus, si vous envisagez de générer des clés et de signer des messages, vous devez installer un fichier “openssl.cnf” valide sur votre système. Depuis PHP 4.3.0, une configuration simple est incluse dans le dossier “openssl” de la distribution Windows. Si vous utilisez PHP PHP 4.2.0 ou plus ancien, et que ces fichiers manquent, vous pouvez les télécharger sur le site d'OpenSSL ou en téléchargeant les fichiers de configuration de PHP 4.3.0.
Note aux utilisateurs Win32 : PHP va rechercher le fichier “openssl.cnf” suivant la tactique suivante :

* La variable d’environnement “OPENSSL_CONF”, si elle est définie, sera utilisée comme chemin (comprenant le fichier) vers le fichier de configuration. * La variable d’environnement “SSLEAY_CONF”, si elle est définie, sera utilisée comme chemin (comprenant le fichier) vers le fichier de configuration. * Le fichier “openssl.cnf” sera supposé se trouver dans le dossier des certificats, tel que configuré lors de la compilation de la bibliothèque openssl. Cela signifie généralement “c:\usr\local\ssl\openssl.cnf”.

Dans votre installation, vous devrez décider si vous allez installer le fichier dans “c:\usr\local\ssl\openssl.cnf” ou si vous allez le faire ailleurs et configurer une variable d’environnement (possiblement par site virtuel). Notez qu’il est possible de remplacer le chemin par défaut en utilisant le paramètre “configargs” des fonctions qui requièrent un fichier de configuration.

Cette extension ne définit aucune directive de configuration.

Un bon nombre de fonctions OpenSSL demandent une clé et un certificat comme paramètres. PHP 4.0.5 et plus récent utilisait des clés ou certificats sous forme de ressource, retournée par l’une des fonctions openssl_get_xxx(). Les versions ultérieures utilisent l’une des méthodes suivantes :

• Certificats
  1. Une ressource X.509 retournée par openssl_x509_read()
  2. Une chaîne au format “file://path/to/cert.pem”; Le fichier ainsi repéré doit contenir un certificat, encodé au format PEM
  3. Une chaîne contenant le contenu d’un certificat, encodé au format PEM.
• Clés publiques/privées
  1. Une ressource clé, retournée par la fonction openssl_get_publickey() ou openssl_get_privatekey()
  2. Pour les clés publiques seulement : une ressource X.509
  3. Une chaîne avec le format : “file://path/to/file.pem”. Le fichier doit contenir une clé privée, ou un certificat, encodé au format PEM (il peut contenir les deux).
  4. Une chaîne contenant une clé ou un certificat encodé au format PEM
  5. Pour les clés privées, vous pouvez aussi utiliser la syntaxe “array($key, $passphrase)”, où “$key” représente une clé spécifiée par un fichier ou une représentation textuelle comme cité ci-dessus, et “$passphrase” représente une chaîne contenant la passe-phrase de cette clé privée.

Lorsque vous appelez une fonction qui va vérifier une signature ou un certificat, le paramètre “cainfo” doit être un tableau contenant les noms d’un dossier et d’un fichier indiquant les tiers de confiance. Si un dossier est spécifié, il doit être correct, car openssl va l’utiliser.

Ces constantes sont définies par cette extension, et ne sont disponibles que si cette extension a été compilée avec PHP, ou bien chargée au moment de l’exécution.

“X509_PURPOSE_SSL_CLIENT” (entier)

“X509_PURPOSE_SSL_SERVER” (entier)

“X509_PURPOSE_NS_SSL_SERVER” (entier)

“X509_PURPOSE_SMIME_SIGN” (entier)

“X509_PURPOSE_SMIME_ENCRYPT” (entier)

“X509_PURPOSE_CRL_SIGN” (entier)

“X509_PURPOSE_ANY” (entier)

“OPENSSL_PKCS1_PADDING” (entier)

“OPENSSL_SSLV23_PADDING” (entier)

“OPENSSL_NO_PADDING” (entier)

“OPENSSL_PKCS1_OAEP_PADDING” (entier)

“OPENSSL_KEYTYPE_RSA” (entier)

“OPENSSL_KEYTYPE_DSA” (entier)

“OPENSSL_KEYTYPE_DH” (entier)

Les fonctions S/MIME utilisent des options qui sont spécifiées par un champ de bits. Les valeurs valides sont :

Tableau 1. Constantes PKCS7

Note : Ces constantes ont été ajoutées en PHP 4.0.6.

