您會發現金鑰組和憑證申請儲存在金鑰資料庫中。本節提供有關如何建立金鑰組和憑證申請的資訊。
開始之前
在您建立金鑰組和憑證申請時,請記得 GSKit 憑證支援有下列限制:
- 您不能使用 IKEYMAN 來建立金鑰大小大於 4096 位元的憑證。
- 您可以將金鑰大小最多為 4096 位元的憑證匯入金鑰資料庫中。
關於這項作業
若要建立公開和私密金鑰組及憑證申請,請完成下列步驟:
程序
- 如果您尚未建立金鑰資料庫,請參閱建立新的金鑰資料庫,以取得相關指示。
- 啟動 IKEYMAN 使用者介面。
- 從主要使用者介面按一下金鑰資料庫檔,然後按一下開啟。
- 在「開啟」對話框中,輸入您的金鑰資料庫名稱,如果要使用預設值,則按一下 key.kdb 檔。按一下確定。
- 在「密碼提示」對話框中輸入正確的密碼,然後按一下確定。
- 從主要使用者介面按一下建立,然後按一下新建憑證申請。
- 在「新建金鑰和憑證申請」對話框中,填寫下列資訊:
- 金鑰標籤:輸入說明註解,以識別資料庫中的金鑰和憑證。
- 金鑰大小:從下拉功能表選擇您的加密層次。
- 組織名稱:輸入您的組織名稱。
- 組織單位
- 地區
- 州/省(縣/市)
- 郵遞區號
- 國家:輸入國碼。指定至少兩個字元。範例:US 憑證申請檔名,或使用預設名稱。
憑證申請的總和檢查會以新的私密金鑰來進行加密簽署,並包含一份新的公開金鑰。然後憑證管理中心就可以使用公開金鑰來驗證憑證簽章要求 (CSR) 未遭竄改。有些憑證管理中心可能會要求以較強的演算法來計算公開金鑰所簽署的總和檢查,例如 SHA-1 或 SHA-2(例如 SHA-256、SHA-384、SHA-256)。
這個總和檢查是 CSR 的「簽章演算法」
「主體替代名稱 (SAN)」延伸是憑證申請中的欄位,用以通知 SSL 用戶端對應於已簽章憑證的替代主機名稱。一般憑證(核發時,其「識別名稱」中沒有萬用字元字串)只對單一主機名稱有效。例如,為 example.com 建立的憑證在 www.example.com 上無效,除非將 "www.example.com" 的「主體替代名稱」新增至憑證。如果您的憑證包含 1 個以上的 SAN 延伸,憑證管理中心可能會額外收費。
- 按一下確定。
- 在「資訊」對話框中按一下確定。畫面上會顯示將檔案傳送至憑證管理中心的提示。
- 選擇性的: 在 UNIX 型平台上,將憑證申請的行尾字元 (^M) 移除。 若要移除行尾字元,請輸入下列指令:
cat certreq.arm |tr -d "\r" > new_certreq.arm
- 遵循 CA 網站的指示,將檔案傳送至憑證管理中心 (CA),以要求新的憑證。