![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Création d'un certificat auto-signé
Un certificat auto-signé fournit un certificat permettant d'activer des session SSL entre des clients et le serveur, en attendant de recevoir le certificat à signature officielle de la part de l'autorité de certification (CA). Durant ce processus, une clé privée et une clé publique sont créées. La création d'un certificat auto-signé génère un certificat X509 auto-signé dans la base de données de clés identifiée. Un certificat auto-signé a un nom d'émetteur et un nom de sujet identiques.
Pourquoi et quand exécuter cette tâche
Procédure
- Pour recevoir un certificat auto-signé à l'aide de l'interface de la ligne de commande IKEYCMD, procédez comme suit :
où :gskcmd -cert -create -db <nom_fichier> -pw <mot_de_passe> -size <2048 | 1024 | 512> -dn <nom_distinctif> -label label> -default_cert <yes | no> - expire <jours> -san dnsname <valeur_nom_DNS>[,<valeur_nom_DNS>] -san emailaddr <valeur adresse e-mail>[,<email valeur adresse>] -san ipaddr <valeur adresse IP>[,<valeur adresse IP>][-ca <true | false>]
- -cert indique un certificat auto-signé.
- -create indique une action de création.
- -db <nom_fichier> est le nom de la base de données.
- -pw <mot_de_passe> est le mot de passe d'accès à la base de données de clés.
- -dn <nom_distinctif> indique un nom distinctif X.500. Saisissez en tant que chaîne de caractères délimitée au format suivant (uniquement CN, O et C sont requis): CN=nom_usuel, O=organisation, OU=unité_organisation, L=emplacement,
ST=état, province, C=pays
Par exemple, CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
- -label <libellé> est un commentaire descriptif utilisé pour identifier la clé et le certificat dans la base de données.
- -size <2048 | 1024 | 512> indique une taille de clé de 2048, 1024 ou 512. La taille de clé par défaut est 1024. La taille de la clé 2048 est disponible si vous utilisez l'outil Global Security Kit (GSKit) Version 7.0.4.14 et suivante.
- -default_cert<yes | no>indique si c'est le certificat par défaut dans la base de données de clés.
- -expire <jours> indique que la période de validité par défaut des nouveaux certificats numériques auto-signés est de 365 jours. La période minimum est d'un jour. La période maximum est de 7 300 jours (vingt ans).
- -san * <valeur_attribut_san> | <valeur_attribut_san> indique les extensions san (subject alternate
name) dans la demande de certificat qui indiquent aux clients SSL les noms d'hôte alternatifs correspondant au certificat signé.Ces options sont valides uniquement si la ligne suivante est entrée dans le fichier ikminit.properties. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. L'astérisque (*) peut avoir les valeurs suivantes :
- dnsname
- La valeur doit être formatée selon la syntaxe de nom préféré, conformément à RFC 1034. Par exemple, zebra,tek.ibm.com.
- emailaddr
- La valeur doit être formatée sous la forme addr-spec, conformément à RFC 822. Par exemple, myname@zebra.tek.ibm.com
- ipaddr
- La valeur est une chaîne représentant une adresse IP formatée conformément à RFC 1338 et RFC 1519. Par exemple, 193.168.100.115
- -ca <true | false> indique l'extension de la contrainte de base du certificat autosigné. L'extension est ajoutée avec CA:true et PathLen:<max int> si la valeur transmise est true et elle n'est pas ajoutée si la valeur transmise est false.
- Créez un certificat auto-signé à l'aide de l'outil GSKCapiCmd. GSKCapiCmd est un outil de gestion des clés, des certificats et des demandes de certificats au sein d'une
base de données de clés CMS. Cet outil possède les mêmes fonctionnalités que l'outil de ligne de commande
GSKit Java™ existant mais GSKCapiCmd prend en charge les bases de données de clés CMS et PKCS11.
Si vous envisagez de gérer des bases de données
de clés autres que CMS ou PKCS11, utilisez l'outil Java existant. Vous pouvez utiliser GSKCapiCmd pour gérer tous les aspects
d'une base de données de clés CMS. GSKCapiCmd
ne requiert pas l'installation de Java sur le
système.
gskcapicmd -cert -create [-db <nom>]|[-crypto <nom_module> -tokenlabel <token label>][-pw <mot_passe>] -label <libellé> -dn <nom_dist> [-size <2048|1024|512>][-x509version <1|2|3>][-default_cert <yes|no>] [-expire <jours>][-secondaryDB <nom_fichier> -secondaryDBpw <mot_de_passe>] [-ca <true|false>][-fips] [-sigalg<md5|sha1|sha224|sha256|sha384|sha512>]
Remarque : Sur les systèmes d'exploitation de type Unix, il est recommandé d'encapsuler systématiquement les valeurs de chaîne associées à toutes les balises placées entre guillemets (“”). Vous devrez également placer le caractère d'échappement ‘\' devant les caractères suivants s'ils apparaissent dans les valeurs de chaîne : ‘!', ‘\', ‘”', ‘`'. Les caractères spécifiques dans ces valeurs ne sont alors pas pris en compte dans certains shells de ligne de commande. (Par exemple, gsk7capicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”). Lorsqu'une commande gsk7capicmd vous invite à spécifier une valeur (un mot de passe par exemple), les guillemets et les caractères d'échappement ne doivent pas être ajoutés. Cela est dû au fait que l'interpréteur de commandes n'a plus aucune influence sur cette entrée.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_selfsigned
Nom du fichier : tihs_selfsigned.html