![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
创建自签名证书
自签名证书提供一个证书以便在客户机与服务器之间启用 SSL 会话,同时等待从认证中心 (CA) 返回正式签名的证书。在此过程期间会创建专用和公用密钥。创建自签名证书会在标识的密钥数据库中生成自签名的 X509 证书。自签名证书具有与其主体名称相同的签发者名称。
关于此任务
过程
- 使用 IKEYCMD 命令行界面创建自签名证书,方法如下:
其中:gskcmd -cert -create -db <filename> -pw <password> -size <2048 | 1024 | 512> -dn <distinguished_name> -label label> -default_cert <yes | no> - expire <days> -san dnsname <DNS name value>[,<DNS name value>] -san emailaddr <email address value>[,<email address value>] -san ipaddr <IP address value>[,<IP address value>][-ca <true | false>]
- -cert 指定自签名证书。
- -create 指定创建操作。
- -db <filename> 是数据库的名称。
- -pw <password> 是用于访问密钥数据库的密码。
- -dn <distinguished_name> - 表示 X.500 专有名称。请按下列格式进行输入并将整个字符串用引号括起来(仅 CN、O 和 C 是必需的):CN=common_name, O=organization, OU=organization_unit, L=location, ST=state, province, C=country
例如,CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
- -label <label> 是用于标识数据库中的密钥和证书的描述性注释。
- -size <2048 | 1024 | 512> 表示密钥大小为 2048、1024 或 512。缺省密钥大小为 1024。如果您使用的是 Global Security Kit (GSKit) V7.0.4.14 和更高版本,那么可用的密钥大小为 2048。
- -default_cert<yes | no> 指定这是否为密钥数据库中的缺省证书。
- -expire <days> 表示新的自签名数字证书的缺省有效期是 365 天。最小值为 1 天。最大值为 7300 天(二十年)。
- -san * <subject alternate name attribute value> | <subject alternate name attribute value>
指定证书请求中的主体备用名称扩展,这些扩展用于告知 SSL 客户机与签名证书相对应的备用主机名。仅当您在 ikminit.properties 文件中输入了下面一行时,这些选项才有效。DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true。*(星号)可以具有下列值:
- dnsname
- 必须根据 RFC 1034 使用首选名称语法来格式化此值。例如,zebra,tek.ibm.com。
- emailaddr
- 必须根据 RFC 822 将此值格式化为 addr-spec。例如,myname@zebra.tek.ibm.com
- ipaddr
- 此值是一个字符串,表示已根据 RFC 1338 和 RFC 1519 进行格式化的 IP 地址。例如,193.168.100.115
- -ca <true | false> 指定自签名证书的基本约束扩展。如果所传递的值为 true,那么将使用 CA:true 和 PathLen:<max int> 添加此扩展;如果所传递的值为 false,那么将不添加此扩展。
- 使用 GSKCapiCmd 工具创建自签名证书。 GSKCapiCmd 是用于管理 CMS 密钥数据库中的密钥、证书和证书请求的工具。该工具包含现有的 GSKit Java™ 命令行工具所具有的全部功能,只不过 GSKCapiCmd 支持 CMS 和 PKCS11 密钥数据库。如果您计划管理除 CMS
或 PKCS11 以外的密钥数据库,请使用现有的 Java 工具。可以使用 GSKCapiCmd 来管理 CMS 密钥数据库的所有方面。GSKCapiCmd
不要求在系统上安装 Java。
gskcapicmd -cert -create [-db <name>]|[-crypto <module name> -tokenlabel <token label>][-pw <passwd>] -label <label> -dn <dist name> [-size <2048|1024|512>][-x509version <1|2|3>][-default_cert <yes|no>] [-expire <days>][-secondaryDB <filename> -secondaryDBpw <password>] [-ca <true|false>][-fips] [-sigalg<md5|sha1|sha224|sha256|sha384|sha512>]
注: 在 UNIX 类型的操作系统上,建议始终将与所有标记相关联的字符串值括在双引号 (“”) 中。如果下列字符出现在字符串值中,您还需要使用“\”字符对它们进行转义:“!”、“\”、“"”和“`”。这将避免某些命令行 Shell 解释这些值中的特定字符。(例如,gsk7capicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”)。但是,请注意,当 gsk7capicmd 提示您输入值(例如密码)时,不应将字符串括在引号中并添加转义字符。这是因为 Shell 不再影响此输入。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_selfsigned
文件名:tihs_selfsigned.html