File: openssl.xml

package info (click to toggle)
phpdoc 20020310-1
links: PTS
area: main
in suites: woody
size: 35,272 kB
ctags: 354
sloc: xml: 799,767; php: 1,395; cpp: 500; makefile: 200; sh: 140; awk: 51
file content (1073 lines) | stat: -rw-r--r-- 40,022 bytes
<?xml version="1.0" encoding="iso-8859-1"?>
 <reference id="ref.openssl">
  <title>OpenSSL Funktionen</title>
  <titleabbrev>OpenSSL</titleabbrev>
  <partintro>
       &warn.experimental;
  <sect1 id="openssl.intro">
  <title>Einfhrung</title>
  <para>
   Dieses Modul nutzt die Funktionen von
   <ulink url="&url.openssl;">OpenSSL</ulink> zur Erzeugung und
   berprfung von Signaturen und zum versiegeln (verschlsseln) und
   ffnen (entschlsseln) von Daten.
   PHP-4.0.4pl1 setzt OpenSSL &gt;= 0.9.6 voraus, PHP-4.0.5 und
   folgende funktionieren auch mit OpenSSL &gt;= 0.9.5.
  </para>
   <note>
   <para>Bitte beachten Sie, dass diese Extension immer noch als
   experimentell einzustufen ist!</para>
  </note>
  <para>
   OpenSSL bietet viele Mglichkeiten die dieses Modul zum jetzigen
   Zeitpunkt nicht untersttzt. Einige dieser Mglichkeiten werden
   vielleicht in zuknftigen Versionen zur Verfgung stehen.
  </para>
  </sect1>
  <sect1 id="openssl.certparams">
  <title>Schlssel/Zertifikat Parameter</title>
  <para>
   Ziemlich viele der OpenSSL Funktionen bentigen einen Schlssel-
   oder einen Zertifikatparameter. PHP 4.0.5 und frhere Versionen
   mssen eine Schlssel- oder Zertifikatsresource nutzen, die von
   einer der openssl_get_xxx Funktionen zurckgegeben wird. Sptere
   Versionen knnen eine der folgenden Methoden benutzen:
   <itemizedlist>
    <listitem>
     <para>
      Zertifikate
      <orderedlist>
       <listitem><simpara>Eine X.509 Resource die von
       openssl_x509_read zurckgegeben wird.</simpara></listitem>
       <listitem><simpara>Eine Zeichenkette mit dem Format
       <filename>file://pfad/zu/cert.pem</filename>; die angegebene
       Datei muss ein PEM verschlsseltes Zertifikat enthalten.
       </simpara></listitem>
       <listitem><simpara>Eine Zeichenkette die den Inhalt eines
       Zertifikats enthlt, PEM verschlsselt.
       </simpara></listitem>
      </orderedlist>
     </para>
    </listitem>
    <listitem>
     <para>
      ffentliche/Private Schlssel
      <orderedlist>
       <listitem><simpara>Eine Schlsselresource die von
       <function>openssl_get_publickey</function> oder
       <function>openssl_get_privatekey</function> zurckgegeben
       wird.</simpara>
       </listitem>
       <listitem><simpara>Nur fr ffentliche Schlssel: eine X.509
       Resource.</simpara></listitem>
       <listitem><simpara>Eine Zeichenkette mit dem Format
       <filename>file://pfad/zu/datei.pem</filename> - die angegebene
       Datei muss ein PEM verschlsseltes Zertifikat/privaten
       Schlssel enthalten (kann auch beides enthalten).
       </simpara></listitem>
       <listitem><simpara>Eine Zeichenkette die den Inhalt eines
       Zertifikats/Schlssels enthlt, PEM verschlsselt.</simpara>
       </listitem>
       <listitem><simpara>Fr private Schlssel knnen Sie auch die
       Syntax verwenden <emphasis>array($key, $passphrase)</emphasis>.
       $key reprsentiert einen Schlssel, den Sie entweder mit der
       Notation file:// oder dem textlichen Inhalt wie oben angeben.
       $passphrase ist eine Zeichenfolge, die die Passphrase fr den
       privaten Schlssel enthlt.
       </simpara></listitem>
      </orderedlist>
     </para>
    </listitem>
   </itemizedlist>
  </para>
  </sect1>
  <sect1 id="openssl.cert.verification">
  <title>Zertifikat Nachweis</title>
  <para>
   Wenn Sie eine Funktion aufrufen, die eine Signatur/Zertifikat
   berprft, ist der Parameter <emphasis>cainfo</emphasis> ein Array,
   das Datei- und Verzeichnisnamen enthlt, die auf vertrauenswrdige
   CA Dateien verweisen. Falls Sie ein Verzeichnis angeben, muss dies ein
   korrekt geformtes gehashedes Verzeichnis sein, in der Art, wie es der Befehl
   <command>openssl</command> verwenden wrde.
  </para>
  </sect1>
  <sect1 id="openssl.pkcs7.flags">
   <title>PKCS7 Kennzeichen/Konstanten</title>
   <para>
    Die S/MIME Funktionen nutzen Kennzeichen die sich dadurch auszeichnen, dass
    sie ein Bitfeld benutzen, das einen oder mehrere der folgenden Werte
    enthalten kann:

