![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
创建新的密钥对和证书请求
密钥对和证书请求存储在密钥数据库中。本主题提供有关如何创建密钥对和证书请求的信息。
关于此任务
过程
- 使用 gskcapicmd 命令行界面。请输入以下命令(在一行中输入):
其中:<ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]] [-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB <filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
- -certreq 指定证书请求。
- -create 指定创建操作。
- -db <filename> 指定数据库的名称。
- -pw 是用于访问密钥数据库的密码。
- label 表示附加到证书或证书请求的标签。
- dn <distinguished_name> 表示 X.500 专有名称。请按下列格式进行输入并将整个字符串用引号括起来(仅 CN、O 和 C 是必需的):CN=common_name, O=organization, OU=organization_unit, L=location, ST=state, province, C=country 注: 例如,CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
- -size <2048 | 1024 | 512> 表示密钥大小为 2048、1024 或 512。缺省密钥大小为 1024。如果您使用的是 Global Security Kit (GSKit) V7.0.4.14 和更高版本,那么可用的密钥大小为 2048。
- -file <filename> 是用于存储证书请求的文件的名称。
- -san * <subject alternate name attribute value> | <subject alternate name attribute value>
指定证书请求中的主体备用名称扩展,这些扩展用于告知 SSL 客户机与签名证书相对应的备用主机名。仅当您在 ikminit.properties 文件中输入了下面一行时,这些选项才有效。DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true。*(星号)可以具有下列值:
- dnsname
- 必须根据 RFC 1034 使用首选名称语法来格式化此值。例如,zebra,tek.ibm.com。
- emailaddr
- 必须根据 RFC 822 将此值格式化为 addr-spec。例如,myname@zebra.tek.ibm.com
- ipaddr
- 此值是一个字符串,表示已根据 RFC 1338 和 RFC 1519 进行格式化的 IP 地址。例如,193.168.100.115
- -ca <true | false> 指定自签名证书的基本约束扩展。如果所传递的值为 true,那么将使用 CA:true 和 PathLen:<max int> 添加此扩展;如果所传递的值为 false,那么将不添加此扩展。
避免故障: 在 UNIX 类型的操作系统上,建议始终将与所有标记相关联的字符串值括在双引号 (“”) 中。如果下列字符出现在字符串值中,您还需要使用“\”字符对它们进行转义:“!”、“\”、“"”和“`”。这将避免某些命令行 Shell 解释这些值中的特定字符。(例如,gskcapicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”)。但是,请注意,当 gskcapicmd 提示您输入值(例如密码)时,不应将字符串括在引号中并添加转义字符。这是因为 Shell 不再影响此输入。gotcha
请使用 GSKCapiCmd 工具。GSKCapiCmd 是用于管理 CMS 密钥数据库中的密钥、证书和证书请求的工具。该工具包含现有的 GSKit Java™ 命令行工具所具有的全部功能,只不过 GSKCapiCmd 支持 CMS 和 PKCS11 密钥数据库。如果您计划管理除 CMS 或 PKCS11 以外的密钥数据库,请使用现有的 Java 工具。可以使用 GSKCapiCmd 来管理 CMS 密钥数据库的所有方面。GSKCapiCmd 不要求在系统上安装 Java。
- 验证是否成功创建了证书:
- 查看您创建的证书请求文件的内容。
- 确保密钥数据库记录了该证书请求:
<ihsinst>/bin/gskcapicmd -certreq -list -db <filename> -pw <password>
您应该能看到列出了刚才创建的标签。
- 将新创建的文件发送至认证中心。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_keypair390
文件名:tihs_keypair390.html