[AIX Solaris HP-UX Linux Windows]

Creación de un par de claves y una petición de certificados nuevos

En la base de datos de claves se encuentran las pares de claves y las peticiones de certificados. Este tema proporciona información sobre cómo crear un par de claves y una petición de certificado.

Acerca de esta tarea

Cree un par de claves pública y privada y una solicitud de certificado utilizando la interfaz de línea de mandatos gskcapicmd o la herramienta GSKCapiCmdl, como se indica a continuación:

Procedimiento

  1. Utilice la interfaz de línea de mandatos gskcapicmd. Entre el mandato siguiente (en una sola línea):
    <ihsinst>/bin/gskcapicmd -certreq -create -db
    <nombre> [-crypto <nombre módulo> [-tokenlabel <etiqueta
    señall>]]
    [-pw <contraseña>] -label <etiqueta> -dn <dist nombre>
    [-size <2048 | 1024 | 512>] -file <nombre> [-secondaryDB
    <nombre_archivo> -secondaryDBpw <contraseña>] [-fips]
    [-sigalg
    <md5 | sha1|sha224|sha256|sha384|sha512>]
    donde:
    • -certreq especifica una petición de certificado.
    • -create especifica una acción de creación.
    • -db <nombre_archivo> especifica el nombre de la base de datos.
    • -pw es la contraseña para acceder a la base de datos de claves.
    • etiqueta indica la etiqueta asignada al certificado o a la petición de certificado.
    • dn <nombre_distinguido> indica un nombre distinguido X.500. Se entra como serie entre comillas con el formato siguiente (sólo se exigen CN, O y C): CN=nombre_común , O=organización, OU=unidad_organizativa, L=ubicación, ST=estado, provincia, C=país
      Nota: Por ejemplo, CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
    • -size <2048 | 1024 | 512> indica un tamaño de claves de 2048, 1024 o 512. El tamaño de clave predeterminado es 1024 bits. El tamaño de clave 2048 está disponible si utiliza Global Security Kit (GSKit) Versión 7.0.4.14 y posterior.
    • -file <nombre_archivo> es el nombre del archivo donde se almacenará la petición de certificado.
    • -san * <atributo de nombre alternativo de asunto> | <atributo de nombre alternativo de asunto> especifica las ampliaciones de nombre alternativo de asunto en la petición de certificados que informa a los clientes SSL de los nombres de host alternativos que corresponden al certificado firmado.
      Estas opciones sólo son válidas si se especifica la línea siguiente en el archivo ikminit.properties. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. El asterisco (*) puede tener los valores siguientes :
      dnsname
      El valor debe formatearse utilizando la sintaxis del nombre preferido, de acuerdo con RFC 1034. Por ejemplo, zebra,tek.ibm.com.
      emailaddr
      El valor debe formatearse como una addr-spec de acuerdo con RFC 822. Por ejemplo, myname@zebra.tek.ibm.com
      ipaddr
      El valor es una serie que representa una dirección IP con formato según las normas RFC 1338 y RFC 1519. Por ejemplo, 193.168.100.115
      Los valores de estas opciones se acumulan en el atributo ampliado SAN (Subject alternate name) del certificado generado. Si no se utilizan las opciones, este atributo ampliado no se añade al certificado.
    • -ca <true | false> especifica la ampliación básica de restricción en el certificado autofirmado. La ampliación se añade con CA:true y PathLen:<max int> si el valor pasado es true o no se añade si el valor pasado es false.
    Avoid trouble Avoid trouble: En sistemas operativos de tipo Unix, se recomienda siempre encapsular entre comillas (“”) los valores de serie asociados con todas las etiquetas. También deberá utilizar un carácter de escape ‘\' para los caracteres siguientes si aparecen en los valores de serie: ‘!', ‘\', ‘”', ‘`'. Esto impedirá que algunos shells de línea de mandatos interpreten caracteres específicos dentro de estos valores. (Por ej. gskcapicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”). Sin embargo, tenga presente que cuando gskcapicmd le solicite un valor (por ejemplo, una contraseña), no debe utilizar las comillas ni los caracteres de escape. Esto es debido a que el shell ya no influye en esta entrada. gotcha

    Utilice la herramienta GSKCapiCmd. GSKCapiCmd es una herramienta que gestiona claves, certificados y solicitudes de certificado en una base de datos de claves CMS. La herramienta tiene todas las funciones que tiene la herramienta de línea de mandatos Java™ GSKit existente, excepto que GSKCapiCmd soporta bases de datos de claves CMS y PKCS11. Si piensa gestionar bases de datos de claves distintas de CMS o PKCS11, utilice la herramienta Java existente. Puede utilizar GSKCapiCmd para gestionar todos los aspectos de una base de datos de claves CMS. GSKCapiCmd no necesita que se instale Java en el sistema.

  2. Verifique que el certificado se haya creado satisfactoriamente:
    1. Vea el contenido del archivo de petición de certificado que ha creado.
    2. Asegúrese de que la base de datos de claves haya grabado la petición de certificado:
      <ihsinst>/bin/gskcapicmd -certreq -list -db <nombre_archivo> -pw <contraseña>

      Debe ver en la lista la etiqueta que acaba de crear.

  3. Envíe el archivo que acaba de crear a una entidad emisora de certificados.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_keypair390
File name: tihs_keypair390.html