    <table>
     <title>PKCS7 KONSTANTEN</title>
      <tgroup cols="2">
       <thead>
        <row>
         <entry>Konstante</entry>
         <entry>Beschreibung</entry>
        </row>
       </thead>
       <tbody>
        <row>
         <entry>PKCS7_TEXT</entry>
         <entry>Fgt den text/plain Inhaltstyp Header einer
         verschlsselten/signierten Nachricht hinzu.
         Wenn Sie entschlsseln oder berprfen, werden diese Header
         von der Ausgabe entfernt - wenn die entschlsselte oder
         geprfte Nachricht nicht dem MIME Typ text/plain entspricht,
         tritt ein Fehler auf.</entry>
        </row>
        <row>
         <entry>PKCS7_BINARY</entry>
         <entry>Normalerweise wird die Nachricht in ein "kanonisches"
         Format konvertiert, das effektiv CR und LF als Zeilende benutzt:
         wie von der S/MIME Spezifikation gefordert.
         Wird diese Option angegeben, findet keine Konvertierung statt.
         Das kann sich als ntzlich erweisen, wenn Sie mit binren Daten
         umgehen, die nicht dem MIME Format entprechen.
         </entry>
        </row>
        <row>
         <entry>PKCS7_NOINTERN</entry>
         <entry>Wenn Sie eine Nachricht berprfen, werden in der Nachricht
         enthaltene Zertifikate (falls es welche gibt) nach dem 
         unterzeichnenden Zertifikat durchsucht. Mit dieser Option werden
         nur Zertifikate benutzt, die mit dem Parameter 
         <parameter>extracerts</parameter> in der Funktion 
         <function>openssl_pkcs7_verify</function> angegeben wurden.
         Die mitgelieferten Zertifikate knnen aber dennoch als nicht
         vertrauenswrdige CAs benutzt werden.
         </entry>
        </row>
        <row>
         <entry>PKCS7_NOVERIFY</entry>
         <entry>Keine berprfung des signierenden Zertifikats
         einer signierten Nachricht.</entry>
        </row>
        <row>
         <entry>PKCS7_NOCHAIN</entry>
         <entry>Keine Verknpfung der berprfung des Zertifikats mit den
         Zertifikaten des Unterzeichners: das bedeutet, die Zertifikate in
         der signierten Nachricht werden nicht als unvertrauenswrdige CAs
         benutzt.
         </entry>
        </row>
        <row>
         <entry>PKCS7_NOCERTS</entry>
         <entry>Beim Signieren einer Nachricht wird normalerweise das
         Zertifikat des Unterzeichnenden mit in die Nachricht
         aufgenommen - mit dieser Option wird das Zertifikat nicht
         mit aufgenommen. Diese Option verringert die Gre der signierten
         Nachricht, aber der berprfende muss eine lokale Kopie des
         Zertifikats vom Unterzeichnenden besitzen (zum Beispiel durch Angabe
         des Parameters <parameter>extracerts</parameter> in der Funktion
         <function>openssl_pkcs7_verify</function>).
         </entry>
        </row>
        <row>
         <entry>PKCS7_NOATTR</entry>
         <entry>Beim Signieren einer Nachricht wird normalerweise eine Reihe
         von Attributen mit angehngt. Diese enthalten die Zeit der Signierung
         und die untersttzen symmetrischen Algorithmen. Mit dieser Option werden
         diese Attribute nicht mit aufgenommen.
         </entry>
        </row>
        <row>
         <entry>PKCS7_DETACHED</entry>
         <entry>Beim Signieren einer Nachricht wird Klartext-Signierung
         verwendet mit MIME Typ multipart/signed. Das ist der Standard,
         wenn Sie keinen optionalen Parameter <parameter>flags</parameter>
         an die Funktion <function>openssl_pkcs7_sign</function> bergeben.
         Wenn Sie diese Option ausschalten wird die Nachricht mit einer 
         undurchsichtigen Signatur unterzeichnet. Dieses Verhalten ist robuster
         gegenber der bersetzung durch Mail-Relays, kann aber nicht mit
         Mailprogrammen gelesen werden, die nicht den S/Mime Standard
         untersttzen.
         </entry>
        </row>
        <row>
         <entry>PKCS7_NOSIGS</entry>
         <entry>Kein Versuch und keine berprfung der Signaturen einer
         Nachricht.
         </entry>
        </row>
       </tbody>
      </tgroup>
     </table>
   </para>
   <note>
     <para>Diese Konstanten wurden in 4.0.6 hinzugefgt.</para>
    </note>


  </sect1>
  </partintro>
  <refentry id="function.openssl-error-string">
   <refnamediv>
    <refname>openssl_error_string</refname>
    <refpurpose>Liefert eine OpenSSL Fehlermeldung</refpurpose>
   </refnamediv>
   <refsect1>
    <title>Beschreibung</title>
     <methodsynopsis>
      <type>mixed</type><methodname>openssl_error_string</methodname>
      <void/>
     </methodsynopsis>
   &warn.experimental.func;
    <para>
     Liefert einen Fehlertext, oder &false;, wenn es keine weiteren
     Fehler gibt.
     
    </para>
    <para>
     Die Funktion <function>openssl_error_string</function> liefert den letzten
     Fehler der OpenSSL Bibliothek. Die Fehlermeldungen werden auf einem Stack
     abgelegt. Diese Funktion sollte also mehrmals aufgerufen werden, um alle
     Informationen zu erhalten.
    </para>
    <para>
     <emphasis>Die Parameter/Rckgabewerte dieser Funktion knnen sich
      ndern, bevor diese in einer Release Version von PHP zur Verfgung stehen.
     </emphasis>
    </para>
    <para>
     <example>
      <title><function>openssl_error_string</function> Beispiel</title>
      <programlisting role="php">
<![CDATA[
// Annahme: Sie haben eine openssl-Funktion aufgerufen, die einen Fehler
// verursacht hat.
while($msg = openssl_error_string())
    echo $msg . "<br>";
]]>
      </programlisting>
     </example>
    </para>
    <note>
     <para>
      Diese Funktion wurde in 4.0.6 hinzugefgt.
     </para>
    </note>
   </refsect1>
  </refentry>

