Mandato requestCertificate

El mandato requestCertificate utiliza una clase de implementación que se pasa para comunicarse con un servidor de entidad emisora de certificados (CA) para solicitar un certificado firmado por CA. A continuación, el mandato añade el certificado al almacén de claves suministrado.

El mandato requestCertificate puede utilizar una solicitud de certificado predefinida creada con el mandato createCertRequest o crea él mismo la solicitud de certificado. En función del servidor de CA al que se dirija el mandato, se devuelve una solicitud firmada completada; o el servidor CA puede aceptar la solicitud y necesitar que se efectúe una llamada en un momento posterior para obtener el certificado con el mandato queryCertificate.

Location

Emita el mandato desde el directorio raíz_perfil/bin.

Sintaxis

La sintaxis del mandato es la siguiente:

El mandato siguiente se divide en varias líneas para fines de impresión.[AIX][HP-UX][Linux][Solaris]
requestCertificate.sh -host<host_CA -port<puerto_CA -username<nombre_usuario_CA -password<contraseña_CA
-revocationPassword<contraseña_revocación> -keystoreAlias<alias_almacén_claves
-pkiImplClass<cliente_CA_personalizado>[opciones]
[Windows]
requestCertificate.bat -host<host_CA -port<puerto_CA -username<nombre_usuario_CA -password<contraseña_CA
-revocationPassword<contraseña_revocación> -keystoreAlias<alias_almacén_claves
-pkiImplClass<cliente_CA_personalizado>[opciones]
[z/OS]
requestCertificate.sh -host<host_CA -port<puerto_CA -username<nombre_usuario_CA  -password<contraseña_CA
-revocationPassword<contraseña_revocación> -keystoreAlias<alias_almacén_claves
 -pkiImplClass<cliente_CA_personalizado>[opciones]
[IBM i]
requestCertificate -host<host_CA -port<puerto_CA -username<nombre_usuario_CA  -password<contraseña_CA
-revocationPassword<contraseña_revocación> -keystoreAlias<alias_almacén_claves
-pkiImplClass<cliente_CA_personalizado>[opciones]

Parámetros necesarios

En el mandato requestCertifcate se utilizan los siguientes parámetros necesarios:
-host host_CA
Especifica el host de la entidad emisora de certificados de destino a la que se enviará la solicitud.
-port puerto_CA
Especifica el puerto de destino al que conectarse.
-username nombre_usuario_CA
Nombre de usuario utilizado para tener acceso a la entidad emisora de certificados.
-password contraseña_CA
Contraseña utilizada para autenticarse en la entidad emisora de certificados.
-revocationPassword contraseña_revocación
Contraseña que se establecerá en el certificado devuelto por la entidad emisora de certificados. La contraseña de revocación se envía a la entidad emisora de certificados durante cada solicitud y se asocia a cada certificado que se emite. Para posteriormente revocar un certificado, debe enviarse la misma contraseña de revocación durante una solicitud revokeCertificate.
keyStoreAliasalias_almacén_claves
Nombre del almacén de claves ubicado en el archivo ssl.client.props para el perfil en el que se añade el certificado firmado por la CA. Normalmente será el archivo ClientDefaultKeyStore para un entorno gestionado o un entorno no gestionado.
-pkiImplClass cliente CA personalizado
La vía de acceso a una clase que implementa la interfaz WSPKIClient. La clase de implementación maneja la comunicación con un servidor de CA para solicitar un certificado firmado por CA. No hay ninguna implementación WSPKIClient por omisión suministrada con el producto. Se espera que los usuarios proporcionen su propia implementación WSPKIClient para comunicarse con una autoridad de certificación.
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-nd-zos&topic=tsec_7dev_WSPKIClient_interface

Parámetros opcionales

Las siguientes opciones están disponibles para el mandato requestCertificate:

