[AIX Solaris HP-UX Linux Windows]

Ein neues Schlüsselpaar und eine Zertifikatsanforderung erstellen

Schlüsselpaare und Zertifikatsanforderungen sind in einer Schlüsseldatenbank gespeichert. Dieser Artikel beschreibt, wie Sie ein Schlüsselpaar und eine Zertifikatsanforderung erstellen.

Informationen zu diesem Vorgang

Sie können ein Paar aus einem öffentlichen und einem privaten Schlüssel und eine Zertifikatsanforderung mit der Befehlszeilenschnittstelle "gskcmd" oder mit dem Tool "GSKCapiCmd" wie folgt erstellen:

Vorgehensweise

  1. Verwenden Sie die Befehlszeilenschnittstelle "gskcmd". Geben Sie den folgenden Befehl (in einer Zeile) ein:
    <IHS-Installation>/bin/gsk7cmd -certreq -create -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -dn <definierter_Name> -size <2048 | 1024 | 512> -file <Dateiname> -san_dnsname <DNS-Name=[,<DNS-Name>] -san_emailaddr <E-Mail-Adresse=[,<E-Mail-Adresse>] -san_ipaddr <IP-Adresse>[,<IP-Adresse>]
    Für diese Angaben gilt Folgendes:
    • -certreq gibt eine Zertifikatsanforderung an.
    • -create gibt eine Erstellungsaktion an.
    • -db <Dateiname> gibt den Namen der Datenbank an.
    • -pw gibt das Kennwort für den Zugriff auf die Schlüsseldatenbank an.
    • Kennsatz gibt den Kennsatz an, der einem Zertifikat oder einer Zertifikatsanforderung zugeordnet ist.
    • dn <definierter_Name> gibt einen definierten X.500-Namen an. Geben Sie den Namen als Zeichenfolge in Anführungszeichen im folgenden Format an (es sind nur CN, O und C erforderlich): CN=allgemeiner_Name, O=Organisation, OU=Organisationseinheit, L=Standort, ST=Staat, province, C=Land
      Anmerkung: Beispiel: "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"
    • -size <2048 | 1024 | 512> zeigt eine Schlüsselgröße von 2048, 1024 oder 512 an. Der Standardwert für die Schlüsselgröße ist "1024". Die Schlüsselgröße "2048" ist verfügbar, wenn Sie Global Security Kit (GSKit) Version 7.0.4.14 und höher verwenden.
    • -file <Dateiname> steht für den Namen der Datei, in der die Zertifikatsanforderung gespeichert wird.
    • -san * <alternativer Subjektname Attributwert> | <alternativer Subjektname Attributwert> gibt SAN-Erweiterungen in der Zertifikatsanforderung an, die SSL-Clients über alternative Hostnamen informieren, die dem signierten Zertifikat entsprechen.
      Diese Optionen sind nur gültig, wenn die folgende Zeile in der Datei ikminit.properties eingegeben wird. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. Der Stern (*) kann die folgenden Werte haben:
      dnsname
      Der Wert muss anhand der so genannten bevorzugten Namenssyntax ("preferred name syntax") gemäß Spezifikation RFC 1034 formatiert werden, wie z. B. zebra.tek.ibm.com.
      emailaddr
      Der Wert muss als Adressangabe ("addr-spec") gemäß RFC 822 formatiert werden, wie z. B. myname@zebra.tek.ibm.com
      ipaddr
      Der Wert ist eine Zeichenfolge, die eine IP-Adresse mit einem Format gemäß den Spezifikationen RFC 1338 und RFC 1519 angibt, wie z. B. 193.168.100.115.
      Die Werte dieser Optionen werden im erweiterten Attribut für alternative Subjektnamen des generierten Zertifikats kumuliert. Wenn die Optionen nicht verwendet werden, wird dieses erweiterte Attribut nicht zum Zertifikat hinzugefügt.
    • -ca <true | false> gibt die Erweiterung hinsichtlich der Nutzungseinschränkung für das selbst signierte Zertifikat an. Die Erweiterung wird mit CA:true und PathLen:<max int> hinzugefügt, wenn der übergebene Wert zutreffend ist (true), und sie wird nicht hinzugefügt, wenn der übergebene Wert nicht zutreffend ist (false).
    Verwenden Sie das Tool GSKCapiCmd. GSKCapiCmd ist ein Tool, das Schlüssel, Zertifikate und Zertifikatsanforderungen in einer CMS-Schlüsseldatenbank verwaltet. Abgesehen davon, dass GSKCapiCmd CMS- und PKCS11-Schlüsseldatenbanken unterstützt, besitzt das Tool alle Funktionen des bereits vorhandenen Java-Befehlszeilentools GSKit. Wenn Sie andere Schlüsseldatenbanken als CMS- oder PKCS11-Datenbanken verwalten möchten, verwenden Sie das vorhandene Java-Tool. Mit GSKCapiCmd können Sie alle Aspekte einer CMS-Schlüsseldatenbank verwalten. GSKCapiCmd setzt keine Installation von Java auf dem System voraus.
    <IHS-Installation>/bin/gskcapicmd -certreq -create -db <Name> [-crypto <Modulname> [-tokenlabel <Tokenkennsatz>]]
    [-pw <Kennwort>] -label <Kennsatz> -dn <definierter_Name> [-size <2048 | 1024 | 512>] -file <Name> [-secondaryDB
    <Dateiname> -secondaryDBpw <Kennwort>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
    Fehler vermeiden Fehler vermeiden: Unter UNIX-Betriebssystemen empfiehlt es sich, Zeichenfolgewerte mit allen zugehörigen Tags in Anführungszeichen ("") zu setzen. Außerdem müssen Sie für die folgenden Zeichen Escapezeichen setzen, wenn sie in den Zeichenfolgewerten vorkommen: '!', '\', '"', '`'. Als Escape-Zeichen wird der umgekehrte Schrägstrich ('\') verwendet. Die Escape-Zeichen verhindern, dass manche Befehlszeilen-Shells bestimmte Zeichen innerhalb dieser Werte interpretieren. Beispiel: gsk7capicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”. Wenn Sie vom Befehl "gsk7capicmd" aufgefordert werden, einen Wert (z. B. ein Kennwort) einzugeben, sollten Sie keine Anführungszeichen und keine Escape-Zeichen setzen, weil die Shell keinen Einfluss mehr auf diese Eingabe hat. gotcha
  2. Prüfen Sie, ob das Zertifikat erstellt wurde:
    1. Zeigen Sie den Inhalt der erstellten Zertifikatsanforderungsdatei an.
    2. Vergewissern Sie sich, dass die Zertifikatsanforderung in der Schlüsseldatenbank aufgezeichnet wurde:.
      <IHS-Installation>/bin/gskcmd -certreq -list -db <Dateiname> -pw <Kennwort>

      Sie sollten den soeben erstellten Kennsatz sehen.

  3. Senden Sie die neu erstellte Datei an eine Zertifizierungsstelle.
Taskartikel    

Nutzungsbedingungen für Information Center | Feedback

Letzte Aktualisierung: October 08, 2014 06:53 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_keypair390
Dateiname: tihs_keypair390.html