  <refentry id="function.openssl-free-key">
   <refnamediv>
    <refname>openssl_free_key</refname>
    <refpurpose>Freigabe einer Schlsselressource</refpurpose>
   </refnamediv>
   <refsect1>
    <title>Beschreibung</title>
     <methodsynopsis>
      <type>void</type><methodname>openssl_free_key</methodname>
      <methodparam><type>resource</type><parameter>key_identifier</parameter></methodparam>
     </methodsynopsis>
&warn.experimental.func;
    <para>
     Die Funktion <function>openssl_free_key</function> lscht den Schlssel mit dem
     angegebenen Parameter <parameter>key_identifier</parameter> aus
     dem Speicher.
    </para>
   </refsect1>
  </refentry>

  <refentry id="function.openssl-get-privatekey">
   <refnamediv>
    <refname>openssl_get_privatekey</refname>
    <refpurpose>Bereitet einen PEM formatierten privaten Schlssel zum
    Gebrauch vor</refpurpose>
   </refnamediv>
   <refsect1>
    <title>Beschreibung</title>
     <methodsynopsis>
      <type>resource</type><methodname>openssl_get_privatekey</methodname>
      <methodparam><type>mixed</type><parameter>key</parameter></methodparam>
      <methodparam choice="opt"><type>string</type><parameter>passphrase
      </parameter></methodparam>
     </methodsynopsis>
&warn.experimental.func;
    <para>
     Rckgabewert: im Erfolgsfall eine positive Schlssel-Resource-Kennung,
     &false; im Fehlerfall.
    </para>
    <para>
     Die Funktion <function>openssl_get_privatekey</function> analysiert
     den PEM formatierten privaten Schlssel der mit dem Parameter
     <parameter>key</parameter> angegeben wurde und bereitet ihn
     fr den Gebrauch durch andere Funktionen vor.
     Der optionale Parameter <parameter>passphrase</parameter> muss
     angegeben werden, falls der Schlssel selbst verschlsselt ist
     (geschtzt durch eine Passphrase).
    </para>
   </refsect1>
  </refentry>

  <refentry id="function.openssl-get-publickey">
   <refnamediv>
    <refname>openssl_get_publickey</refname>
    <refpurpose>Extrahiert einen ffentlichen Schlssel aus einem
    Zertifikat und bereitet ihn fr den Gebrauch vor</refpurpose>
   </refnamediv>
   <refsect1>
    <title>Beschreibung</title>
     <methodsynopsis>
      <type>resource</type><methodname>openssl_get_publickey</methodname>
      <methodparam><type>mixed</type><parameter>certificate</parameter></methodparam>
     </methodsynopsis>
&warn.experimental.func;
    <para>
     Rckgabewert: im Erfolgsfall eine positive Schlssel-Resource-Kennung,
     &false; im Fehlerfall.
    </para>
    <para>
     Die Funktion <function>openssl_get_publickey</function> extrahiert den
     ffentlichen Schlssel aus einem X.509 Zertifikat, angegeben
     durch den Parameter <parameter>certificate</parameter>, und bereitet
     ihn fr den Gebrauch durch andere Funktionen vor.
    </para>
   </refsect1>
  </refentry>

  <refentry id="function.openssl-open">
   <refnamediv>
    <refname>openssl_open</refname>
    <refpurpose>ffnet versiegelte Daten</refpurpose>
   </refnamediv>
   <refsect1>
    <title>Beschreibung</title>
     <methodsynopsis>
      <type>bool</type><methodname>openssl_open</methodname>
      <methodparam><type>string</type><parameter>sealed_data</parameter></methodparam>
      <methodparam><type>string</type><parameter>open_data</parameter></methodparam>
      <methodparam><type>string</type><parameter>env_key</parameter></methodparam>
      <methodparam><type>mixed</type><parameter>priv_key_id</parameter></methodparam>
     </methodsynopsis>
&warn.experimental.func;
    <para>
     Rckgabewert: &true; im Erfolgsfall, &false; im Fehlerfall. Im
     Erfolgsfall werden die geffneten Daten im Parameter <parameter>
     open_data</parameter> zurckgegeben.
    </para>
    <para>
     Die Funktion <function>openssl_open</function> ffnet (entschlsselt)
     <parameter>sealed_data</parameter> unter Verwendung des privaten
     Schlsssels, der mit der Schlsselkennung
     <parameter>priv_key_id</parameter> und dem Umschlag Schlssel
     <parameter>env_key</parameter> verknpft ist und fllt <parameter>
     open_data</parameter> mit den entschlsselten Daten.
     Der Umschlag Schlssel wird bei der Versiegelung erzeugt und kann
     ausschlieslich fr einen bestimmten privaten Schlssel verwendet werden.
     Mehr Informationen erhalten Sie unter der <function>openssl_seal</function> Funktion.
    </para>
    <para>
     <example>
      <title><function>openssl_open</function> Beispiel</title>
      <programlisting role="php">
<![CDATA[
// Annahme: $sealed und $env_key enthalten versiegelte Daten
// und unseren Umschlag Schlssel; beide haben wir von dem sie 
// Versiegelnden erhalten

// privaten Schlssel aus einer Datei holen und vorbereiten
$fp = fopen("/src/openssl-0.9.6/demos/sign/key.pem", "r");
$priv_key = fread($fp, 8192);
fclose($fp);
$pkeyid = openssl_get_privatekey($priv_key);

// entschlsseln der Daten und speichern in $open
if (openssl_open($sealed, $open, $env_key, $pkeyid))
    echo "Das sind die geffneten Daten: ", $open;
else
    echo "ffnen der Daten nicht mglich!";

