![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
建立新的金鑰組和憑證申請
您會發現金鑰組和憑證申請儲存在金鑰資料庫中。本主題提供有關如何建立金鑰組和憑證申請的資訊。
關於這項作業
程序
- 使用 gskcapicmd 指令行介面。將下列指令輸入成一行:
其中:<ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]] [-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB <filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
- -certreq 指定憑證申請。
- -create 指定建立動作。
- -db <filename> 指定資料庫的名稱。
- -pw 是用來存取金鑰資料庫的密碼。
- label 指出附加至憑證或憑證申請的標籤。
- dn <distinguished_name> 指出 X.500 識別名稱。輸入以引號括住的字串,格式如下(只有 CN、O 和 C 為必要項目):CN=common_name, O=organization, OU=organization_unit, L=location, ST=state, province, C=country 註: 例如,CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US
- -size <2048 | 1024 | 512> 指出金鑰大小為 2048、1024 或 512。預設金鑰大小為 1024。如果您是使用 Global Security Kit (GSKit) 7.0.4.14 和更新版本,則可使用 2048 金鑰大小。
- -file <filename> 是用來儲存憑證申請的檔案名稱。
- -san * <subject alternate name attribute value> | <subject alternate name attribute value> 指定憑證申請中的主體替代名稱延伸,用以通知 SSL 用戶端對應於已簽章憑證的替代主機名稱。必須在 ikminit.properties 檔案中輸入下列字行,這些選項才有效。DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true。*(星號)可以是下列值:
- dnsname
- 此值必須依據 RFC 1034,使用偏好的名稱語法來格式化。例如,zebra,tek.ibm.com。
- emailaddr
- 此值必須依據 RFC 822 格式化為 addr-spec。例如,myname@zebra.tek.ibm.com
- ipaddr
- 此值是代表 IP 位址的字串,其格式是依據 RFC 1338 和 RFC 1519。例如,193.168.100.115
- -ca <true | false> 指定基本限制延伸至自簽憑證。如果所傳遞的值為 true,就會以 CA:true 和 PathLen:<max int> 來新增延伸,如果所傳遞的值為 false,就不會新增延伸。
避免困難: 在 Unix 類型作業系統上,建議一律以雙引號 (“”) 來含括與所有標記相關聯的字串值。如果下列字元出現在字串值中,您也需要使用 ‘\' 字元來將其跳出:‘!'、‘\'、‘”'、‘`'。這樣可以防止某些指令行 Shell 解譯這些值中的特定字元。(例如 gskcapicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”)。不過,請注意,當 gskcapicmd 提示您輸入值時(例如密碼),則不應將字串用引號括住及加上跳出字元。這是因為 Shell 已不再影響此輸入。gotcha
使用 GSKCapiCmd 工具。GSKCapiCmd 是一種工具,可管理 CMS 金鑰資料庫中的金鑰、憑證和憑證申請。此工具包含現有 GSKit Java™ 指令行工具的所有功能,除了 GSKCapiCmd 支援 CMS 和 PKCS11 金鑰資料庫以外。如果您計劃要管理 CMS 或 PKCS11 以外的金鑰資料庫,請使用現有的 Java 工具。您可以使用 GSKCapiCmd 來管理 CMS 金鑰資料庫各方面相關的一切事項。GSKCapiCmd 不需要在系統上安裝 Java。
- 確認已順利建立憑證:
- 檢視您建立之憑證申請的內容。
- 確定金鑰資料庫已記錄憑證申請:
<ihsinst>/bin/gskcapicmd -certreq -list -db <filename> -pw <password>
您應該會看到您剛才建立的標籤列出。
- 將新建的檔案傳送至憑證管理中心。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_keypair390
檔名:tihs_keypair390.html