本主題說明如何從憑證管理中心 (CA)(在您的伺服器上指定為授信 CA)接收以電子方式寄送的憑證。憑證管理中心是授信的第三方組織或公司,負責核發用來建立數位簽章和公開私密金鑰組的數位憑證。
關於這項作業
憑證管理中心可以傳送一個以上的憑證。除了伺服器的憑證之外,CA 也可以傳送其他簽署憑證或中間 CA 憑證。例如,Verisign 在傳送「廣域伺服器 ID」憑證時,會包含中間 CA 憑證。在接收伺服器憑證之前,請先接收任何其他中間 CA 憑證。請遵循「儲存 CA 憑證」主題中的指示來接收中間 CA 憑證。
如果核發 CA 簽章憑證的 CA 不是金鑰資料庫中的授信 CA,則先儲存 CA 憑證,再將 CA 指定為授信 CA。然後您就可以將 CA 簽章憑證接收至資料庫中。您不能從非授信 CA 接收 CA 簽章憑證。如需相關指示,請參閱儲存憑證管理中心憑證。
程序
- 使用 gskcmd 指令行介面,將 CA 簽章憑證接收至金鑰資料庫中,如下所示:
<ihsinst>/bin/gskcmd -cert -receive -file <filename> -db <filename> -pw <password>
-format <ascii | binary> -label <label> -default_cert <yes | no>
其中:- -cert 指定自簽憑證。
- -receive 指定接收動作。
- -file <filename> 是包含 CA 憑證的檔案。
- -db <filename> 是資料庫的名稱。
- -pw <password> 是用來存取金鑰資料庫的密碼。
- -format <ascii | binary> 指定憑證管理中心可以用 ASCII 或二進位格式來提供 CA 憑證。
- -default_cert <yes | no> 指出這是否為金鑰資料庫中的預設憑證。
- -label 指定附加至 CA 憑證的標籤。
- -trust 指出是否可以信任本 CA。在接收 CA 憑證時,請使用啟用選項。
- 使用 GSKCapiCmd 工具將 CA 簽章憑證接收至金鑰資料庫中。 GSKCapiCmd 是一種工具,可管理 CMS 金鑰資料庫中的金鑰、憑證和憑證申請。此工具包含現有 GSKit Java™ 指令行工具的所有功能,除了 GSKCapiCmd 支援 CMS 和 PKCS11 金鑰資料庫以外。如果您計劃要管理 CMS 或 PKCS11 以外的金鑰資料庫,請使用現有的 Java 工具。您可以使用 GSKCapiCmd 來管理 CMS 金鑰資料庫各方面相關的一切事項。GSKCapiCmd 不需要在系統上安裝 Java。
<ihsinst>/bin/gskcapicmd -cert -receive -file <name>
-db <name> [-crypto <module name> [-tokenlabel <token label>]]
[-pw <passwd>][-default_cert <yes|no>][-fips>