Un certificado autofirmado proporciona un certificado para permitir sesiones SSL
entre clientes y el servidor, mientras que se espera el certificado firmado oficialmente
que debe devolver la entidad emisora de certificados (CA). Durante este proceso se
crean una clave privada y una clave pública.
La creación de un certificado autofirmado
genera un certificado X509 autofirmado en la base de datos de clave identificada. Un
certificado autofirmado tiene el mismo nombre de emisor que el nombre de asunto.
Acerca de esta tarea
Utilice este procedimiento si actúa como CA propia para una red web privada. Utilice
la interfaz de línea de mandatos IKEYCMD o la herramienta GSKCapiCmd
para crear un certificado autofirmado.
Procedimiento
- Cree un certificado autofirmado utilizando la interfaz de línea de mandatos
IKEYCMD, como se indica a continuación:
gskcmd -cert -create -db <nombre_archivo> -pw <contraseña> -size <2048 | 1024 | 512> -dn <nombre_distinguido>
-label etiqueta> -default_cert <yes | no> - expire <días> -san dnsname <nombre DNS>[,<nombre DNS>]
-san emailaddr <valor dirección correo electrónico>[,<valor dirección correo electrónico>]
-san ipaddr <valor dirección IP>[,<valor dirección IP>][-ca <true | false>]
donde:- -cert especifica un certificado autofirmado.
- -create especifica una acción de creación.
- -db <nombre_archivo> es el nombre de la base de datos.
- -pw <contraseña> es la contraseña para acceder a la base de datos de claves.
- -dn <nombre_distinguido> - indica un nombre distinguido X.500. Se entra como serie entre comillas con el formato siguiente (sólo se exigen CN, O y C):
CN=nombre_común , O=organización, OU=unidad_organizativa, L=ubicación, ST=estado,
provincia, C=país
Por ejemplo, "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM
HTTP Server,L=RTP,ST=NC,C=US"
- -label <etiqueta> es un comentario descriptivo que se utiliza para identificar la clave
y el certificado en la base de datos.
- -size <2048 | 1024 | 512> indica un tamaño de claves de
2048, 1024 o 512. El tamaño de clave predeterminado es 1024 bits. El tamaño de clave 2048 está disponible si utiliza Global Security Kit
(GSKit) Versión 7.0.4.14 y posterior.
- -default_cert <yes | no> especifica si éste es el
certificado por omisión en la base de datos de claves.
- -expire <días> indica que el período de validez por
omisión para los nuevos certificados digitales autofirmados es de 365
días. El mínimo es 1 día. El máximo es
7300 días (veinte años).
- -san * <atributo de nombre alternativo de asunto> | <atributo
de nombre alternativo de asunto> especifica las ampliaciones de
nombre alternativo de asunto en la petición de certificados que informa a
los clientes SSL de los nombres de host alternativos que corresponden al
certificado firmado.
Estas opciones
sólo son válidas si se especifica la línea siguiente en el archivo
ikminit.properties. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=
true.
El asterisco (*) puede tener los valores siguientes :
- dnsname
- El valor debe formatearse utilizando la "sintaxis del nombre preferido" de acuerdo con RFC 1034, como el ejemplo,
zebra,tek.ibm.com.
- emailaddr
- El valor debe formatearse como "addr-spec" de acuerdo con RFC 822,
como el ejemplo, myname@zebra.tek.ibm.com
- ipaddr
- El valor es una serie que representa una dirección IP con formato
según las normas RFC 1338 y RFC 1519, como el ejemplo,
193.168.100.115
Los valores de estas opciones se acumulan en el atributo
ampliado SAN (Subject alternate name) del certificado generado.
Si no se utilizan las opciones, este atributo ampliado no se añade al
certificado.
- -ca <true | false> especifica la ampliación básica de
restricción en el certificado autofirmado. La ampliación se añade con
CA:true y PathLen:<max int> si el
valor pasado es true o no se añade si el valor pasado es false.
- Cree un certificado autofirmado utilizando la herramienta GSKCapiCmd. GSKCapiCmd es una herramienta que
gestiona claves, certificados y solicitudes de certificado en una
base de datos de claves CMS.
La herramienta tiene todas las funciones que tiene la herramienta de línea
de mandatos
Java
GSKit existente, excepto que GSKCapiCmd soporta bases de datos de claves
CMS y PKCS11. Si piensa gestionar bases de datos de claves distintas de
CMS o PKCS11, utilice la herramienta
Java
existente. Puede utilizar GSKCapiCmd para gestionar todos los
aspectos de una base de datos de claves CMS. GSKCapiCmd no necesita que se instale
Java
en el sistema.
gskcapicmd -cert -create [-db <nombre>]|[-crypto <nombre módulo> -tokenlabel <etiqueta señal>][-pw <contraseña>]
-label <etiqueta> -dn <nombre dist> [-size <2048|1024|512>][-x509version <1|2|3>][-default_cert <yes|no>]
[-expire <días>][-secondaryDB <nombre_archivo> -secondaryDBpw <contraseña>] [-ca <true|false>][-fips]
[-sigalg<md5|sha1|sha224|sha256|sha384|sha512>]
Nota: En sistemas operativos del tipo Unix se
recomienda siempre encerrar entre comillas (“ ”) los valores de serie asociados
con todos los códigos. También deberá utilizar el carácter
‘\' con los caracteres siguientes si aparecen en los valores de serie:
‘!',
‘\', ‘”', ‘`'. Esto impedirá
que algunos shells de línea de mandatos interpreten caracteres
específicos dentro de estos valores. (por ej. gsk7capicmd –keydb –create –db “/tmp/key.kdb”
–pw “j\!jj”). Sin embargo, tenga presente que cuando gsk7capicmd le
solicite un valor (por ejemplo, una contraseña), no debe utilizar las
comillas ni los caracteres de escape. Esto es debido a que el shell ya no
influye en esta entrada.