// lschen des privaten Schlssels aus dem Speicher
openssl_free_key($pkeyid);
]]>
      </programlisting>
     </example>
    </para>
    <simpara>
     Siehe auch <function>openssl_seal</function>.
    </simpara>
   </refsect1>
  </refentry>

  <refentry id="function.openssl-seal">
   <refnamediv>
    <refname>openssl_seal</refname>
    <refpurpose>Versiegelt (verschlsselt) Daten</refpurpose>
   </refnamediv>
   <refsect1>
    <title>Beschreibung</title>
     <methodsynopsis>
      <type>int</type><methodname>openssl_seal</methodname>
      <methodparam><type>string</type><parameter>data</parameter></methodparam>
      <methodparam><type>string</type><parameter>sealed_data</parameter></methodparam>
      <methodparam><type>array</type><parameter>env_keys</parameter></methodparam>
      <methodparam><type>array</type><parameter>pub_key_ids</parameter></methodparam>
     </methodsynopsis>
&warn.experimental.func;
    <para>
     Rckgabewert: im Erolgsfall die Lnge der versiegelten Daten,
     &false; bei einem Fehler.
     War der Aufruf der Funktion erfolgreich, sind die versiegelten Daten
     in <parameter>sealed_data</parameter> enthalten und der Umschlag
     Schlssel steht in <parameter>env_keys</parameter> zur Verfgung.
    </para>
    <para>
     Die Funktion <function>openssl_seal</function> versiegelt (verschlsselt)
     <parameter>data</parameter> unter Verwendung von RC4 mit einem zufllig
     erzeugten geheimen Schlssel. Dieser Schlssel wird mit jedem ffentlichen
     Schlssel verschlsselt, der mit der Kennung in
     <parameter> pub_key_ids</parameter> verknpft ist. Jeder verschlsselte
     Schlssel wird in <parameter>env_keys</parameter>zurckgegeben.Das
     bedeutet, dass Sie versiegelte Daten an mehrere Empfnger versenden knnen
     (unter der Vorraussetzung, dass Sie irgendwann die ffentlichen Schlssel
     der Empfnger erhalten haben. Jeder Empfnger muss sowohl die versiegelten
     Daten als auch den entsprechenden Umschlag Schlssel erhalten, der mit
     dem ffentlichen Schlssel des Empfngers versiegelt wurde.
    </para>
    <para>
     <example>
      <title><function>openssl_seal</function> Beispiel</title>
      <programlisting role="php">
<![CDATA[
// Annahme: $data enthlt die zu versiegelnden Daten

// holen und vorbereiten der ffentlichen Schlssel unserer Empfnger
$fp = fopen("/src/openssl-0.9.6/demos/maurice/cert.pem", "r");
$cert = fread($fp, 8192);
fclose($fp);
$pk1 = openssl_get_publickey($cert);

// Wiederholung fr den zweiten Empfnger
$fp = fopen("/src/openssl-0.9.6/demos/sign/cert.pem", "r");
$cert = fread($fp, 8192);
fclose($fp);
$pk2 = openssl_get_publickey($cert);

// versiegeln der Nachricht, nur Besitzer von $pk1 und $pk2 knnen 
// mit Schlsseln $sealed entschlsseln,
// entsprechendes gilt fr $ekeys[0] und $ekeys[1].
openssl_seal($data, $sealed, $ekeys, array($pk1,$pk2));

// Lschen der Schlssel aus dem Speicher
openssl_free_key($pk1);
openssl_free_key($pk2);
]]>
      </programlisting>
     </example>
    </para>
    <simpara>
     Siehe auch <function>openssl_open</function>.
    </simpara>
   </refsect1>
  </refentry>

  <refentry id="function.openssl-sign">
   <refnamediv>
    <refname>openssl_sign</refname>
    <refpurpose>Erzeugen einer Unterschrift</refpurpose>
   </refnamediv>
   <refsect1>
    <title>Beschreibung</title>
     <methodsynopsis>
      <type>bool</type><methodname>openssl_sign</methodname>
      <methodparam><type>string</type><parameter>data</parameter></methodparam>
      <methodparam><type>string</type><parameter>signature</parameter></methodparam>
      <methodparam><type>mixed</type><parameter>priv_key_id</parameter></methodparam>
     </methodsynopsis>
&warn.experimental.func;
    <para>
     Rckgabewert: &true; im Erfolgsfall, &false; im Fehlerfall.
     Ist der Aufruf der Funktion erfolgreich, steht die Signatur
     im Parameter <parameter>signature</parameter> zur Verfgung.
    </para>
    <para>
     Die Funktion <function>openssl_sign</function> errechnet eine
     Unterschrift fr die im Parameter <parameter>data</parameter>
     angegebenen Daten. Fr das hashing der Daten wird SHA1 benutzt und
     anschliessend wird mit dem privaten Schlssel verschlsselt,
     angegeben mit <parameter>priv_key_id</parameter>. Beachten Sie, dass
     die Daten selbst nicht verschlsselt werden.
    </para>
    <para>
     <example>
      <title><function>openssl_sign</function> Beispiel</title>
      <programlisting role="php">
<![CDATA[
// Annahme: $data enthlt die Daten, die signiert werden sollen.

