![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
新規鍵ペアと証明書要求の作成
鍵データベースには、鍵ペアおよび証明書要求が保管されています。 このトピックでは、鍵ペアおよび証明書要求の作成方法に関する情報を提供します。
このタスクについて
手順
- gskcapicmd コマンド行インターフェースを使用します。以下のコマンドを (1 行で) 入力します。
各部の意味は、次のとおりです。<ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]] [-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB <filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
- -certreq は、証明書要求を指定します。
- -create は、作成アクションを指定します。
- -db <filename> は、データベース名を指定します。
- -pw は、鍵データベースにアクセスするためのパスワードです。
- label は、証明書または証明書要求に付加されるラベルを示します。
- dn <distinguished_name> は、X.500 識別名を示します。
以下のフォーマットの引用符付きストリングとして入力します (CN、O、および C のみが必要
です)。CN=common_name、O=organization、OU=organization_unit、L=location、ST=state、province、C=country 注: 例えば、以下のようになります。CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
- -size <2048 | 1024 | 512> は、2048、1024、または 512 の鍵サイズを示します。デフォルトの鍵サイズは 1024 です。2048 の鍵サイズは、Global Security Kit (GSKit) Version 7.0.4.14 以降を使用している場合に使用可能です。
- -file <filename> は、証明書要求が保管されるファイルの名前です。
- -san * <subject alternate name attribute value> | <subject
alternate name attribute value> は、認証要求内のサブジェクト代替名拡張機能を指定します。サブジェクト代替名拡張機能は、
署名付き証明書に対応する代替ホスト名を SSL クライアントに通知します。これらのオプションは、ikminit.properties ファイルに以下の行が入力されている場合にのみ有効です。 DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true* (アスタリスク) は、以下の値を入れることができます。
- dnsname
- 値は、RFC 1034 に準拠する推奨名前構文を使用してフォーマットされていなければなりません。例えば、 zebra,tek.ibm.com などです。
- emailaddr
- 値は、RFC 822 に準拠する addr-spec としてフォーマットされていなければなりません。 例えば、myname@zebra.tek.ibm.com などです。
- ipaddr
- 値は、RFC 1338 および RFC 1519 に準拠してフォーマットされた IP アドレスを表すストリングです。 例えば、193.168.100.115 などです。
- -ca <true | false> は、自己署名証明書に対する基本的な拡張子の制約を指定します。渡される値が TRUE の場合、CA:true および PathLen:<max int> を使用して拡張子が追加され、渡される値が FALSE の場合は追加されません。
トラブルの回避 (Avoid trouble): UNIX タイプのオペレーティング・システムでは、すべてのタグに関連付けられた文字列を、常に二重引用符 (“”) でカプセル化することが推奨されています。また、‘!'、‘\'、‘”'、‘`' の文字がストリング値に含まれる場合は、‘\' 文字を使用してそれらの文字をエスケープする必要があります。そうすることにより、一部のコマンド行シェルがこれらの値の中の特定文字を解釈しないようにすることができます。 (例えば、gskcapicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”)。 ただし、gskcapicmd によって値 (例えばパスワード) の入力を求めるプロンプトが表示された場合は、ストリングを引用符で囲んだりエスケープ文字を追加したりしないでください。これは、シェルにはこれ以上この入力への影響力がないためです。gotcha
GSKCapiCmd ツールを使用します。GSKCapiCmd は、CMS 鍵データベース内の鍵、証明書、および証明書要求を管理するツールです。このツールは、既存の GSKit Java™ コマンド行ツールが持っている機能をすべて備えています。ただし、GSKCapiCmd は CMS および PKCS11 鍵データベースをサポートしています。CMS または PKCS11 以外の鍵データベースを管理する場合は、既存の Java ツールを使用してください。GSKCapiCmd を使用すると、CMS 鍵データベースのすべての側面を管理できます。GSKCapiCmd は、システムに Java がインストールされていなくても使用できます。
- 証明書が正常に作成されたかを確認します。
- 作成した証明書要求ファイルのコンテンツを表示します。
- 以下のようにして、証明書要求を記録した鍵データベースを確認します。
<ihsinst>/bin/gskcapicmd -certreq -list -db <filename> -pw <password>
リストされている作成したラベルを確認する必要があります。
- 新規に作成したファイルを認証局に送信します。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_keypair390
ファイル名:tihs_keypair390.html