![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
새 키 쌍 및 인증 요청 작성
키 데이터베이스에 저장된 키 쌍과 인증서 요청을 찾으십시오. 이 주제에서는 키 쌍 및 인증 요청을 작성하는 방법에 대한 정보를 제공합니다.
이 태스크 정보
프로시저
- gskcapicmd 명령 인터페이스를 사용하십시오. 다음 명령을(한 행으로)
입력하십시오.
여기서<ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]] [-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB <filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
- -certreq는 인증 요청을 지정합니다.
- -create는 작성 조치를 지정합니다.
- -db <filename>은 데이터베이스의 이름을 지정합니다.
- -pw는 키 데이터베이스에 액세스하기 위한 비밀번호입니다.
- label은 인증서나 인증 요청에 붙어 있는 레이블을 나타냅니다.
- dn <distinguished_name>은 X.500 식별 이름을
표시합니다. 다음 형식의 인용 문자열로 입력하십시오(CN, O 및 C만 필요함).
CN=common_name, O=조직, OU=organization_unit, L=위치, ST=시/도, C=국가 참고: 예: CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
- -size <2048 | 1024 | 512>는 키 크기(2048, 1024 또는 512)를 나타냅니다. 기본 키 크기는 1024입니다. GSKit(Global Security Kit) 버전 7.0.4.14 이상을 사용하는 경우에는 2048 키 크기를 사용할 수 있습니다.
- -file <filename>은 인증 요청이 저장될 파일의 이름입니다.
- -san * <subject alternate name attribute value>
| <subject alternate name attribute value>는
서명된 인증서에 해당하는 대체 호스트 이름을 SSL 클라이언트에 알리는
주체 대체 이름 확장자를 인증서 요청에 지정합니다. 이들 옵션은 ikminit.properties 파일에 다음 행이 입력되는 경우에만 유효합니다. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. *(별표) 값은 다음과 같습니다.
- dnsname
- RFC 1034에 따라 선호 이름 구문을 사용하여 이 값을 형식화해야 합니다. 예: zebra,tek.ibm.com.
- emailaddr
- RFC 822에 따라 addr-spec으로 이 값을 형식화해야 합니다. 예: myname@zebra.tek.ibm.com
- ipaddr
- 이 값은 RFC 1338 및 RFC 1519에 따라 형식화된 IP 주소를 나타내는 문자열입니다. 예: 193.168.100.115
- -ca <true | false>는 자체 서명된 인증서의 기본 제한조건 확장을 지정합니다. 확장은 전달되는 값이 true인 경우 CA:true 및 PathLen:<max int>가 추가되고, 전달되는 값이 false인 경우 추가되지 않습니다.
문제점 방지: Unix 유형 운영 체제에서는 모든 태그와 연관된 문자열 값을 항상 큰따옴표(“”) 안에 캡슐화하는 것이 좋습니다. 또한 다음 문자가 문자열 값에 있는 경우에는 ‘\' 문자를 사용하여 이를 이스케이프시켜야 합니다: ‘!', ‘\', ‘”', ‘`'. 이렇게 하면 일부 명령행 쉘에서 이러한 값에 포함된 특정 문자를 해석하지 못합니다.(예: gskcapicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”) 그러나 gskcapicmd에서 값(예: 비밀번호)을 요청하는 경우에는 문자열을 따옴표로 묶거나 이스케이프 문자를 추가하지 말아야 합니다. 쉘이 더 이상 이 입력에 영향을 주지 않기 때문입니다. gotcha
GSKCapiCmd 도구를 사용하십시오. GSKCapiCmd는 CMS 키 데이터베이스 내에서 키, 인증서, 인증서 요청을 관리하는 도구입니다. 이 도구는 GSKCapiCmd가 CMS 및 PKCS11 키 데이터베이스를 지원하는 것을 제외하고 기존 GSKit Java™ 명령행 도구가 가진 모든 기능을 제공합니다. CMS 또는 PKCS11 이외의 키 데이터베이스를 관리하려면 기존 Java 도구를 사용하십시오. GSKCapiCmd를 사용하여 CMS 키 데이터베이스의 모든 측면을 관리할 수 있습니다. GSKCapiCmd는 Java가 시스템에 설치될 필요가 없습니다.
- 인증서가 작성되었는지 확인하십시오.
- 작성한 인증 요청 파일의 컨텐츠를 보십시오.
- 키 데이터베이스가 인증 요청을 기록했는지
확인하십시오.
<ihsinst>/bin/gskcapicmd -certreq -list -db <filename> -pw <password>
방금 작성한 레이블이 나열되어 있어야 합니다.
- 새로 작성된 파일을 인증 기관(CA)으로 전송하십시오.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_keypair390
파일 이름:tihs_keypair390.html