// holen und vorbereiten des privaten Schlssels aus einer Datei.
$fp = fopen("/src/openssl-0.9.6/demos/sign/key.pem", "r");
$priv_key = fread($fp, 8192);
fclose($fp);
$pkeyid = openssl_get_privatekey($priv_key);

// errechnen der Unterschrift
openssl_sign($data, $signature, $pkeyid);

// Lschen des Schlssels aus dem Speicher
openssl_free_key($pkeyid);
]]>
      </programlisting>
     </example>
    </para>
    <simpara>
     Siehe auch <function>openssl_verify</function>.
    </simpara>
   </refsect1>
  </refentry>

  <refentry id="function.openssl-verify">
   <refnamediv>
    <refname>openssl_verify</refname>
    <refpurpose>berprft eine Unterschrift</refpurpose>
   </refnamediv>
   <refsect1>
    <title>Beschreibung</title>
     <methodsynopsis>
      <type>int</type><methodname>openssl_verify</methodname>
      <methodparam><type>string</type><parameter>data</parameter></methodparam>
      <methodparam><type>string</type><parameter>signature</parameter></methodparam>
      <methodparam><type>mixed</type><parameter>pub_key_id</parameter></methodparam>
     </methodsynopsis>
&warn.experimental.func;
    <para>
     Rckgabewerte: Bei korrekter Unterschrift wird 1 zurckgegeben,
     ist die Unterschrift nicht korrekt wird 0 zurckgegeben. Tritt ein 
     Fehler auf wird -1 zurckgegeben.
    </para>
    <para>
     Die Funktion <function>openssl_verify</function> berprft
     die Korrektheit der Unterschrift <parameter>signature</parameter>
     fr die angegebenen Daten <parameter>data</parameter> mit Hilfe des
     ffentlichen Schlssels, verknpft ber den Parameter
     <parameter>pub_key_id</parameter>. Das muss der passende
     ffentliche zum privaten Schlssel sein, der fr die Unterschrift
     benutzt wurde.
    </para>

    <para>
     <example>
      <title><function>openssl_verify</function> Beispiel</title>
      <programlisting role="php">
<![CDATA[
// Annahme: $data und $signature enthalten die Daten und die Unterschrift

// holen und vorbereiten des ffentlichen Schlssels aus dem Zertifikat
$fp = fopen("/src/openssl-0.9.6/demos/sign/cert.pem", "r");
$cert = fread($fp, 8192);
fclose($fp);
$pubkeyid = openssl_get_publickey($cert);

// feststellen, ob die Unterschrift ok ist oder nicht 
$ok = openssl_verify($data, $signature, $pubkeyid);
if ($ok == 1)
    echo "gut";
elseif ($ok == 0)
    echo "schlecht";
else
    echo "Mist, Fehler beim berprfen der Unterschrift;

// Lschen des Schlssels aus dem Speicher
openssl_free_key($pubkeyid);
]]>
      </programlisting>
     </example>
    </para>
    <simpara>
     Siehe auch <function>openssl_sign</function>.
    </simpara>
   </refsect1>
  </refentry>

  <refentry id="function.openssl-pkcs7-decrypt">
   <refnamediv>
    <refname>openssl_pkcs7_decrypt</refname>
    <refpurpose>Entschlssen einer S/MIME verschlsselten Nachricht
    </refpurpose>
   </refnamediv>
   <refsect1>
    <title>Beschreibung</title>
     <methodsynopsis>
      <type>bool</type><methodname>openssl_pkcs7_decrypt</methodname>
      <methodparam><type>string</type><parameter>infilename</parameter></methodparam>
      <methodparam><type>string</type><parameter>outfilename</parameter></methodparam>
      <methodparam><type>mixed</type><parameter>recipcert</parameter></methodparam>
      <methodparam><type>mixed</type><parameter>recipkey</parameter></methodparam>
     </methodsynopsis>
&warn.experimental.func;
    <para>
     Die Funktion <function>openssl_pkcs7_decrypt</function> entschlsselt
     die mit S/MIME verschlsselte Nachricht, die sich in der
     Datei befindet, die mit dem Paramter <parameter>infilename</parameter>
     angegeben wurde. Benutzt wird dafr das Zertifikat, angegeben durch
     <parameter>recipcert</parameter>, und der damit verknpfte
     private Schlssel, angegeben durch <parameter>recipkey</parameter>.
    </para>
    <para>Die entschlsselte Nachricht wird in die Datei geschrieben, die mit
     dem Parameter <parameter>outfilename</parameter> angegeben wurde.
    </para>
    <para>
     <example>
      <title><function>openssl_pkcs7_decrypt</function> Beispiel</title>
      <programlisting role="php">
<![CDATA[
// Annahme: $cert enthlt Ihr persnliches Zertifikat und
// $key Ihr privates Schlsselpaar. Sie erhalten eine S/MIME Nachricht.

$infilename = "encrypted.msg";  // diese Datei enthlt ihre verschlsselte Nachricht
$outfilename = "decrypted.msg"; // stellen Sie sicher, dass Sie Schreibrechte haben!

if (openssl_pkcs7_decrypt($infilename, $outfilename, $cert, $key))
    echo "entschlsselt!";
else
    echo "entschlsseln fehlgeschlagen!";
]]>
      </programlisting>
     </example>
    </para>
    <note>
     <para>Diese Funktion wurde in 4.0.6 hinzugefgt.</para>
    </note>

