![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Criando um Certificado Auto-assinado
Um certificado auto-assinado fornece um certificado para ativar sessões SSL entre clientes e o servidor, enquanto aguarda que o certificado assinado oficialmente seja retornado da CA (Autoridade de Certificação). Uma chave privada e pública é criada durante esse processo. Criar um certificado auto-assinado gera um certificado X509 auto-assinado no banco de dados de chave identificado. Um certificado auto-assinado tem o mesmo nome de emissor que seu nome de assunto.
Sobre Esta Tarefa
Procedimento
- Crie um certificado auto-assinado utilizando a interface da linha de comandos IKEYCMD, como segue:
em que:gskcmd -cert -create -db <filename> -pw <password> -size <2048 | 1024 | 512> -dn <distinguished_name> -label label> -default_cert <yes | no> - expire <days> -san dnsname <DNS name value>[,<DNS name value>] -san emailaddr <email address value>[,<email address value>] -san ipaddr <IP address value>[,<IP address value>][-ca <true | false>]
- -cert especifica um certificado auto-assinado.
- -create especifica uma ação de criação.
- -db <filename> é o nome do banco de dados.
- -pw <password> é a senha para acessar o banco de dados de chaves.
- -dn <distinguished_name> - indica um nome distinto
X.500. Faça sua entrada como uma cadeia entre aspas no seguinte formato (Apenas CN, O e C são requeridos):
CN=nome_comum, O=organização, OU=unidade_organização, L=localização ST=estado, província,
C=país.
Por exemplo, CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
- -label <label> é um comentário descritivo usado para identificar a chave e o certificado no banco de dados.
- -size <2048 | 1024 | 512> indica um tamanho de chave de 2048, 1024 ou 512. O tamanho de chave padrão é 1024. O tamanho de chave 2048 está disponível se você está usando Global Security Kit (GSKit) Versão 7.0.4.14 e posterior.
- -default_cert<yes | no> especifica se este é o certificado padrão no banco de dados de chaves.
- -expire <days> indica que o período de validade padrão para novos certificados digitais autoassinados é 365 dias. O mínimo é 1 dia. O máximo são 7300 dias (vinte anos).
- -san * <subject alternate name attribute value> | <subject
alternate name attribute value> especifica as extensões de nome
alternativo do sujeito na solicitação de certificado que informa aos clientes SSL
os nomes do host alternativos que correspondem ao certificado assinado.Estas opções são válidas apenas se a linha a seguir foi inserida no arquivo ikminit.properties. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. O * (asterisco) pode ter os seguintes valores:
- dnsname
- O valor deve ser formatado usando a sintaxe de nome preferencial de acordo com RFC 1034. Por exemplo, zebra,tek.ibm.com.
- emailaddr
- O valor deve ser formatado como um addr-spec de acordo com RFC 822. Por exemplo, myname@zebra.tek.ibm.com
- ipaddr
- O valor é uma sequência representando um endereço IP formatado de acordo com RFC 1338 e RFC 1519. Por exemplo, 193.168.100.115
- -ca <true | false> especifica a extensão de restrição básica para o certificado autoassinado. A extensão será incluída com um CA:true e um PathLen:<max int> se o valor passado for true ou não será incluída se o valor passado for false.
- Crie um certificado auto-assinado utilizando a ferramenta GSKCapiCmd. GSKCapiCmd
é uma ferramenta que gerencia chaves, certificados e pedidos de certificados em um banco de
dados de chaves CMS. A ferramenta possui toda a funcionalidade
que a ferramenta de linha de comandos GSKit Java™
existente possui, exceto que o GSKCapiCmd suporta bancos de dados de chaves CMS e PKCS11.
Se planeja gerenciar bancos de dados de chaves diferentes de CMS ou PKCS11, use
a ferramenta Java existente. Você pode utilizar GSKCapiCmd para gerenciar todos os aspectos de um banco de dados de chaves CMS. GSKCapiCmd não requer que Java seja instalado no sistema.
gskcapicmd -cert -create [-db <name>]|[-crypto <module name> -tokenlabel <token label>][-pw <passwd>] -label <label> -dn <dist name> [-size <2048|1024|512>][-x509version <1|2|3>][-default_cert <yes|no>] [-expire <days>][-secondaryDB <filename> -secondaryDBpw <password>] [-ca <true|false>][-fips] [-sigalg<md5|sha1|sha224|sha256|sha384|sha512>]
Nota: Em sistemas operacionais do tipo Unix é recomendado sempre encapsular valores das sequências de caracteres associados com todas as marcações entre aspas duplas (“”). Será preciso também escapar, usando um caractere ‘\', os seguintes caracteres se eles aparecerem nos valores das sequências de caracteres: ‘!', ‘\', ‘”', ‘`'. Isto evitará que alguns shells de linha de comandos interpretem caracteres específicos nestes valores. (Por exemplo, gsk7capicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”). Observe que, entretanto, quando for solicitado um valor por gsk7capicmd (por exemplo, uma senha), colocar a sequência entre aspas e incluir os caracteres de escape não devem ser feitos. Isto ocorre porque o shell não está mais influenciando esta entrada.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_selfsigned
Nome do arquivo: tihs_selfsigned.html