Befehl "requestCertificate"
Der Befehl requestCertificate verwendet eine Implementierungsklasse, die übergeben wird, um die Kommunikation mit dem Server einer Zertifizierungsstelle (Certificate Authority, CA) zu ermöglichen und ein CA-signiertes Zertifikat abzufragen. Der Befehl fügt das Zertifikat dann einem bereitgestellten Keystore hinzu.
Der Befehl requestCertificate kann eine vordefinierte Zertifikatsanforderung verwenden, die mit dem Befehl createCertRequest erstellt wurde, oder erstellt die Zertifikatsanforderung selbst. Je nach CA-Server, an den der Befehl gerichtet ist, kann eine vollständige signierte Anforderung zurückgegeben werden. Möglicherweise akzeptiert der CA-Server die Anforderung und setzt voraus, dass zu einem späteren Zeitpunkt ein Aufruf abgesetzt wird, um das Zertifikat mit dem Befehl queryCertificate abzurufen.
Position
Setzen Sie den Befehl im Verzeichnis Profilstammverzeichnis/bin ab.
Syntax
Der Befehl hat die folgende Syntax:
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
requestCertificate.sh -host<CA-Host> -port<CA-Port> -username<CA-Benutzername> -password<CA-Kennwort>
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient>[Optionen]
![[Windows]](../images/windows.gif)
requestCertificate.bat -host<CA-Host> -port<CA-Port> -username<CA-Benutzername> -password<CA-Kennwort>
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient>[Optionen]
![[z/OS]](../images/ngzos.gif)
requestCertificate.sh -host<CA-Host> -port<CA-Port> -username<CA-Benutzername> -password<CA-Kennwort>
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient>[Optionen]
![[IBM i]](../images/iseries.gif)
requestCertificate -host<CA-Host> -port<CA-Port> -username<CA-Benutzername> -password<CA-Kennwort>
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient>[Optionen]
Erforderliche Parameter
- Gibt den Host der Zielzertifizierungsstelle (Certificate Authority, CA) an, an den die Anforderung gesendet wird.
- Gibt den Zielport an, zu dem eine Verbindung hergestellt wird.
- Gibt den Benutzernamen an, mit dem auf die Zertifizierungsstelle zugegriffen wird.
- Gibt das Kennwort an, das für die Authentifizierung bei der Zertifizierungsstelle verwendet wird.
- Das Kennwort, das für das von der Zertifizierungsstelle zurückgegebene Zertifikat gesetzt werden muss. Das Widerrufskennwort wird bei jeder Anforderung an die Zertifizierungsstelle gesendet und jedem ausgegebenen Zertifikat zugeordnet. Wenn Sie später ein Zertifikat widerrufen möchten, muss dasselbe Widerrufskennwort bei einer revokeCertificate-Anforderung gesendet werden.
- Gibt den Namen des Keystore an, der sich in der Datei "ssl.client.props" für das Profil befindet, dem das CA-signierte Zertifikat hinzugefügt wird. Dies ist gewöhnlich die Datei ClientDefaultKeyStore für verwaltete bzw. nicht verwaltete Umgebungen.
- Der Pfad zu einer Klasse, die die Schnittstelle "WSPKIClient" implementiert. die Implementierungsklasse führt die Kommunikation mit einem CA-Server zum Anfordern eines CA-signierten Zertifikats. Mit dem Produkt wird keine Standardimplementierung von WSPKIClient bereitgestellt. Es wird erwartet, dass die Benutzer ihre eigene WSPKIClient-Implementierung bereitstellen, um mit einer bestimmten Zertifizierungsstelle (Certificate Authority, CA) zu kommunizieren.
- http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-nd-zos&topic=tsec_7dev_WSPKIClient_interface
Optionale Parameter
Die folgenden Optionen sind für den Befehl requestCertificate verfügbar:
- Ein Pfad zu einer vorhandenen PKCS10-Zertifikatsanforderung, die in einer mit BASE64 verschlüsselten Datei gespeichert wird. Wenn keine Anforderung angegeben wird, wird automatisch eine PKCS10-Zertifikatsanforderung erstellt. In diesem Fall ist es erforderlich, einen Subjekt-DN und eine Aliasoption anzugeben. Standardmäßig wird die Anforderung an derselben Position wie der in der Anforderung angegebene Keystore erstellt. Dies ist gewöhnlich das Verzeichnis /Profilname/etc/ für eine verwaltete bzw. eine nicht verwaltete Umgebung.
