本主题描述如何从在您的服务器上指定为可信认证中心 (CA) 的 CA 接收通过电子邮件发送的证书。认证中心是一个可信的第三方组织或公司,它签发用于创建数字签名和公用/专用密钥对的数字证书。
关于此任务
认证中心可能会发送多张证书。除用于服务器的证书之外,CA 还可能会发送其他签名证书或中间 CA 证书。例如,Verisign 在发送“全局服务器标识”证书时,会包括中间 CA 证书。请先接收所有其他的中间 CA 证书,然后再接收服务器证书。请遵循“存储 CA 证书”主题中的指示信息来接收中间 CA 证书。
如果签发 CA 签名证书的 CA 不是密钥数据库中的可信 CA,请先存储该 CA 证书并将此 CA 指定为可信 CA。然后,可以该 CA 签名证书接收到数据库中。您不能接收来自非可信 CA 的 CA 签名证书。有关指示信息,请参阅存储认证中心证书。
过程
- 按如下方法使用 gskcmd 命令行界面将 CA 签名证书接收到密钥数据库中:
<ihsinst>/bin/gskcmd -cert -receive -file <filename> -db <filename> -pw <password>
-format <ascii | binary> -label <label> -default_cert <yes | no>
其中:- -cert 指定自签名证书。
- -receive 指定接收操作。
- -file <filename> 是包含 CA 证书的文件。
- -db <filename> 是数据库的名称。
- -pw <password> 是用于访问密钥数据库的密码。
- -format <ascii | binary> 指定认证中心可以提供 ASCII 或二进制格式的 CA 证书。
- -default_cert <yes | no> 指示这是否为密钥数据库中的缺省证书。
- -label 指定附加到 CA 证书的标签。
- -trust 指示此 CA 是否可信。在接收 CA 证书时,请使用启用选项。
- 使用 GSKCapiCmd 工具将 CA 签名证书接收到密钥数据库中。 GSKCapiCmd 是用于管理 CMS 密钥数据库中的密钥、证书和证书请求的工具。该工具包含现有的 GSKit Java™ 命令行工具所具有的全部功能,只不过 GSKCapiCmd 支持 CMS 和 PKCS11 密钥数据库。如果您计划管理除 CMS
或 PKCS11 以外的密钥数据库,请使用现有的 Java 工具。可以使用 GSKCapiCmd 来管理 CMS 密钥数据库的所有方面。GSKCapiCmd
不要求在系统上安装 Java。
<ihsinst>/bin/gskcapicmd -cert -receive -file <name>
-db <name> [-crypto <module name> [-tokenlabel <token label>]]
[-pw <passwd>][-default_cert <yes|no>][-fips>