“OPENSSL_ALGO_SHA1” (entier)

Utilisé comme algorithme par défaut pour les fonctions openssl_sign() et openssl_verify().

“OPENSSL_ALGO_MD5” (entier)

“OPENSSL_ALGO_MD4” (entier)

“OPENSSL_ALGO_MD2” (entier)

Note : Ces constantes ont été ajoutées depuis PHP 5.0.0.

“OPENSSL_CIPHER_RC2_40” (entier)

“OPENSSL_CIPHER_RC2_128” (entier)

“OPENSSL_CIPHER_RC2_64” (entier)

“OPENSSL_CIPHER_DES” (entier)

“OPENSSL_CIPHER_3DES” (entier)

Note : Ces constantes ont été ajoutées depuis PHP 4.3.0.

“OPENSSL_VERSION_TEXT” (entier)

“OPENSSL_VERSION_NUMBER” (entier)

Note : Ces constantes ont été ajoutées depuis PHP 5.2.0.

Table des matières

openssl_csr_export_to_file – Exporte une CSR vers un fichieropenssl_csr_export – Exporte un CSR vers un fichier ou une variableopenssl_csr_get_public_key – Retourne la clé publique d’un CERTopenssl_csr_get_subject – Retourne le sujet d’un CERTopenssl_csr_new – Génère une CSRopenssl_csr_sign – Signe un CSR avec un autre certificatopenssl_error_string – Retourne le message d’erreur OpenSSLopenssl_free_key – Libère les ressourcesopenssl_get_privatekey – Alias de openssl_pkey_get_private()
openssl_get_publickey – Alias de openssl_pkey_get_public()
openssl_open – Ouvre des données scelléesopenssl_pkcs7_decrypt – Déchiffre un message S/MIMEopenssl_pkcs7_encrypt – Chiffre un message S/MIMEopenssl_pkcs7_sign – Signe un message S/MIMEopenssl_pkcs7_verify – Vérifie la signature d’un message S/MIMEopenssl_pkey_export_to_file – Sauve une clé au format ASCII dans un fichieropenssl_pkey_export – Lit une représentation exportable de la clé dans une chaîne ou un fichieropenssl_pkey_free – Libère une clé privéeopenssl_pkey_get_details – Retourne un tableau contenant le détail des clés (bits, pkey, type)openssl_pkey_get_private – Lit une clé privéeopenssl_pkey_get_public – Extrait une clé privée d’un certificat, et la prépareopenssl_pkey_new – Génère une nouvelle clé privéeopenssl_private_decrypt – Déchiffre des données avec une clé privéeopenssl_private_encrypt – Chiffre des données avec une clé privéeopenssl_public_decrypt – Déchiffre des données avec une clé publiqueopenssl_public_encrypt – Chiffre des données avec une clé publiqueopenssl_seal – Scelle des donnéesopenssl_sign – Signe les donnéesopenssl_verify – Vérifie une signatureopenssl_x509_check_private_key – Vérifie si une clé privée correspond à un certificatopenssl_x509_checkpurpose – Vérifie l’usage d’un certificatopenssl_x509_export_to_file – Exporte un certificat vers un fichieropenssl_x509_export – Exporte un certificat vers une variable openssl_x509_free –  Libère les ressources prises par un certificat openssl_x509_parse – Analyse un certificat X509openssl_x509_read –  Analyse un certificat X.509 et retourne une ressource