-certReqPath archivo solicitud certificado
Vía de acceso a una solicitud de certificado PKCS10 existente guardada en un archivo codificado en BASE64. Si no se especifica ninguna solicitud, se creará una solicitud de certificado PKCS10 automáticamente. En este caso, es necesario especificar las opciones “subjectDN” y “alias”. De manera predeterminada, la solicitud se creará en la misma ubicación que el keyStore especificado en la solicitud. Generalmente estará en el directorio /nombre_perfil/etc/ para un entorno gestionado o no gestionado.
-subjectDN DN_sujeto
Nombre distinguido que se utilizará para la solicitud del certificado PKCS10. El nombre distinguido debe contener el campo CN. Esta opción sólo es necesaria si no especifica la opción –certReqPath o si la opción –certReqPath apunta a un archivo que no existe.
-alias alias_certificado
Alias que se utilizará para almacenar el certificado de solicitud de certificado PKCS10 en el almacén de claves especificado en la solicitud. Tenga en cuenta que el certificado firmado por la CA se almacena en el mismo alias y sustituirá el certificado de solicitud de certificado cuando se reciba. Esta opción sólo es necesaria si no especifica la opción –certReqPath o si la opción –certReqPath apunta a un archivo que no existe.
-keySize tamaño_clave
Tamaño de la clave. Esta opción sólo se utiliza cuando se crea una solicitud de certificado PKCS10 en banda. El tamaño por omisión es de 1024. Los valores válidos son 512, 1024 y 2048
-keyUsage
Lista separada por puntos y comas de series de usos de clave extendida. Esta opción sólo es válida si se está creando una solicitud de certificado PKCS10 en banda.
-extKeyUsage uso_clave_ext1;uso_clave_ext2;...
Lista separada por puntos y comas de series de usos de clave extendida. Esta opción sólo es válida si se está creando una solicitud de certificado PKCS10 en banda.
-customAttrs customAttr1=value;customAttr2=value;...
Lista separada por puntos y comas de pares nombre=valor personalizados que se pasarán a la clase de implementación personalizada. Este parámetro proporciona un medio para pasar información personalizada a la clase de implementación. Los pares ‘attr’ y ‘value’ se convertirán en una correlación hash y se pasarán junto con la clase de implementación.
-retryInterval intervalo_reintento
Período de tiempo en segundos entre reintentos de solicitud de un certificado firmado por una CA.
-retryLimit límite_reintentos
Número total de veces que se reintentará una solicitud de consulta a la CA.
-logfile nombre_archivo
Altera temporalmente el archivo de rastreo. De manera predeterminada, el rastreo aparece en el archivo profiles/nombre_perfil/log/caClient.log.
-trace
Cuando se especifica, habilita el rastreo de la especificación de rastreo necesaria para depurar este componente. De manera predeterminada, el rastreo aparecerá en el archivo profiles/nombre_perfil/log/caClient.log.
-replaceLog
Hace que se sustituya el archivo de rastreo existente cuando se ejecuta el mandato. -quit
-quiet
Impide que se visualicen en la consola la mayoría de los mensajes.
-help
Imprime una sentencia de uso
-?
Imprime una sentencia de uso

Uso

En el siguiente ejemplo se realiza un mandato requestCertificate:

[AIX][HP-UX][Linux][Solaris]
requestCertificate.sh -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: El rastreo se anota en la siguiente ubicación:
           C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Solicitando un certificado firmado por CA.
CWPKI0456I: Se ha recibido certificado firmado CA [Emitido por: O=IBM, C=US, Emitido a:
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]
[Windows]
C:\opt\WebSphere\AppClient\bin>requestCertificate.bat -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: El rastreo se anota en la siguiente ubicación:
           C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Solicitando un certificado firmado por CA.
CWPKI0456I: Se ha recibido certificado firmado CA [Emitido por: O=IBM, C=US, Emitido a:
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]
[z/OS]
requestCertificate.sh -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: El rastreo se anota en la siguiente ubicación:
           C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Solicitando un certificado firmado por CA.
CWPKI0456I: Se ha recibido certificado firmado CA [Emitido por: O=IBM, C=US, Emitido a:
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]
[IBM i]
requestCertificate -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: El rastreo se anota en la siguiente ubicación:
           C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Solicitando un certificado firmado por CA.
CWPKI0456I: Se ha recibido certificado firmado CA [Emitido por: O=IBM, C=US, Emitido a:
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7requestcacertcmd
File name: rsec_7requestcacertcmd.html