![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
자체 서명된 인증서 작성
자체 서명된 인증서는 공식적으로 서명된 인증서가 인증 기관(CA)에서 리턴되기를 기다리는 동안 클라이언트와 서버 간에 SSL 세션을 사용할 수 있게 할 인증서를 제공합니다. 개인 및 공용 키는 이 프로세스 중에 작성됩니다. 자체 서명된 인증서를 작성하면 식별된 키 데이터베이스에 자체 서명된 X509 인증서가 생성됩니다. 자체 서명된 인증서에는 주체 이름과 동일한 발급자 이름이 있습니다.
이 태스크 정보
프로시저
- 다음과 같이 IKEYCMD 명령 인터페이스를 사용하여
자체 서명된 인증서를 작성하십시오.
여기서gskcmd -cert -create -db <filename> -pw <password> -size <2048 | 1024 | 512> -dn <distinguished_name> -label label> -default_cert <yes | no> - expire <days> -san dnsname <DNS name value>[,<DNS name value>] -san emailaddr <email address value>[,<email address value>] -san ipaddr <IP address value>[,<IP address value>][-ca <true | false>]
- -cert는 자체 서명된 인증서를 지정합니다.
- -create는 작성 조치를 지정합니다.
- -db <filename>은 데이터베이스 이름입니다.
- -pw <password>는 키 데이터베이스에 액세스하기 위한 비밀번호입니다.
- -dn <distinguished_name>은
X.500 식별 이름을 나타냅니다. 다음 형식의
인용 문자열로 입력하십시오(CN, O 및 C만 필요함).
CN=common_name, O=조직, OU=organization_unit, L=위치, ST=시/도, C=국가
예: CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
- -label <label>은 데이터베이스에서 키와 인증서를 식별하는 데 사용되는 설명 주석입니다.
- -size <2048 | 1024 | 512>는 키 크기(2048, 1024 또는 512)를 나타냅니다. 기본 키 크기는 1024입니다. GSKit(Global Security Kit) 버전 7.0.4.14 이상을 사용하는 경우에는 2048 키 크기를 사용할 수 있습니다.
- -default_cert<yes | no>는 이 인증서가 키 데이터베이스의 기본 인증서인지 여부를 지정합니다.
- -expire <days>는 자체 서명된 새 디지털 인증서의 기본 유효 기간이 365일임을 나타냅니다. 최소값은 1일입니다. 최대값은 7300일(20년)입니다.
- -san * <subject alternate name attribute value>
| <subject alternate name attribute value>는
서명된 인증서에 해당하는 대체 호스트 이름을 SSL 클라이언트에 알리는
주체 대체 이름 확장자를 인증서 요청에 지정합니다. 이들 옵션은 ikminit.properties 파일에 다음 행이 입력되는 경우에만 유효합니다. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. *(별표) 값은 다음과 같습니다.
- dnsname
- RFC 1034에 따라 선호 이름 구문을 사용하여 이 값을 형식화해야 합니다. 예: zebra,tek.ibm.com.
- emailaddr
- RFC 822에 따라 addr-spec으로 이 값을 형식화해야 합니다. 예: myname@zebra.tek.ibm.com
- ipaddr
- 이 값은 RFC 1338 및 RFC 1519에 따라 형식화된 IP 주소를 나타내는 문자열입니다. 예: 193.168.100.115
- -ca <true | false>는 자체 서명된 인증서의 기본 제한조건 확장을 지정합니다. 확장은 전달되는 값이 true인 경우 CA:true 및 PathLen:<max int>가 추가되고, 전달되는 값이 false인 경우 추가되지 않습니다.
- GSKCapiCmd 도구를 사용하여 자체 서명된 인증서를 작성하십시오. GSKCapiCmd는
CMS 키 데이터베이스 내에서 키, 인증서, 인증서 요청을 관리하는 도구입니다. 이 도구는 GSKCapiCmd가 CMS 및 PKCS11 키 데이터베이스를
지원하는 것을 제외하고 기존 GSKit Java™ 명령행 도구가 가진
모든 기능을 제공합니다. CMS 또는 PKCS11 이외의 키 데이터베이스를
관리하려면 기존 Java 도구를 사용하십시오.
GSKCapiCmd를 사용하여 CMS 키 데이터베이스의 모든 측면을 관리할 수 있습니다.
GSKCapiCmd는 Java가 시스템에 설치될 필요가 없습니다.
gskcapicmd -cert -create [-db <name>]|[-crypto <module name> -tokenlabel <token label>][-pw <passwd>] -label <label> -dn <dist name> [-size <2048|1024|512>][-x509version <1|2|3>][-default_cert <yes|no>] [-expire <days>][-secondaryDB <filename> -secondaryDBpw <password>] [-ca <true|false>][-fips] [-sigalg<md5|sha1|sha224|sha256|sha384|sha512>]
참고: Unix 유형 운영 체제에서는 모든 태그와 연관된 문자열 값을 항상 큰따옴표(“”) 안에 캡슐화하는 것이 좋습니다. 또한 다음 문자가 문자열 값에 있는 경우에는 ‘\' 문자를 사용하여 이를 이스케이프시켜야 합니다: ‘!', ‘\', ‘”', ‘`'. 이렇게 하면 일부 명령행 쉘에서 이러한 값에 포함된 특정 문자를 해석하지 못합니다(예: gsk7capicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”). 그러나 gsk7capicmd가 값(예: 비밀번호)을 입력하도록 프롬프트를 표시하는 경우에는 문자열을 따옴표로 묶고 이스케이프 문자를 추가하는 것을 하지 않아야 합니다. 쉘이 더 이상 이 입력에 영향을 주지 않기 때문입니다.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_selfsigned
파일 이름:tihs_selfsigned.html