Os pares de chaves e pedidos de certificados são armazenados em um banco de dados de chaves. Este tópico fornece informações sobre como criar um par de chaves e um pedido de certificado.
Sobre Esta Tarefa
Crie um par de chaves públicas e privadas e uma solicitação de certificado
usando a interface da linha de comandos gskcmd ou a ferramenta GSKCapiCmd, conforme a seguir:
Procedimento
- Use a interface da linha de comandos gskcmd. Digite o comando a seguir (em uma linha):
<ihsinst>/bin/gsk7cmd -certreq -create -db <filename> -pw <password> -label <label> -dn <distinguished_name> -size <2048 | 1024 | 512> -file <filename> -san_dnsname <DNS name value=[,<DNS name value>] -san_emailaddr <email addres value=[,<email address value>] -san_ipaddr <IP address value>[,<IP address value>]
em que:- -certreq especifica um pedido de certificado.
- -create especifica uma ação de criação.
- -db <filename> especifica o nome do banco de dados.
- -pw é a senha para acessar o banco de dados de chaves.
- label indica a etiqueta anexada ao certificado ou
pedido de certificado.
- dn <distinguished_name> indica um nome distinto
X.500. Digite como uma cadeia entre aspas no seguinte formato (somente CN. O e C são obrigatórios):
CN=nome_comum, O=organização, OU=unidade_da_organização, L=local, ST=estado,
província, C=país
Nota: Por exemplo, "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM
HTTP Server,L=RTP,ST=NC,C=US"
- -size <2048 | 1024 | 512> indica um tamanho de chave de
2048, 1024 ou 512. O tamanho de chave padrão é 1024. O tamanho de chave 2048
está disponível se você está usando Global Security Kit (GSKit) Versão
7.0.4.14 e posterior.
- -file <filename> é o nome do arquivo no qual
a solicitação de certificado será armazenada.
- -san * <subject alternate name attribute value> | <subject
alternate name attribute value> especifica as extensões de nome
alternativo do sujeito na solicitação de certificado que informa aos clientes SSL
os nomes do host alternativos que correspondem ao certificado assinado.
Estas
opções são válidas apenas se a linha a seguir foi inserida no arquivo
ikminit.properties. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=
true.
O
* (asterisco) pode ter os seguintes valores:
- dnsname
- O valor deve ser formatado usando a "sintaxe de nome preferencial"
de acordo com RFC 1034, tal como o exemplo, zebra,tek.ibm.com.
- emailaddr
- O valor deve ser formatado como um "addr-spec" de acordo com RFC
822, tal como o exemplo, myname@zebra.tek.ibm.com
- ipaddr
- O valor é uma sequência que representa um endereço IP formatado de acordo
com RFC 1338 e RFC 1519, tal como o exemplo, 193.168.100.115
Os valores destas opções são acumulados no atributo estendido
de nome alternativo do assunto do certificado gerado.
Se as opções não forem usadas, este atributo estendido não será incluído
no certificado.
- -ca <true | false> especifica a extensão de restrição
básica para o certificado autoassinado. A extensão será incluída com um
CA:true e um PathLen:<max int> se o valor
passado for true ou não será incluída se o valor passado for false.
Utilize a ferramenta GSKCapiCmd. GSKCapiCmd
é uma ferramenta que gerencia chaves, certificados e pedidos de certificados em um banco de
dados de chaves CMS.
A ferramenta possui toda a funcionalidade
que a ferramenta de linha de comandos GSKit Java
existente possui, exceto que o GSKCapiCmd suporta bancos de dados de chaves CMS e PKCS11. Se planeja gerenciar bancos de dados de chaves diferentes de CMS ou PKCS11, use
a ferramenta Java existente.
Você pode utilizar GSKCapiCmd para gerenciar todos os aspectos de um banco de dados de chaves CMS.
GSKCapiCmd não requer que Java seja instalado no sistema.
<ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]]
[-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB
<filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
Evitar Problemas: Nos sistemas operacionais do tipo Unix, é
recomendado sempre encapsular valores de sequência associados a
todas as tags entre aspas duplas (“”). Usando um caractere
‘\', também será necessário escapar os seguintes caracteres se eles aparecerem nos valores de
sequência: ‘!', ‘\', ‘”', ‘`'. Isto evitará
que alguns shells de linha de comandos interpretem caracteres específicos
nestes valores. (por exemplo, gsk7capicmd –keydb –create –db “/tmp/key.kdb”
–pw “j\!jj”). Observe que, entretanto, quando for solicitado um valor por gsk7capicmd
(por exemplo, uma senha), colocar a sequência entre aspas e incluir os caracteres
de escape não devem ser feitos. Isto ocorre porque o shell não está mais
influenciando esta entrada.
gotcha
- Verifique se o certificado foi criado com êxito:
- Exiba o conteúdo do arquivo de pedido do certificado que você criou.
- Assegure que o banco de dados de chaves registrou a solicitação de
certificado:
<ihsinst>/bin/gskcmd -certreq -list -db <filename> -pw <password>
Você deve ver listada a etiqueta que você acabou de criar.
- Envie o arquivo recém-criado para uma autoridade de certificação.