   </refsect1>
  </refentry>

  <refentry id="function.openssl-pkcs7-encrypt">
   <refnamediv>
    <refname>openssl_pkcs7_encrypt</refname>
    <refpurpose>Verschlsseln einer S/MIME Nachricht</refpurpose>
   </refnamediv>
   <refsect1>
    <title>Beschreibung</title>
     <methodsynopsis>
      <type>bool</type><methodname>openssl_pkcs7_encrypt</methodname>
      <methodparam><type>string</type><parameter>infilename</parameter></methodparam>
      <methodparam><type>string</type><parameter>outfilename</parameter></methodparam>
      <methodparam><type>mixed</type><parameter>recipcerts</parameter></methodparam>
      <methodparam><type>array</type><parameter>headers</parameter></methodparam>
      <methodparam choice="opt"><type>long</type><parameter>flags</parameter></methodparam>
     </methodsynopsis>
&warn.experimental.func;
    <para>
     Die Funktion <function>openssl_pkcs7_encrypt</function> verschlsselt die
     Inhalte der Datei, angegeben durch den Pararmeter
     <parameter>infilename</parameter>. Die Verschlsselung benutzt
     eine RC2 40 Bit Chiffre, so dass diese Inhalte nur von den
     beabsichtigten Empfngern gelesen werden knnen, die mit dem Parameter
     <parameter>recipcerts</parameter> angegeben wurden. Der Parameter
     <parameter>recipcerts</parameter> kann ein einzelnes X.509 Zertifikat
     oder ein Array von X.509 Zertifikaten enthalten.
     Der Parameter <parameter>headers</parameter> ist ein Array aus Headern
     die den Daten vorangestellt wird, nachdem diese verschlsselt wurden.
     Das Array <parameter>headers</parameter> kann entweder ein assoziatives
     Array sein, mit Indizes aus den Headernamen, oder ein indiziertes Array,
     wobei jedes Element eine einzelne Header-Zeile enthlt.
     Um den Verschlsselungsprozess zu beeinflussen, knnen Sie den Paramter
     <parameter>flags</parameter> benutzen - siehe
     <link linkend="openssl.pkcs7.flags"> PKCS7 Konstanten</link>.
    </para>
    <para>
     <example>
      <title><function>openssl_pkcs7_encrypt</function>
      Beispiel</title>
      <programlisting role="php">
<![CDATA[
// Die Nachricht die Sie verschlsselt an Ihren Geheimagenten,
// bekannt als Nachtfalke, schicken wollen.
// Sein Zertifikat liegt Ihnen in der Datei nighthawk.pem vor.
$data = <<<EOD
Nachtfalke,

Streng geheim, nur fr Ihre Augen bestimmt!

Der Feind kommt nher! Treffen Sie mich im Cafe um 8.30 abends.
Sie erhalten Ihren geflschten Ausweis!

HQ
EOD;
// speichern der Nachricht in einer Datei
$fp = fopen("msg.txt", "w");
fwrite($fp, $data);
fclose($fp);
// verschlsseln
if (openssl_pkcs7_encrypt("msg.txt", "enc.txt", "nighthawk.pem",
    array("To" => "nighthawk@agent.com", // keyed syntax
          "From: HQ <hq@cia.com>", // indexed syntax
          "Subject" => "Eyes only")))
{
    // Nachricht verschlsselt - ab damit!
    exec(ini_get("sendmail_path") . " < enc.txt");
}
]]>
      </programlisting>
     </example>
    </para>
  <note>
     <para>Diese Funktion wurde in 4.0.6 hinzugefgt.</para>
    </note>


   </refsect1>
  </refentry>

 <refentry id="function.openssl-pkcs7-sign">
  <refnamediv>
   <refname>openssl_pkcs7_sign</refname>
   <refpurpose>Unterzeichnen einer S/MIME Nachricht</refpurpose>
  </refnamediv>
  <refsect1>
   <title>Beschreibung</title>
    <methodsynopsis>
     <type>bool</type><methodname>openssl_pkcs7_sign</methodname>
     <methodparam><type>string</type><parameter>infilename</parameter></methodparam>
     <methodparam><type>string</type><parameter>outfilename</parameter></methodparam>
     <methodparam><type>mixed</type><parameter>signcert</parameter></methodparam>
     <methodparam><type>mixed</type><parameter>privkey</parameter></methodparam>
     <methodparam><type>array</type><parameter>headers</parameter></methodparam>
     <methodparam choice="opt"><type>long</type><parameter>flags</parameter></methodparam>
     <methodparam choice="opt"><type>string</type><parameter>extracertsfilename</parameter></methodparam>
    </methodsynopsis>
&warn.experimental.func;
   <para>
    Die Funktion <function>openssl_pkcs7_sign</function> unterzeichnet die
    Inhalte der Datei, angegeben durch den Pararmeter
    <parameter>infilename</parameter>. Beim Unterzeichnen wird das Zertifikat,
    angegeben durch <parameter>signcert</parameter>, und der dazu gehrige
    private Schlssel, angegeben durch <parameter>privkey</parameter>, benutzt.
   </para>
   <para>
    Der Parameter <parameter>headers</parameter> ist ein Array aus Headern
    die den Daten vorangestellt werden, nachdem diese unterzeichnet wurden
    (Fr mehr Informationen ber das Format dieses Parameters schauen Sie 
    bei der Funktion <function>openssl_pkcs7_encrypt</function> nach).
   </para>
   <para>
    Der Parameter <parameter>flags</parameter> kann zur nderung der Ausgabe
    benutzt werden - siehe
    <link linkend="openssl.pkcs7.flags">PKCS7 Konstanten</link> - falls
    nicht angegeben ist die Vorgabe PKCS7_DETACHED.
   </para>
   <para>
    Der Parameter <parameter>extracertsfilename</parameter> gibt den Namen
    einer Datei an, die ein Bndel von extra Zertifikaten enthlt, die in
    die Unterschrift mit eingefgt werden. Das kann zum Beispiel als Hilfe
    fr einen Empfnger dienen, das von Ihnen benutze Zertifikat zu berprfen.
   </para>
    <para>
     <example>
      <title><function>openssl_pkcs7_sign</function> Beispiel</title>
      <programlisting role="php">
<![CDATA[
// Die Nachricht die Sie unterschreiben mchten, damit der Empfnger sicher sein,
// dass diese Nachricht von Ihnen stammt.

