Mandato requestCertificate
El mandato requestCertificate utiliza una clase de implementación que se pasa para comunicarse con un servidor de entidad emisora de certificados (CA) para solicitar un certificado firmado por CA. A continuación, el mandato añade el certificado al almacén de claves suministrado.
El mandato requestCertificate puede utilizar una solicitud de certificado predefinida creada con el mandato createCertRequest o crea él mismo la solicitud de certificado. En función del servidor de CA al que se dirija el mandato, se devuelve una solicitud firmada completada; o el servidor CA puede aceptar la solicitud y necesitar que se efectúe una llamada en un momento posterior para obtener el certificado con el mandato queryCertificate.
Location
Emita el mandato desde el directorio raíz_perfil/bin.
Sintaxis
La sintaxis del mandato es la siguiente:
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
requestCertificate.sh -host<host_CA -port<puerto_CA -username<nombre_usuario_CA -password<contraseña_CA
-revocationPassword<contraseña_revocación> -keystoreAlias<alias_almacén_claves
-pkiImplClass<cliente_CA_personalizado>[opciones]
![[Windows]](../images/windows.gif)
requestCertificate.bat -host<host_CA -port<puerto_CA -username<nombre_usuario_CA -password<contraseña_CA
-revocationPassword<contraseña_revocación> -keystoreAlias<alias_almacén_claves
-pkiImplClass<cliente_CA_personalizado>[opciones]
![[z/OS]](../images/ngzos.gif)
requestCertificate.sh -host<host_CA -port<puerto_CA -username<nombre_usuario_CA -password<contraseña_CA
-revocationPassword<contraseña_revocación> -keystoreAlias<alias_almacén_claves
-pkiImplClass<cliente_CA_personalizado>[opciones]
![[IBM i]](../images/iseries.gif)
requestCertificate -host<host_CA -port<puerto_CA -username<nombre_usuario_CA -password<contraseña_CA
-revocationPassword<contraseña_revocación> -keystoreAlias<alias_almacén_claves
-pkiImplClass<cliente_CA_personalizado>[opciones]
Parámetros necesarios
- Especifica el host de la entidad emisora de certificados de destino a la que se enviará la solicitud.
- Especifica el puerto de destino al que conectarse.
- Nombre de usuario utilizado para tener acceso a la entidad emisora de certificados.
- Contraseña utilizada para autenticarse en la entidad emisora de certificados.
- Contraseña que se establecerá en el certificado devuelto por la entidad emisora de certificados. La contraseña de revocación se envía a la entidad emisora de certificados durante cada solicitud y se asocia a cada certificado que se emite. Para posteriormente revocar un certificado, debe enviarse la misma contraseña de revocación durante una solicitud revokeCertificate.
- Nombre del almacén de claves ubicado en el archivo ssl.client.props para el perfil en el que se añade el certificado firmado por la CA. Normalmente será el archivo ClientDefaultKeyStore para un entorno gestionado o un entorno no gestionado.
- La vía de acceso a una clase que implementa la interfaz WSPKIClient. La clase de implementación maneja la comunicación con un servidor de CA para solicitar un certificado firmado por CA. No hay ninguna implementación WSPKIClient por omisión suministrada con el producto. Se espera que los usuarios proporcionen su propia implementación WSPKIClient para comunicarse con una autoridad de certificación.
- http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-nd-zos&topic=tsec_7dev_WSPKIClient_interface
Parámetros opcionales
Las siguientes opciones están disponibles para el mandato requestCertificate:
- Vía de acceso a una solicitud de certificado PKCS10 existente guardada en un archivo codificado en BASE64. Si no se especifica ninguna solicitud, se creará una solicitud de certificado PKCS10 automáticamente. En este caso, es necesario especificar las opciones “subjectDN” y “alias”. De manera predeterminada, la solicitud se creará en la misma ubicación que el keyStore especificado en la solicitud. Generalmente estará en el directorio /nombre_perfil/etc/ para un entorno gestionado o no gestionado.
- Nombre distinguido que se utilizará para la solicitud del certificado PKCS10. El nombre distinguido debe contener el campo CN. Esta opción sólo es necesaria si no especifica la opción –certReqPath o si la opción –certReqPath apunta a un archivo que no existe.
- Alias que se utilizará para almacenar el certificado de solicitud de certificado PKCS10 en el almacén de claves especificado en la solicitud. Tenga en cuenta que el certificado firmado por la CA se almacena en el mismo alias y sustituirá el certificado de solicitud de certificado cuando se reciba. Esta opción sólo es necesaria si no especifica la opción –certReqPath o si la opción –certReqPath apunta a un archivo que no existe.
- Tamaño de la clave. Esta opción sólo se utiliza cuando se crea una solicitud de certificado PKCS10 en banda. El tamaño por omisión es de 1024. Los valores válidos son 512, 1024 y 2048
- Lista separada por puntos y comas de series de usos de clave extendida. Esta opción sólo es válida si se está creando una solicitud de certificado PKCS10 en banda.
- Lista separada por puntos y comas de series de usos de clave extendida. Esta opción sólo es válida si se está creando una solicitud de certificado PKCS10 en banda.
- Lista separada por puntos y comas de pares nombre=valor personalizados que se pasarán a la clase de implementación personalizada. Este parámetro proporciona un medio para pasar información personalizada a la clase de implementación. Los pares ‘attr’ y ‘value’ se convertirán en una correlación hash y se pasarán junto con la clase de implementación.
- Período de tiempo en segundos entre reintentos de solicitud de un certificado firmado por una CA.
- Número total de veces que se reintentará una solicitud de consulta a la CA.
- Altera temporalmente el archivo de rastreo. De manera predeterminada, el rastreo aparece en el archivo profiles/nombre_perfil/log/caClient.log.
- Cuando se especifica, habilita el rastreo de la especificación de rastreo necesaria para depurar este componente. De manera predeterminada, el rastreo aparecerá en el archivo profiles/nombre_perfil/log/caClient.log.
- Hace que se sustituya el archivo de rastreo existente cuando se ejecuta el mandato. -quit
- Impide que se visualicen en la consola la mayoría de los mensajes.
- Imprime una sentencia de uso
- Imprime una sentencia de uso
Uso
En el siguiente ejemplo se realiza un mandato requestCertificate:
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
requestCertificate.sh -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: El rastreo se anota en la siguiente ubicación:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Solicitando un certificado firmado por CA.
CWPKI0456I: Se ha recibido certificado firmado CA [Emitido por: O=IBM, C=US, Emitido a:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[Windows]](../images/windows.gif)
C:\opt\WebSphere\AppClient\bin>requestCertificate.bat -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: El rastreo se anota en la siguiente ubicación:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Solicitando un certificado firmado por CA.
CWPKI0456I: Se ha recibido certificado firmado CA [Emitido por: O=IBM, C=US, Emitido a:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[z/OS]](../images/ngzos.gif)
requestCertificate.sh -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: El rastreo se anota en la siguiente ubicación:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Solicitando un certificado firmado por CA.
CWPKI0456I: Se ha recibido certificado firmado CA [Emitido por: O=IBM, C=US, Emitido a:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[IBM i]](../images/iseries.gif)
requestCertificate -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: El rastreo se anota en la siguiente ubicación:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Solicitando un certificado firmado por CA.
CWPKI0456I: Se ha recibido certificado firmado CA [Emitido por: O=IBM, C=US, Emitido a:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]