![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Ein neues Schlüsselpaar und eine Zertifikatsanforderung erstellen
Schlüsselpaare und Zertifikatsanforderungen sind in einer Schlüsseldatenbank gespeichert. Dieser Artikel beschreibt, wie Sie ein Schlüsselpaar und eine Zertifikatsanforderung erstellen.
Informationen zu diesem Vorgang
Vorgehensweise
- Verwenden Sie die Befehlszeilenschnittstelle gskcapicmd.
Geben Sie den folgenden Befehl (in einer Zeile) ein:
Für diese Angaben gilt Folgendes:<IHS-Installation>/bin/gskcapicmd -certreq -create -db <Name> [-crypto <Modulname> [-tokenlabel <Tokenbezeichnung>]] [-pw <Kennwort>] -label <Bezeichnung> -dn <definierter Name> [-size <2048 | 1024 | 512>] -file <Name> [-secondaryDB <Dateiname> -secondaryDBpw <Kennwort>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
- -certreq gibt eine Zertifikatsanforderung an.
- -create gibt eine Erstellungsaktion an.
- -db <Dateiname> gibt den Namen einer Datenbank an.
- -pw gibt das Kennwort für den Zugriff auf die Schlüsseldatenbank an.
- Kennsatz gibt den Kennsatz an, der einem Zertifikat oder einer Zertifikatsanforderung zugeordnet ist.
- -dn <definierter_Name> gibt einen definierten X.500-Namen an.
Geben Sie den Namen als Zeichenfolge in Anführungszeichen im folgenden Format an (es sind nur CN, O und C
erforderlich): CN=allgemeiner_Name, O=Organisation, OU=Organisationseinheit, L=Standort,
ST=Staat, province, C=Land Anmerkung: Beispiel: CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
- -size <2048 | 1024 | 512> zeigt eine Schlüsselgröße von 2048, 1024 oder 512 an. Der Standardwert für die Schlüsselgröße ist "1024". Die Schlüsselgröße "2048" ist verfügbar, wenn Sie Global Security Kit (GSKit) Version 7.0.4.14 und höher verwenden.
- -file <Dateiname> steht für den Namen der Datei, in der die Zertifikatsanforderung gespeichert wird.
- -san * <alternativer Subjektname Attributwert> | <alternativer Subjektname Attributwert> gibt SAN-Erweiterungen in
der Zertifikatsanforderung an, die SSL-Clients über alternative Hostnamen informieren, die dem signierten Zertifikat entsprechen. Diese Optionen sind nur gültig, wenn die folgende Zeile in der Datei ikminit.properties eingegeben wird. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. Der Stern (*) kann die folgenden Werte haben:
- dnsname
- Der Wert muss anhand der so genannten bevorzugten Namenssyntax gemäß Spezifikation RFC 1034 formatiert werden, z. B. zebra,tek.ibm.com.
- emailaddr
- Der Wert muss als Adressangabe (addr-spec) gemäß RFC 822 formatiert werden, z. B. myname@zebra.tek.ibm.com
- ipaddr
- Der Wert ist eine Zeichenfolge, die eine IP-Adresse mit einem Format gemäß den Spezifikationen RFC 1338 und RFC 1519 angibt, z. B. 193.168.100.115
- -ca <true | false> gibt die Erweiterung hinsichtlich der Nutzungseinschränkung für das selbst signierte Zertifikat an. Die Erweiterung wird mit CA:true und PathLen:<max int> hinzugefügt, wenn der übergebene Wert zutreffend ist (true), und sie wird nicht hinzugefügt, wenn der übergebene Wert nicht zutreffend ist (false).
Fehler vermeiden: Unter UNIX-Betriebssystemen empfiehlt es sich, Zeichenfolgewerte mit allen zugehörigen Tags in Anführungszeichen (“”) zu setzen. Außerdem müssen Sie für die folgenden Zeichen Escapezeichen mit einem ‘\' setzen, wenn sie in den Zeichenfolgewerten vorkommen: ‘!', ‘\', ‘”', ‘`'. Die Escape-Zeichen verhindern, dass manche Befehlszeilenshells bestimmte Zeichen innerhalb dieser Werte interpretieren (z. B. –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”). Wenn Sie vom Befehl "gskcapicmd" aufgefordert werden, einen Wert (z. B. ein Kennwort) einzugeben, dürfen Sie keine Anführungszeichen und keine Escape-Zeichen setzen, weil die Shell keinen Einfluss mehr auf diese Eingabe hat. gotcha
Verwenden Sie das Tool GSKCapiCmd. GSKCapiCmd ist ein Tool, das Schlüssel, Zertifikate und Zertifikatsanforderungen in einer CMS-Schlüsseldatenbank verwaltet. Abgesehen davon, dass GSKCapiCmd CMS- und PKCS11-Schlüsseldatenbanken unterstützt, besitzt das Tool alle Funktionen des bereits vorhandenen Java™-Befehlszeilentools GSKit. Wenn Sie andere Schlüsseldatenbanken als CMS- oder PKCS11-Datenbanken verwalten möchten, verwenden Sie das vorhandene Java-Tool. Mit GSKCapiCmd können Sie alle Aspekte einer CMS-Schlüsseldatenbank verwalten. GSKCapiCmd setzt keine Installation von Java auf dem System voraus.
- Prüfen Sie, ob das Zertifikat erstellt wurde:
- Zeigen Sie den Inhalt der erstellten Zertifikatsanforderungsdatei an.
- Vergewissern Sie sich, dass die Zertifikatsanforderung in der Schlüsseldatenbank aufgezeichnet wurde:.
<IHS-Installation>/bin/gskcapicmd -certreq -list -db <Dateiname> -pw <Kennwort>
Sie sollten den soeben erstellten Kennsatz sehen.
- Senden Sie die neu erstellte Datei an eine Zertifizierungsstelle.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_keypair390
Dateiname:tihs_keypair390.html