$data = <<<EOD

Sie haben meine Erlaubnis 20,000.- DM fr Essen auszugeben.

Der CEO
EOD;
// Nachricht in einer Datei speichern
$fp = fopen("msg.txt", "w");
fwrite($fp, $data);
fclose($fp);
// encrypt it
if (openssl_pkcs7_sign("msg.txt", "signed.txt", "mycert.pem",
    array("mycert.pem", "mypassphrase"),
    array("To" => "joes@sales.com", // keyed syntax
          "From: HQ <ceo@sales.com>", // indexed syntax
          "Subject" => "Eyes only"))
{
    // Nachricht unterschrieben - abschicken!
    exec(ini_get("sendmail_path") . " < signed.txt");
}
]]>
      </programlisting>
     </example>
    </para>
  <note>
     <para>Diese Funktion wurde in 4.0.6 hinzugefgt.</para>
    </note>


  </refsect1>
 </refentry>

 <refentry id="function.openssl-pkcs7-verify">
  <refnamediv>
   <refname>openssl_pkcs7_verify</refname>
   <refpurpose>berprft die Unterschrift einer mit S/MIME 
    unterschriebenen Nachricht
   </refpurpose>
  </refnamediv>
  <refsect1>
   <title>Beschreibung</title>
    <methodsynopsis>
     <type>bool</type><methodname>openssl_pkcs7_verify</methodname>
     <methodparam><type>string</type><parameter>filename</parameter></methodparam>
     <methodparam><type>int</type><parameter>flags</parameter></methodparam>
     <methodparam choice="opt"><type>string</type><parameter>outfilename
     </parameter></methodparam>
     <methodparam choice="opt"><type>array</type><parameter>cainfo
     </parameter></methodparam>
     <methodparam choice="opt"><type>string</type><parameter>extracerts
     </parameter></methodparam>
    </methodsynopsis>
&warn.experimental.func;
   <para>
    Die Funktion <function>openssl_pkcs7_verify</function> liest die
    S/MIME Nachricht, die in der Datei <parameter>filename</parameter>
    enthalten ist und untersucht die digitale Unterschrift.
    Ist die Unterschrift berprft wird &true; zurckgegeben, falls die
    Unterschrift nicht korrekt ist &false; (die Nachricht wurde mit dem
    Zertifikat vermischt oder das unterzeichnende Zertifikat ist ungltig).
    Tritt ein Fehler auf wird -1 zurckgegeben.
   </para>
   <para>
    Mit dem Parameter <parameter>flags</parameter> knnenn Sie die Art und
    Weise beeinflussen, wie die Unterschrift berprft wird - fr mehr 
    Informationen siehe
    <link linkend="openssl.pkcs7.flags">PKCS7 Konstanten</link>.
   </para>
   <para>
    Wird der Parameter <parameter>outfilename</parameter> angegeben, sollte
    dies eine Zeichenkette sein, die den Namen einer Datei enthlt,
    in der das Zertifikat der unterzeichnenden Person im PEM Format
    gespeichert wird.
   </para>
   <para>
    Wird der Parameter <parameter>cainfo</parameter> angegeben, sollten
    Informationen ber die vertrauenswrdigen CA Zertifikate enthalten sein ,
    die fr den berprfungsprozess benutzt werden - fr mehr Informationen
    zu diesem Parameter sollten Sie unter
    <link linkend="openssl.cert.verification">Zertifikat Nachweis</link>
    nachschauen.
   </para>
   <para>
    Wird der Parameter <parameter>extracerts</parameter> angegeben, ist es der
    Name einer Datei, die ein Bndel von Zertifikaten enthlt, die als
    nicht vertrauenswrdige CAs genutzt werden.
   </para>
  <note>
     <para>Diese Funktion wurde in 4.0.6 hinzugefgt.</para>
    </note>


