En la base de datos de claves se encuentran las pares de claves y las peticiones de certificados. Este apartado proporciona información sobre cómo crear un par de claves y una petición
de certificado.
Antes de empezar
Debe tener presente las limitaciones en el soporte de
certificados GSKit cuando cree una nueva solicitud de
certificado y pareja de claves:
- No puede utilizar IKEYMAN para crear certificados con tamaños de claves mayores de 4096 bits.
- Puede importar certificados con tamaños de claves de
hasta 4096 bits en la base de datos de claves.
Acerca de esta tarea
Para crear un par de claves públicas y privadas y una petición de certificado, siga estos pasos:
Procedimiento
- Si no ha creado la base de datos de claves, consulte Creación de una nueva base de datos de claves
para obtener instrucciones.
- Inicie la
interfaz de usuario IKEYMAN.
- Pulse Key Database File (Archivo de base de datos de claves) en la
interfaz de usuario principal y, a continuación, pulse Open (Abrir).
- Entre el nombre de la base de datos de claves en el recuadro de diálogo Open (Abrir) o pulse el archivo key.kdb si utiliza
el valor predeterminado. Pulse Aceptar.
- En el recuadro de diálogo Password Prompt (Solicitud de contraseña), entre la contraseña correcta y pulse OK (Aceptar).
- Pulse Create (Crear) en la interfaz de usuario principal y, a continuación,
pulse New Certificate Request (Nueva petición de certificado).
- En el recuadro de diálogo New Key and Certificate Request
(Nueva clave y petición de certificado), complete la información siguiente:
- Key label (Etiqueta de clave): entre un comentario descriptivo para identificar la clave y el certificado en la base de datos.
- Key size (Tamaño de clave): elija el nivel de cifrados en el menú desplegable.
- Organization Name (Nombre de la organización): entre el nombre de la organización.
- Organization Unit (Unidad organizativa)
- Locality (Localidad)
- State/Province (Estado/Provincia)
- Zip code (Código postal)
- Country (País): entre un código de país. Especifique, como mínimo, dos caracteres.
Ejemplo:
US nombre de archivo de petición de certificado o utilice el nombre por omisión.
Una suma de comprobación de la solicitud de certificado se firma
de forma cifrada con la nueva clave privada y contiene una copia de la
nueva clave pública. Entonces, la clave pública la puede utilizar una
entidad emisora de certificados para validar que la solicitud de firma de
certificado (CSR) no se ha manipulado. Algunas entidades emisoras de
certificados pueden requerir que la suma de comprobación que está firmada
por la clave pública se calcule con un algoritmo más potente como SHA-1 o
SHA-2 (SHA-256, SHA-384, SHA-256).
Esta suma de comprobación es el
"Algoritmo de firma" de la CSR
Las
extensiones SAN (Subject
Alternate Name) son campos en una solicitud de certificado que informa a
los clientes
SSL de nombres de host alternativos que corresponden al certificado
firmado.
Los certificados normales (emitidos sin una serie comodín en su Nombre
distinguido) sólo son válidos para un único host. Por ejemplo, un
certificado creado para example.com no es válido en www.example.com a
menos que se añada al certificado el SAN "www.example.com".
Una entidad emisora de certificados puede cobrar una
tarifa adicional si el
certificado contiene una o más extensiones SAN.
- Pulse Aceptar.
- Pulse OK (Aceptar) en el recuadro de diálogo Information (Información). Se
visualiza un recordatorio para enviar el archivo a una entidad emisora de certificados.
- Opcional: En las plataformas basadas en UNIX,
elimine los caracteres de fin de línea (^M) de la petición de
certificado. Para eliminar los caracteres de fin de línea,
escriba el siguiente mandato:
cat certreq.arm |tr -d "\r" > new_certreq.arm
- Envíe el archivo a la CA (entidad emisora de
certificados) siguiendo las
instrucciones especificadas en el sitio web de la CA para solicitar un
nuevo certificado.