[AIX Solaris HP-UX Linux Windows]

创建新的密钥对和证书请求

密钥对和证书请求存储在密钥数据库中。此部分提供有关如何创建密钥对和证书请求的信息。

开始之前

在创建新的密钥对和证书请求时,请记住一些 GSKit 证书支持局限性:
  • 无法使用 IKEYMAN 来创建密钥大小超过 4096 位的证书。
  • 可以将密钥大小最大为 4096 位的证书导入密钥数据库中。

关于此任务

要创建公用和专用密钥对以及证书请求,请完成以下步骤:

过程

  1. 如果您还未创建密钥数据库,请参阅创建新的密钥数据库以获取指示信息。
  2. 启动 IKEYMAN 用户界面。
  3. 从主用户界面单击密钥数据库文件,然后单击打开
  4. 在“打开”对话框中输入密钥数据库名称,或单击 key.kdb 文件(如果您使用缺省值)。单击确定
  5. 在“密码提示”对话框中,输入正确的密码,然后单击确定
  6. 从主用户界面单击创建,然后单击新建证书请求
  7. 在“新建密钥和证书请求”对话框中,输入下列信息:
    • 密钥标签:输入用于标识数据库中的密钥和证书的描述性注释。
    • 密钥大小:从下拉菜单中选择加密级别。
    • 组织名:输入您的组织名。
    • 组织单元
    • 区域
    • 省/自治区/直辖市
    • 邮政编码
    • 国家或地区:输入国家或地区代码。请至少指定两个字符。示例:US 证书请求文件名或使用缺省名称。

    证书请求的校验和已使用新的专用密钥进行密码签名,并且包含新公用密钥的副本。这样,认证中心可以使用该公用密钥来验证证书签名请求 (CSR) 是否未被篡改。有些认证中心可能要求使用更强的算法(例如 SHA-1 或 SHA-2(SHA-256、SHA-384 或 SHA-256))来计算通过公用密钥进行签名的校验和。

    此校验和是 CSR 的“签名算法”。

    主体备用名称 (SAN) 扩展是证书请求中的一些字段,用于告知 SSL 客户机与签名证书相对应的备用主机名。一般证书(签发时其专有名称中未包含通配符的证书)仅对单个主机名有效。例如,为 example.com 创建的证书在 www.example.com 上无效,除非对该证书添加了主体备用名称“www.example.com”。如果您的证书包含 1 个或一个以上的 SAN 扩展,那么认证中心可能会收取额外的费用。

  8. 单击确定
  9. 在“信息”对话框中单击确定。此时会出现将文件发送到认证中心的提示。
  10. 可选: 在基于 UNIX 的平台上,从证书请求中除去行结束字符 (^M)。 要除去行结束字符,请输入以下命令:
    cat certreq.arm |tr -d "\r" > new_certreq.arm
  11. 按照认证中心 (CA) Web 站点中的指示信息将文件发送至 CA 以请求新的证书。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_keypair
文件名:tihs_keypair.html