[AIX Solaris HP-UX Linux Windows]

建立新的金鑰組和憑證申請

您會發現金鑰組和憑證申請儲存在金鑰資料庫中。本主題提供有關如何建立金鑰組和憑證申請的資訊。

關於這項作業

使用 gskcapicmd 指令行介面或 GSKCapiCmd 工具來建立公開和私密金鑰組及憑證申請。

程序

  1. 使用 gskcapicmd 指令行介面。將下列指令輸入成一行:
    <ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]] 
    [-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB 
    <filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
    其中:
    • -certreq 指定憑證申請。
    • -create 指定建立動作。
    • -db <filename> 指定資料庫的名稱。
    • -pw 是用來存取金鑰資料庫的密碼。
    • label 指出附加至憑證或憑證申請的標籤。
    • dn <distinguished_name> 指出 X.500 識別名稱。輸入以引號括住的字串,格式如下(只有 CN、O 和 C 為必要項目):CN=common_name, O=organization, OU=organization_unit, L=location, ST=state, province, C=country
      註: 例如,CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
    • -size <2048 | 1024 | 512> 指出金鑰大小為 2048、1024 或 512。預設金鑰大小為 1024。如果您是使用 Global Security Kit (GSKit) 7.0.4.14 和更新版本,則可使用 2048 金鑰大小。
    • -file <filename> 是用來儲存憑證申請的檔案名稱。
    • -san * <subject alternate name attribute value> | <subject alternate name attribute value> 指定憑證申請中的主體替代名稱延伸,用以通知 SSL 用戶端對應於已簽章憑證的替代主機名稱。
      必須在 ikminit.properties 檔案中輸入下列字行,這些選項才有效。DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true。*(星號)可以是下列值:
      dnsname
      此值必須依據 RFC 1034,使用偏好的名稱語法來格式化。例如,zebra,tek.ibm.com
      emailaddr
      此值必須依據 RFC 822 格式化為 addr-spec。例如,myname@zebra.tek.ibm.com
      ipaddr
      此值是代表 IP 位址的字串,其格式是依據 RFC 1338 和 RFC 1519。例如,193.168.100.115
      這些選項的值會累計到所產生之憑證的主體替代名稱延伸屬性中。如果未使用這些選項,就不會將這個延伸屬性新增至憑證。
    • -ca <true | false> 指定基本限制延伸至自簽憑證。如果所傳遞的值為 true,就會以 CA:truePathLen:<max int> 來新增延伸,如果所傳遞的值為 false,就不會新增延伸。
    避免困難 避免困難: 在 Unix 類型作業系統上,建議一律以雙引號 (“”) 來含括與所有標記相關聯的字串值。如果下列字元出現在字串值中,您也需要使用 ‘\' 字元來將其跳出:‘!'、‘\'、‘”'、‘`'。這樣可以防止某些指令行 Shell 解譯這些值中的特定字元。(例如 gskcapicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”)。不過,請注意,當 gskcapicmd 提示您輸入值時(例如密碼),則不應將字串用引號括住及加上跳出字元。這是因為 Shell 已不再影響此輸入。gotcha

    使用 GSKCapiCmd 工具。GSKCapiCmd 是一種工具,可管理 CMS 金鑰資料庫中的金鑰、憑證和憑證申請。此工具包含現有 GSKit Java™ 指令行工具的所有功能,除了 GSKCapiCmd 支援 CMS 和 PKCS11 金鑰資料庫以外。如果您計劃要管理 CMS 或 PKCS11 以外的金鑰資料庫,請使用現有的 Java 工具。您可以使用 GSKCapiCmd 來管理 CMS 金鑰資料庫各方面相關的一切事項。GSKCapiCmd 不需要在系統上安裝 Java。

  2. 確認已順利建立憑證:
    1. 檢視您建立之憑證申請的內容。
    2. 確定金鑰資料庫已記錄憑證申請:
      <ihsinst>/bin/gskcapicmd -certreq -list -db <filename> -pw <password>

      您應該會看到您剛才建立的標籤列出。

  3. 將新建的檔案傳送至憑證管理中心。

指出主題類型的圖示 作業主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_keypair390
檔名:tihs_keypair390.html