![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Criando um Novo Par de Chaves e Pedido de Certificado
Os pares de chaves e pedidos de certificados são armazenados em um banco de dados de chaves. Este tópico fornece informações sobre como criar um par de chaves e um pedido de certificado.
Sobre Esta Tarefa
Procedimento
- Use a interface da linha de comandos
gskcapicmd. Digite o comando a seguir (em uma linha):
em que:<ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]] [-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB <filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
- -certreq especifica um pedido de certificado.
- -create especifica uma ação de criação.
- -db <filename> especifica o nome do banco de dados.
- -pw é a senha para acessar o banco de dados de chaves.
- label indica a etiqueta anexada ao certificado ou pedido de certificado.
- dn <distinguished_name> indica um nome distinto
X.500. Digite como uma cadeia entre aspas no seguinte formato (somente CN. O e C são obrigatórios):
CN=nome_comum, O=organização, OU=unidade_da_organização, L=local, ST=estado,
província, C=país Nota: Por exemplo, CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
- -size <2048 | 1024 | 512> indica um tamanho de chave de 2048, 1024 ou 512. O tamanho de chave padrão é 1024. O tamanho de chave 2048 está disponível se você está usando Global Security Kit (GSKit) Versão 7.0.4.14 e posterior.
- -file <filename> é o nome do arquivo no qual a solicitação de certificado será armazenada.
- -san * <subject alternate name attribute value> | <subject
alternate name attribute value> especifica as extensões de nome
alternativo do sujeito na solicitação de certificado que informa aos clientes SSL
os nomes do host alternativos que correspondem ao certificado assinado.Estas opções são válidas apenas se a linha a seguir foi inserida no arquivo ikminit.properties. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. O * (asterisco) pode ter os seguintes valores:
- dnsname
- O valor deve ser formatado usando a sintaxe de nome preferencial de acordo com RFC 1034. Por exemplo, zebra,tek.ibm.com.
- emailaddr
- O valor deve ser formatado como um addr-spec de acordo com RFC 822. Por exemplo, myname@zebra.tek.ibm.com
- ipaddr
- O valor é uma sequência representando um endereço IP formatado de acordo com RFC 1338 e RFC 1519. Por exemplo, 193.168.100.115
- -ca <true | false> especifica a extensão de restrição básica como o certificado autoassinado. A extensão será incluída com um CA:true e um PathLen:<max int> se o valor passado for true ou não será incluída se o valor passado for false.
Evitar Problemas: Em sistemas operacionais do tipo Unix é recomendado sempre encapsular valores das sequências de caracteres associados com todas as marcações entre aspas duplas (“”). Será preciso também escapar, usando um caractere ‘\', os seguintes caracteres se eles aparecerem nos valores das sequências de caracteres: ‘!', ‘\', ‘”', ‘`'. Isto evitará que alguns shells de linha de comandos interpretem caracteres específicos nestes valores. (e.g. gskcapicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”). Observe que, no entanto, ao ser solicitado um valor pelo gskcapicmd (por exemplo uma senha), não se deve colocar a sequência de caracteres entre aspas e nem incluir os caracteres de escape. Isto ocorre porque o shell não está mais influenciando esta entrada.gotcha
Utilize a ferramenta GSKCapiCmd. GSKCapiCmd é uma ferramenta que gerencia chaves, certificados e pedidos de certificados em um banco de dados de chaves CMS. A ferramenta possui toda a funcionalidade que a ferramenta de linha de comandos GSKit Java™ existente possui, exceto que o GSKCapiCmd suporta bancos de dados de chaves CMS e PKCS11. Se planeja gerenciar bancos de dados de chaves diferentes de CMS ou PKCS11, use a ferramenta Java existente. Você pode utilizar GSKCapiCmd para gerenciar todos os aspectos de um banco de dados de chaves CMS. GSKCapiCmd não requer que Java seja instalado no sistema.
- Verifique se o certificado foi criado com êxito:
- Exiba o conteúdo do arquivo de pedido do certificado que você criou.
- Assegure que o banco de dados de chaves registrou a solicitação de
certificado:
<ihsinst>/bin/gskcapicmd -certreq -list -db <filename> -pw <password>
Você deve ver listada a etiqueta que você acabou de criar.
- Envie o arquivo recém-criado para uma autoridade de certificação.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_keypair390
Nome do arquivo: tihs_keypair390.html