[AIX Solaris HP-UX Linux Windows]

Criando um Novo Par de Chaves e Pedido de Certificado

Os pares de chaves e pedidos de certificados são armazenados em um banco de dados de chaves. Este tópico fornece informações sobre como criar um par de chaves e um pedido de certificado.

Sobre Esta Tarefa

Crie um par de chaves públicas e privadas e uma solicitação de certificado usando a interface da linha de comandos gskcmd ou a ferramenta GSKCapiCmd, conforme a seguir:

Procedimento

  1. Use a interface da linha de comandos gskcmd. Digite o comando a seguir (em uma linha):
    <ihsinst>/bin/gsk7cmd -certreq -create -db <filename> -pw <password> -label <label> -dn <distinguished_name> -size <2048 | 1024 | 512> -file <filename> -san_dnsname <DNS name value=[,<DNS name value>] -san_emailaddr <email addres value=[,<email address value>] -san_ipaddr <IP address value>[,<IP address value>]
    em que:
    • -certreq especifica um pedido de certificado.
    • -create especifica uma ação de criação.
    • -db <filename> especifica o nome do banco de dados.
    • -pw é a senha para acessar o banco de dados de chaves.
    • label indica a etiqueta anexada ao certificado ou pedido de certificado.
    • dn <distinguished_name> indica um nome distinto X.500. Digite como uma cadeia entre aspas no seguinte formato (somente CN. O e C são obrigatórios): CN=nome_comum, O=organização, OU=unidade_da_organização, L=local, ST=estado, província, C=país
      Nota: Por exemplo, "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"
    • -size <2048 | 1024 | 512> indica um tamanho de chave de 2048, 1024 ou 512. O tamanho de chave padrão é 1024. O tamanho de chave 2048 está disponível se você está usando Global Security Kit (GSKit) Versão 7.0.4.14 e posterior.
    • -file <filename> é o nome do arquivo no qual a solicitação de certificado será armazenada.
    • -san * <subject alternate name attribute value> | <subject alternate name attribute value> especifica as extensões de nome alternativo do sujeito na solicitação de certificado que informa aos clientes SSL os nomes do host alternativos que correspondem ao certificado assinado.
      Estas opções são válidas apenas se a linha a seguir foi inserida no arquivo ikminit.properties. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. O * (asterisco) pode ter os seguintes valores:
      dnsname
      O valor deve ser formatado usando a "sintaxe de nome preferencial" de acordo com RFC 1034, tal como o exemplo, zebra,tek.ibm.com.
      emailaddr
      O valor deve ser formatado como um "addr-spec" de acordo com RFC 822, tal como o exemplo, myname@zebra.tek.ibm.com
      ipaddr
      O valor é uma sequência que representa um endereço IP formatado de acordo com RFC 1338 e RFC 1519, tal como o exemplo, 193.168.100.115
      Os valores destas opções são acumulados no atributo estendido de nome alternativo do assunto do certificado gerado. Se as opções não forem usadas, este atributo estendido não será incluído no certificado.
    • -ca <true | false> especifica a extensão de restrição básica para o certificado autoassinado. A extensão será incluída com um CA:true e um PathLen:<max int> se o valor passado for true ou não será incluída se o valor passado for false.
    Utilize a ferramenta GSKCapiCmd. GSKCapiCmd é uma ferramenta que gerencia chaves, certificados e pedidos de certificados em um banco de dados de chaves CMS. A ferramenta possui toda a funcionalidade que a ferramenta de linha de comandos GSKit Java existente possui, exceto que o GSKCapiCmd suporta bancos de dados de chaves CMS e PKCS11. Se planeja gerenciar bancos de dados de chaves diferentes de CMS ou PKCS11, use a ferramenta Java existente. Você pode utilizar GSKCapiCmd para gerenciar todos os aspectos de um banco de dados de chaves CMS. GSKCapiCmd não requer que Java seja instalado no sistema.
    <ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]] 
    [-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB 
    <filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
    Evitar Problemas Evitar Problemas: Nos sistemas operacionais do tipo Unix, é recomendado sempre encapsular valores de sequência associados a todas as tags entre aspas duplas (“”). Usando um caractere ‘\', também será necessário escapar os seguintes caracteres se eles aparecerem nos valores de sequência: ‘!', ‘\', ‘”', ‘`'. Isto evitará que alguns shells de linha de comandos interpretem caracteres específicos nestes valores. (por exemplo, gsk7capicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”). Observe que, entretanto, quando for solicitado um valor por gsk7capicmd (por exemplo, uma senha), colocar a sequência entre aspas e incluir os caracteres de escape não devem ser feitos. Isto ocorre porque o shell não está mais influenciando esta entrada.gotcha
  2. Verifique se o certificado foi criado com êxito:
    1. Exiba o conteúdo do arquivo de pedido do certificado que você criou.
    2. Assegure que o banco de dados de chaves registrou a solicitação de certificado:
      <ihsinst>/bin/gskcmd -certreq -list -db <filename> -pw <password>

      Você deve ver listada a etiqueta que você acabou de criar.

  3. Envie o arquivo recém-criado para uma autoridade de certificação.
Tópico de Tarefa    

Termos e condições para centros de informações | Feedback

Última atualização: October 28, 2014 11:09 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_keypair390
Nome do arquivo: tihs_keypair390.html