Os pares de chaves e pedidos de certificados são armazenados em um banco de dados de chaves. Esta seção fornece informações sobre como criar um par de chaves e um pedido de certificado.
Antes de Iniciar
Há limitações de suporte de certificado GSKit que você
deve lembrar conforme cria um novo par de chaves e uma solicitação de certificado:
- Não é possível usar IKEYMAN para criar certificados com tamanhos de chave superiores a
4096
bits.
- É possível importar certificados com tamanhos de chave de até 4096 bits no
banco de dados de chaves.
Sobre Esta Tarefa
Para criar um par de chaves pública e privada e um pedido de certificado, execute as seguintes etapas:
Procedimento
- Se você não criou o banco de dados de chaves, veja instruções na seção Criação de
um novo banco de dados de chaves.
- Inicie a interface com o usuário do IKEYMAN.
- Clique em Arquivo de Banco de Dados de Chaves na interface com o usuário principal e, em seguida, clique em Abrir.
- Digite o nome do banco de dados de chaves na caixa de diálogo Abrir ou clique no arquivo key.kdb se utilizar o padrão. Clique em OK.
- Na caixa de diálogo do Prompt da senha, digite a sua senha correta e clique em OK.
- Clique em Criar na interface com o usuário principal e, em seguida, clique em Novo Pedido de Certificado.
- Na caixa de diálogo Chave Nova e Pedido de Certificado, conclua as informações
a seguir:
- Etiqueta da Chave: Digite um comentário descritivo para identificar a chave e o certificado no banco de dados.
- Tamanho da Chave: Escolha o nível de criptografias no menu drop-down.
- Nome da Organização: Digite o nome de sua organização.
- Unidade de Organização
- Localidade
- Estado/Província
- Código Postal
- País: Digite um código de país. Especifique pelo menos dois caracteres.
Exemplo:
US Nome do arquivo de pedido de certificado ou utilize o nome padrão.
Uma soma de verificação da solicitação de certificado é assinada
criptograficamente com a nova chave privada e contém uma cópia da nova
chave pública. A chave pública pode, então, ser usada por uma autoridade de certificação
para validar que a solicitação de assinatura de certificado (CSR) não foi
corrompida. Algumas autoridades de certificação podem requerer que a soma de verificação
que é assinada pela chave pública seja calculada com um algoritmo mais forte
tal como SHA-1 ou SHA-2 (SHA-256, SHA-384, SHA-256).
Esta soma de verificação
é o "Algoritmo de Assinatura" do CSR
As extensões de Subject Alternate
Name (SAN) são campos em uma solicitação de certificado que informam aos
Clientes SSL nomes do host alternativos que correspondem ao certificado assinado.
Certificados normais (emitidos sem uma sequência curinga em seus Nomes
Distintos) são válidos apenas para um nome do host único. Por exemplo, um certificado
criado para example.com não é válido em www.example.com, a menos que um Subject
Alternate Name de "www.example.com" seja incluído no certificado.
Uma autoridade de certificação poderá cobrar uma taxa adicional se seu certificado
contiver 1 ou mais extensões SAN.
- Clique em OK.
- Clique em OK na caixa de diálogo Informações. É exibido um lembrete para enviar o arquivo a uma autoridade de certificação.
- Opcional: Em plataformas baseadas em UNIX, remova os
caracteres de final de linha (^M) da solicitação de certificado. Para remover
os caracteres de final de linha, digite o seguinte comando:
cat certreq.arm |tr -d "\r" > new_certreq.arm
- Envie o arquivo para a autoridade de certificação (CA) seguindo
as instruções do Web site de CA para solicitar um novo certificado.