[AIX Solaris HP-UX Linux Windows]

Création d'une paire de clés et d'une demande de certificat

Les paires de clés ainsi que les demandes de certificat sont stockées dans une base de données de clés. Cette rubrique fournit des informations sur la création d'une paire de clés et une demande de certificat.

Pourquoi et quand exécuter cette tâche

Créez une paire de clés publiques et privées, ainsi qu'une demande de certificat, à l'aide de l'interface de ligne de commande gskcapicmd ou de l'outil GSKCapiCmd, comme suit :

Procédure

  1. Utilisez l'interface de ligne de commande gskcapicmd. Entrez la commande suivante (sur une seule ligne) :
    <ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]] 
    [-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB 
    <filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
    où :
    • -certreq indique une demande de certificat.
    • -create indique une action de création.
    • -db <nom_fichier> indique le nom de la base de données.
    • -pw est le mot de passe pour accéder à la base de données de clés.
    • label indique le libellé associé au certificat ou à la demande de certificat.
    • dn <nom_distinctif> indique un nom distinctif X.500. Saisissez en tant que chaîne de caractères délimitée au format suivant (uniquement CN, O et C sont requis): CN=nom_usuel, O=organisation, OU=unité_organisation, L=emplacement, ST=état, province, C=pays
      Remarque : Par exemple, CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
    • -size <2048 | 1024 | 512> indique une taille de clé égale à 2048, 1024 ou 512. La taille de clé par défaut est 1024. La taille de la clé 2048 est disponible si vous utilisez l'outil Global Security Kit (GSKit) Version 7.0.4.14 et suivante.
    • -file <nom_fichier> est le nom du fichier dans lequel la demande de certificat sera stockée.
    • -san * <valeur_attribut_san> | <valeur_attribut_san> indique les extensions san (subject alternate name) dans la demande de certificat qui indiquent aux clients SSL les noms d'hôte alternatifs correspondant au certificat signé.
      Ces options sont valides uniquement si la ligne suivante est entrée dans le fichier ikminit.properties. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. L'astérisque (*) peut avoir les valeurs suivantes :
      dnsname
      La valeur doit être formatée selon la syntaxe de nom préféré, conformément à RFC 1034. Par exemple, zebra,tek.ibm.com.
      emailaddr
      La valeur doit être formatée sous la forme addr-spec, conformément à RFC 822. Par exemple, myname@zebra.tek.ibm.com
      ipaddr
      La valeur est une chaîne représentant une adresse IP formatée conformément à RFC 1338 et RFC 1519. Par exemple, 193.168.100.115
      Les valeurs de ces options sont cumulées dans l'attribut étendu SAN du certificat généré. Si les options ne sont pas utilisées, cet attribut étendu n'est pas ajouté au certificat.
    • -ca <true | false> indique l'extension de la contrainte de base du certificat autosigné. L'extension est ajoutée avec CA:true et PathLen:<max int> si la valeur transmise est true et elle n'est pas ajoutée si la valeur transmise est false.
    Eviter les incidents Eviter les incidents: Sur les systèmes d'exploitation de type Unix, il est recommandé d'encapsuler systématiquement les valeurs de chaîne associées à toutes les balises placées entre guillemets (“”). Vous devrez également placer le caractère d'échappement ‘\' devant les caractères suivants s'ils apparaissent dans les valeurs de chaîne : ‘!', ‘\', ‘”', ‘`'. Les caractères spécifiques dans ces valeurs ne sont alors pas pris en compte dans certains interpréteurs de ligne de commande. (Par exemple, gskcapicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”). Lorsqu'une commande gskcapicmd vous invite à spécifier une valeur (un mot de passe par exemple), les guillemets et les caractères d'échappement ne doivent pas être ajoutés. Cela est dû au fait que l'interpréteur de commandes n'a plus aucune influence sur cette entrée.gotcha

    Utilisez l'outil GSKCapiCmd. GSKCapiCmd est un outil de gestion des clés, des certificats et des demandes de certificats au sein d'une base de données de clés CMS. Cet outil possède les mêmes fonctionnalités que l'outil de ligne de commande GSKit Java™ existant mais GSKCapiCmd prend en charge les bases de données de clés CMS et PKCS11. Si vous envisagez de gérer des bases de données de clés autres que CMS ou PKCS11, utilisez l'outil Java existant. Vous pouvez utiliser GSKCapiCmd pour gérer tous les aspects d'une base de données de clés CMS. GSKCapiCmd ne requiert pas l'installation de Java sur le système.

  2. Vérifiez que la création du certificat a abouti :
    1. Affichez le contenu du fichier de demande de certificat que vous avez créé.
    2. Assurez-vous que la base de données de clés a enregistré la demande de certificat :
      <ihsinst>/bin/gskcapicmd -certreq -list -db <filename> -pw <password>

      Le libellé répertorié que vous avez créé doit apparaître.

  3. Envoyez le fichier nouvellement créé à une autorité de certification.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_keypair390
Nom du fichier : tihs_keypair390.html