[AIX Solaris HP-UX Linux Windows]

Criando um Novo Par de Chaves e Pedido de Certificado

Os pares de chaves e pedidos de certificados são armazenados em um banco de dados de chaves. Este tópico fornece informações sobre como criar um par de chaves e um pedido de certificado.

Sobre Esta Tarefa

Crie um par de chaves privada e pública e solicitação de certificado usando a interface da linha de comandos gskcapicmd ou a ferramenta GSKCapiCmd, como segue:

Procedimento

  1. Use a interface da linha de comandos gskcapicmd. Digite o comando a seguir (em uma linha):
    <ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]] 
    [-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB 
    <filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
    em que:
    • -certreq especifica um pedido de certificado.
    • -create especifica uma ação de criação.
    • -db <filename> especifica o nome do banco de dados.
    • -pw é a senha para acessar o banco de dados de chaves.
    • label indica a etiqueta anexada ao certificado ou pedido de certificado.
    • dn <distinguished_name> indica um nome distinto X.500. Digite como uma cadeia entre aspas no seguinte formato (somente CN. O e C são obrigatórios): CN=nome_comum, O=organização, OU=unidade_da_organização, L=local, ST=estado, província, C=país
      Nota: Por exemplo, CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
    • -size <2048 | 1024 | 512> indica um tamanho de chave de 2048, 1024 ou 512. O tamanho de chave padrão é 1024. O tamanho de chave 2048 está disponível se você está usando Global Security Kit (GSKit) Versão 7.0.4.14 e posterior.
    • -file <filename> é o nome do arquivo no qual a solicitação de certificado será armazenada.
    • -san * <subject alternate name attribute value> | <subject alternate name attribute value> especifica as extensões de nome alternativo do sujeito na solicitação de certificado que informa aos clientes SSL os nomes do host alternativos que correspondem ao certificado assinado.
      Estas opções são válidas apenas se a linha a seguir foi inserida no arquivo ikminit.properties. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. O * (asterisco) pode ter os seguintes valores:
      dnsname
      O valor deve ser formatado usando a sintaxe de nome preferencial de acordo com RFC 1034. Por exemplo, zebra,tek.ibm.com.
      emailaddr
      O valor deve ser formatado como um addr-spec de acordo com RFC 822. Por exemplo, myname@zebra.tek.ibm.com
      ipaddr
      O valor é uma sequência representando um endereço IP formatado de acordo com RFC 1338 e RFC 1519. Por exemplo, 193.168.100.115
      Os valores destas opções são acumulados no atributo estendido de nome alternativo do assunto do certificado gerado. Se as opções não forem usadas, este atributo estendido não será incluído no certificado.
    • -ca <true | false> especifica a extensão de restrição básica como o certificado autoassinado. A extensão será incluída com um CA:true e um PathLen:<max int> se o valor passado for true ou não será incluída se o valor passado for false.
    Evitar Problemas Evitar Problemas: Em sistemas operacionais do tipo Unix é recomendado sempre encapsular valores das sequências de caracteres associados com todas as marcações entre aspas duplas (“”). Será preciso também escapar, usando um caractere ‘\', os seguintes caracteres se eles aparecerem nos valores das sequências de caracteres: ‘!', ‘\', ‘”', ‘`'. Isto evitará que alguns shells de linha de comandos interpretem caracteres específicos nestes valores. (e.g. gskcapicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”). Observe que, no entanto, ao ser solicitado um valor pelo gskcapicmd (por exemplo uma senha), não se deve colocar a sequência de caracteres entre aspas e nem incluir os caracteres de escape. Isto ocorre porque o shell não está mais influenciando esta entrada.gotcha

    Utilize a ferramenta GSKCapiCmd. GSKCapiCmd é uma ferramenta que gerencia chaves, certificados e pedidos de certificados em um banco de dados de chaves CMS. A ferramenta possui toda a funcionalidade que a ferramenta de linha de comandos GSKit Java™ existente possui, exceto que o GSKCapiCmd suporta bancos de dados de chaves CMS e PKCS11. Se planeja gerenciar bancos de dados de chaves diferentes de CMS ou PKCS11, use a ferramenta Java existente. Você pode utilizar GSKCapiCmd para gerenciar todos os aspectos de um banco de dados de chaves CMS. GSKCapiCmd não requer que Java seja instalado no sistema.

  2. Verifique se o certificado foi criado com êxito:
    1. Exiba o conteúdo do arquivo de pedido do certificado que você criou.
    2. Assegure que o banco de dados de chaves registrou a solicitação de certificado:
      <ihsinst>/bin/gskcapicmd -certreq -list -db <filename> -pw <password>

      Você deve ver listada a etiqueta que você acabou de criar.

  3. Envie o arquivo recém-criado para uma autoridade de certificação.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_keypair390
Nome do arquivo: tihs_keypair390.html