  </refsect1>
 </refentry>

 <refentry id="function.openssl-x509-checkpurpose">
  <refnamediv>
   <refname>openssl_x509_checkpurpose</refname>
   <refpurpose>berprft ob ein Zertifikat fr einen bestimmten Zweck benutzt
    werden kann
   </refpurpose>
  </refnamediv>
  <refsect1>
   <title>Beschreibung</title>
    <methodsynopsis>
     <type>bool</type><methodname>openssl_x509_checkpurpose</methodname>
     <methodparam><type>mixed</type><parameter>x509cert</parameter></methodparam>
     <methodparam><type>int</type><parameter>purpose</parameter></methodparam>
     <methodparam><type>array</type><parameter>cainfo</parameter></methodparam>
     <methodparam choice="opt"><type>string</type><parameter>untrustedfile</parameter></methodparam>
    </methodsynopsis>
&warn.experimental.func;
   <para>
    Kann das Zertifikat fr den beabsichtigten Zweck benutzt werden, gibt
    diese Funktion &true; zurck; falls nicht &false;, bei einem Fehler -1.
   </para>
   <para>
    Die Funktion <function>openssl_x509_checkpurpose</function> untersucht
    das mit dem Parameter <parameter>x509cert</parameter> angegebene
    Zertifikat darauf, ob es fr den mit <parameter>purpose</parameter>
    angegebenen Zweck benutzt werden kann.
   </para>
   <para>
    Der Parameter <parameter>cainfo</parameter> sollte ein Array aus
    vertrauenswrdigen CA Dateien/Verzeichnissen enthalten.
    Dieses Array ist genauer beschrieben unter
    <link linkend="openssl.cert.verification">Zertifikat Nachweis</link>.
   </para>
   <para>
    Der Parameter <parameter>untrustedfile</parameter>, falls angegeben,
    ist der Name einer PEM verschlsselten Datei, die Zertifikate enthlt,
    die dazu benutzt werden knnen, das Zertifikat zu berprfen, obwohl
    kein Vertrauen zu diesen Zertifikaten besteht, die aus dieser
    Datei stammen.
   </para>
   <para>
    <table>
     <title><function>openssl_x509_checkpurpose</function>
     Zweck</title>
     <tgroup cols="2">
      <thead>
       <row>
        <entry>Konstante</entry>
        <entry>Beschreibung</entry>
       </row>
      </thead>
      <tbody>
       <row>
        <entry>X509_PURPOSE_SSL_CLIENT</entry>
        <entry>Client-Seite einer SSL Verbindung?
        </entry>
       </row>
       <row>
        <entry>X509_PURPOSE_SSL_SERVER</entry>
        <entry>Server-Seite einer SSL Verbindung?
        </entry>
       </row>
       <row>
        <entry>X509_PURPOSE_NS_SSL_SERVER</entry>
        <entry>Netscape SSL Server?
        </entry>
       </row>
       <row>
        <entry>X509_PURPOSE_SMIME_SIGN</entry>
        <entry>Unterschreiben einer S/MIME Email?
        </entry>
       </row>
       <row>
        <entry>X509_PURPOSE_SMIME_ENCRYPT</entry>
        <entry>Verschlsseln einer S/MIME Email?</entry>
       </row>
       <row>
        <entry>X509_PURPOSE_CRL_SIGN</entry>
        <entry>Unterschreiben einer Zertifikats-Widerrufliste(CRL)?
        </entry>
       </row>
       <row>
        <entry>X509_PURPOSE_ANY</entry>
        <entry>Beliebige/alle Zwecke?</entry>
       </row>
      </tbody>
     </tgroup>
    </table>
    Diese Optionen sind keine Bitfelder - Sie knnen nur eine einzige angeben!
   </para>
   <note>
     <para>Diese Funktion wurde in 4.0.6 hinzugefgt.</para>
    </note>


  </refsect1>
 </refentry>

 <refentry id="function.openssl-x509-free">
  <refnamediv>
   <refname>openssl_x509_free</refname>
   <refpurpose>Freigabe einer Zertifikats Resource</refpurpose>
  </refnamediv>
  <refsect1>
   <title>Beschreibung</title>
    <methodsynopsis>
     <type>void</type><methodname>openssl_x509_free</methodname>
     <methodparam><type>resource</type><parameter>x509cert</parameter></methodparam>
    </methodsynopsis>
&warn.experimental.func;
   <para>
    Die Funktion <function>openssl_x509_free</function> lscht den
    Speicherbereich, der von einem Zertifikat, angegeben
    durch den Parameter <parameter>x509cert</parameter>, belegt wurde.
   </para>
  <note>
     <para>Diese Funktion wurde in 4.0.6 hinzugefgt.</para>
    </note>


  </refsect1>
 </refentry>

 <refentry id="function.openssl-x509-parse">
  <refnamediv>
   <refname>openssl_x509_parse</refname>
   <refpurpose>Analyse eines X509 Zertifikats und Rckgabe der Information
    in einem Array
   </refpurpose>
  </refnamediv>
  <refsect1>
   <title>Beschreibung</title>
    <methodsynopsis>
     <type>array</type><methodname>openssl_x509_parse</methodname>
     <methodparam><type>mixed</type><parameter>x509cert</parameter></methodparam>
     <methodparam choice="opt"><type>bool</type><parameter>shortnames</parameter></methodparam>
    </methodsynopsis>
&warn.experimental.func;
   <para>
    Die Funktion <function>openssl_x509_parse</function> liefert Informationen
    ber das angegebene Zertifikat <parameter>x509cert</parameter>. Die
    Informationen sind: Name des Gegenstands, Name des Herausgebers,
    Zweck, Zeitangaben, wie gltig seit... gltig bis, usw.
    Der Parameter <parameter>shortnames</parameter> kontrolliert wie die Daten
    im Array indiziert werden - wenn <parameter>shortnames</parameter> &true;
    ist (Standard), werden die Felder in Kurzform indiziert, ansonsten werden
    lange Namen verwendet - z.B.: CN ist die Kurzform von commonName.
   </para>
   <para><emphasis> Die Struktur der zurckgegeben Daten ist bis jetzt
    (absichtlich) nicht dokumentiert, da es noch vorbehaltliche nderungen
    geben wird
    </emphasis>
   </para>
   <note>
     <para>Diese Funktion wurde in 4.0.6 hinzugefgt.</para>
   </note>


  </refsect1>
 </refentry>

 <refentry id="function.openssl-x509-read">
  <refnamediv>
   <refname>openssl_x509_read</refname>
   <refpurpose>Analysiert ein X.509 Zertitifikat und gibt eine
   Resource-Kennung zurck</refpurpose>
  </refnamediv>
  <refsect1>
   <title>Beschreibung</title>
    <methodsynopsis>
     <type>resource</type><methodname>openssl_x509_read</methodname>
     <methodparam><type>mixed</type><parameter>x509certdata</parameter></methodparam>
    </methodsynopsis>
&warn.experimental.func;
   <para>
    Die Funktion <function>openssl_x509_read</function> analysiert das Zertifikat
    das mit dem Parameter <parameter>x509certdata</parameter>
    angegeben wurde und gibt eine Resource-Kennung zurck.
   </para>
  <note>
     <para>Diese Funktion wurde in 4.0.6 hinzugefgt.</para>
    </note>


  </refsect1>
 </refentry>



</reference>
<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"../../manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
vim600: syn=xml fen fdm=syntax fdl=2 si
vim: et tw=78 syn=sgml
vi: ts=1 sw=1
-->