키 데이터베이스에 저장된 키 쌍과 인증서 요청을 찾으십시오. 이 주제에서는 키 쌍 및 인증 요청을 작성하는
방법에 대한 정보를 제공합니다.
이 태스크 정보
다음과 같이 gskcmd 명령 인터페이스 또는 GSKCapiCmd 도구를
사용하여 공개 및 개인 키 쌍과 인증 요청을 작성하십시오.
프로시저
- gskcmd 명령 인터페이스를 사용하십시오. 다음 명령을(한 행으로)
입력하십시오.
<ihsinst>/bin/gsk7cmd -certreq -create -db <filename> -pw <password> -label <label> -dn <distinguished_name> -size <2048 | 1024 | 512> -file <filename> -san_dnsname <DNS name value=[,<DNS name value>] -san_emailaddr <email addres value=[,<email address value>] -san_ipaddr <IP address value>[,<IP address value>]
여기서, - -certreq는 인증 요청을 지정합니다.
- -create는 작성 조치를 지정합니다.
- -db <filename>은 데이터베이스의
이름을 지정합니다.
- -pw는 키 데이터베이스에 액세스하기 위한 비밀번호입니다.
- label은 인증서나 인증 요청에 붙어 있는 레이블을
나타냅니다.
- dn <distinguished_name>은 X.500 식별 이름을
표시합니다. 다음 형식의 인용 문자열로 입력하십시오(CN, O 및 C만 필요함).
CN=common_name, O=조직, OU=organization_unit, L=위치, ST=시/도, C=국가
참고: 예:
"CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP
Server,L=RTP,ST=NC,C=US"
- -size <2048 | 1024 | 512>는 키 크기(2048, 1024 또는 512)를 나타냅니다. 기본 키 크기는 1024입니다. GSKit(Global
Security Kit) 버전 7.0.4.14 이상을 사용하는 경우에는 2048 키 크기를 사용할 수 있습니다.
- -file <filename>은 인증 요청이
저장될 파일의 이름입니다.
- -san * <subject alternate name attribute value>
| <subject alternate name attribute value>는
서명된 인증서에 해당하는 대체 호스트 이름을 SSL 클라이언트에 알리는
주체 대체 이름 확장자를 인증서 요청에 지정합니다.
이들 옵션은
ikminit.properties 파일에
다음 행이 입력되는 경우에만 유효합니다. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=
true.
*(별표) 값은 다음과 같습니다.
- dnsname
- RFC 1034에 따라 "선호 이름 구문"을 사용하여 이 값을 형식화해야
합니다(예: zebra,tek.ibm.com).
- emailaddr
- RFC 822에 따라 "addr-spec"으로 이 값을 형식화해야
합니다(예: myname@zebra.tek.ibm.com).
- ipaddr
- 이 값은 RFC 1338 및 RFC 1519에 따라 형식화된 IP 주소를
나타내는 문자열입니다(예: 193.168.100.115).
이러한 옵션 값은 생성된 인증서의 주체 대체
이름 확장 속성에 누적됩니다.
옵션이 사용되지 않으면 이 확장 속성이 인증서에
추가되지 않습니다.
- -ca <true | false>는 자체 서명된
인증서의 기본 제한조건 확장을 지정합니다. 확장은
전달되는 값이 true인 경우 CA:true 및
PathLen:<max int>가 추가되고, 전달되는 값이
false인 경우 추가되지 않습니다.
GSKCapiCmd 도구를 사용하십시오. GSKCapiCmd는 CMS
키 데이터베이스 내에서 키, 인증서, 인증서 요청을 관리하는 도구입니다.
이 도구는 GSKCapiCmd가 CMS 및 PKCS11 키 데이터베이스를
지원하는 것을 제외하고 기존 GSKit Java 명령행 도구가 가진
모든 기능을 제공합니다. CMS 또는 PKCS11 이외의 키 데이터베이스를
관리하려면 기존 Java 도구를
사용하십시오.
GSKCapiCmd를 사용하여 CMS 키 데이터베이스의 모든 측면을 관리할 수 있습니다.
GSKCapiCmd는
Java가 시스템에 설치될
필요가 없습니다.
<ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]]
[-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB
<filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
문제점 방지: Unix 유형 운영 체제에서는
모든 태그와 연관된 문자열 값을 항상 큰따옴표(“”) 안에
캡슐화하는 것이 좋습니다. 또한 ‘!', ‘\', ‘”', ‘`' 문자가 문자열 값에 나타나는 경우
‘\' 문자를 사용하여 이스케이프해야 합니다. 이렇게 하면 일부 명령행 쉘에서
이러한 값에 포함된 특정 문자를 해석하지 못합니다. (예: gsk7capicmd
–keydb –create –db “/tmp/key.kdb” –pw “j\!jj”). 그러나
gsk7capicmd가 값(예: 비밀번호)을 입력하도록 프롬프트를 표시하는 경우에는
문자열을 따옴표로 묶고 이스케이프 문자를 추가하는 것을 하지 않아야 합니다. 쉘이
더 이상 이 입력에 영향을 주지 않기 때문입니다.
gotcha
- 인증서가 작성되었는지 확인하십시오.
- 작성한 인증 요청 파일의 컨텐츠를
보십시오.
- 키 데이터베이스가 인증 요청을 기록했는지
확인하십시오.
<ihsinst>/bin/gskcmd -certreq -list -db <filename> -pw <password>
방금
작성한 레이블이 나열되어 있어야 합니다.
- 새로 작성된 파일을 인증 기관(CA)으로 전송하십시오.