![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
建立自簽憑證
自簽憑證提供一項憑證,可在等待憑證管理中心 (CA) 傳回正式簽署的憑證期間,在用戶端與伺服器之間啟用 SSL 階段作業。在此程序期間,會建立私密和公開金鑰。建立自簽憑證時,會在所識別的金鑰資料庫中產生自簽 X509 憑證。自簽憑證的發證者名稱與其主題名稱相同。
關於這項作業
程序
- 使用 IKEYCMD 指令行介面來建立自簽憑證,如下所示:
其中:gskcmd -cert -create -db <filename> -pw <password> -size <2048 | 1024 | 512> -dn <distinguished_name> -label label> -default_cert <yes | no> - expire <days> -san dnsname <DNS name value>[,<DNS name value>] -san emailaddr <email address value>[,<email address value>] -san ipaddr <IP address value>[,<IP address value>][-ca <true | false>]
- -cert 指定自簽憑證。
- -create 指定建立動作。
- -db <filename> 是資料庫的名稱。
- -pw <password> 是用來存取金鑰資料庫的密碼。
- -dn <distinguished_name> - 指出 X.500 識別名稱。輸入以引號括住的字串,格式如下(只有 CN、O 和 C 為必要項目):CN=common_name, O=organization, OU=organization_unit, L=location, ST=state, province, C=country
例如,CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
- -label <label> 是說明註解,用來識別資料庫中的金鑰和憑證。
- -size <2048 | 1024 | 512> 指出金鑰大小為 2048、1024 或 512。預設金鑰大小為 1024。如果您是使用 Global Security Kit (GSKit) 7.0.4.14 和更新版本,則可使用 2048 金鑰大小。
- -default_cert<yes | no> 指定這是否為金鑰資料庫中的預設憑證。
- -expire <days> 指出新自簽數位憑證的預設有效期限為 365 天。下限為 1 天。上限為 7300 天(20 年)。
- -san * <subject alternate name attribute value> | <subject alternate name attribute value> 指定憑證申請中的主體替代名稱延伸,用以通知 SSL 用戶端對應於已簽章憑證的替代主機名稱。必須在 ikminit.properties 檔案中輸入下列字行,這些選項才有效。DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true。*(星號)可以是下列值:
- dnsname
- 此值必須依據 RFC 1034,使用偏好的名稱語法來格式化。例如,zebra,tek.ibm.com。
- emailaddr
- 此值必須依據 RFC 822 格式化為 addr-spec。例如,myname@zebra.tek.ibm.com
- ipaddr
- 此值是代表 IP 位址的字串,其格式是依據 RFC 1338 和 RFC 1519。例如,193.168.100.115
- -ca <true | false> 指定基本限制延伸至自簽憑證。如果所傳遞的值為 true,就會以 CA:true 和 PathLen:<max int> 來新增延伸,如果所傳遞的值為 false,就不會新增延伸。
- 使用 GSKCapiCmd 工具來建立自簽憑證。 GSKCapiCmd 是一種工具,可管理 CMS 金鑰資料庫中的金鑰、憑證和憑證申請。此工具包含現有 GSKit Java™ 指令行工具的所有功能,除了 GSKCapiCmd 支援 CMS 和 PKCS11 金鑰資料庫以外。如果您計劃要管理 CMS 或 PKCS11 以外的金鑰資料庫,請使用現有的 Java 工具。您可以使用 GSKCapiCmd 來管理 CMS 金鑰資料庫各方面相關的一切事項。GSKCapiCmd 不需要在系統上安裝 Java。
gskcapicmd -cert -create [-db <name>]|[-crypto <module name> -tokenlabel <token label>][-pw <passwd>] -label <label> -dn <dist name> [-size <2048|1024|512>][-x509version <1|2|3>][-default_cert <yes|no>] [-expire <days>][-secondaryDB <filename> -secondaryDBpw <password>] [-ca <true|false>][-fips] [-sigalg<md5|sha1|sha224|sha256|sha384|sha512>]
註: 在 Unix 類型作業系統上,建議一律以雙引號 (“”) 來含括與所有標記相關聯的字串值。如果下列字元出現在字串值中,您也需要使用 ‘\' 字元來將其跳出:‘!'、‘\'、‘”'、‘`'。這樣可以防止某些指令行 Shell 解譯這些值中的特定字元。(例如 gsk7capicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”)。 不過,請注意,當 gsk7capicmd 提示您輸入值時(例如密碼),則不應將字串用引號括住及加上跳出字元。這是因為 Shell 已不再影響此輸入。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_selfsigned
檔名:tihs_selfsigned.html