- Gibt den definierten Name (DN) an, der für die PKCS10-Zertifikatsanforderung verwendet werden soll. Der DN muss das Feld "CN" enthalten. Diese Option ist nur erforderlich, wenn Sie die Option "–certReqPath" nicht angeben, oder wenn die Option "–certReqPath" auf eine nicht vorhandene Datei verweist.
- Gibt den Aliasnamen an, der verwendet wird, um das Zertifikat der PKCS10-Zertifikatsanforderung in dem Keystore zu speichern, der in der Abfrage angegeben wird. Das CA-signierte Zertifikat wird unter demselben Aliasnamen gespeichert und ersetzt das Zertifikat der Zertifikatsanforderung, wenn es empfangen wird. Diese Option ist nur erforderlich, wenn Sie die Option "–certReqPath" nicht angeben, oder wenn die Option "–certReqPath" auf eine nicht vorhandene Datei verweist.
- Die Größe des Schlüssels. Diese Option ist nur gültig, wenn eine interne PKCS10-Zertifikatsanforderung erstellt wird. Die Standardgröße ist 1024. Die gültigen Werte sind 512, 1024 und 2048.
- Eine durch Semikolons getrennte Liste mit Zeichenfolgen zur erweiterten Schlüsselverwendung. Diese Option ist nur gültig, wenn eine interne PKCS10-Zertifikatsanforderung erstellt wird.
- Eine durch Semikolons getrennte Liste mit Zeichenfolgen zur erweiterten Schlüsselverwendung. Diese Option ist nur gültig, wenn eine interne PKCS10-Zertifikatsanforderung erstellt wird.
- Ein Liste mit Paaren von angepassten Namen und Werten, die durch Semikolons voneinander getrennt sind. Die Liste wird an die angepasste Implementierungsklasse übergeben. Dieser Parameter bietet eine Möglichkeit, angepasste Informationen an die Implementierungsklasse zu übergeben. Die Attribut/Wert-Paare werden in eine HashMap konvertiert und an die Implementierungsklasse übergeben.
- Der Zeitraum (in Sekunden), der zwischen den Wiederholungen von Abfragen eines CA-signierten Zertifikats liegt, die an eine Zertifizierungsstelle (CA) gerichtet sind.
- Gibt an, wie oft eine an die Zertifizierungsstelle gerichtete Abfrageanforderung wiederholt wird.
- Überschreibt die Standardtracedatei. Standardmäßig erscheint der Trace in der Datei profiles/Profilname/log/caClient.log.
- Mit diesem Parameter wird die Traceerstellung für die zum Testen dieser Komponente erforderlichen Tracespezifikation aktiviert. Standardmäßig erscheint der Trace in der Datei profiles/Profilname/log/caClient.log.
- Bewirkt, dass die vorhandene Tracedatei ersetzt wird, wenn der Befehl ausgeführt wird. -quit
- Verhindert, dass die meisten Nachrichten an der Konsole ausgegeben werden.
- Gibt eine Anweisung zur Verwendung des Befehls aus.
- Gibt eine Anweisung zur Verwendung des Befehls aus.
Verwendung
Das folgende Beispiel veranschaulicht den Befehl "requestCertificate":
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
requestCertificate.sh -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: Der Trace wird an der folgenden Position protokolliert:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Es wird ein signiertes Zertifikat von der CA angefordert.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[Windows]](../images/windows.gif)
C:\opt\WebSphere\AppClient\bin>requestCertificate.bat -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: Der Trace wird an der folgenden Position protokolliert:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Es wird ein signiertes Zertifikat von der CA angefordert.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[z/OS]](../images/ngzos.gif)
requestCertificate.sh -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: Der Trace wird an der folgenden Position protokolliert:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Es wird ein signiertes Zertifikat von der CA angefordert.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[IBM i]](../images/iseries.gif)
requestCertificate -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: Der Trace wird an der folgenden Position protokolliert:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Es wird ein signiertes Zertifikat von der CA angefordert.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]