Commande requestCertificate

La commande requestCertificate utilise une classe d'implémentation qui est transférée pour communiquer avec un serveur d'autorité de certification (CA) pour demander un certificat CA signé. Cette commande ajoute ensuite le certificat à un fichier de clés fourni.

La commande requestCertificate peut utiliser une demande de certificat prédéveloppé créée avec la commande createCertRequest ou créer sa propre demande. Selon le serveur de CA que la commande cible, une demande complète et signée peut être rénvoyée ; le serveur de CA peut aussi accepter la demande et exiger un appel ultérieur pour obtenir le certificat à l'aide de la commande queryCertificate.

Emplacement

Lancez la commande depuis le répertoire racine_profil/bin.

Syntaxe

La syntaxe de la commande est la suivante :

(La commande suivante apparaît sur plusieurs lignes à des fins d'affichage.)[AIX][HP-UX][Linux][Solaris]
requestCertificate.sh -host<hôte_ca> -port<port_ca> -username<nom_utilisateur_ca> -password<mot_de_passe_ca> 
-revocationPassword<motdepasseRévocation> -keystoreAlias<aliasMagasinDeClés> 
-pkiImplClass<clientCaPersonnalisé>[options]
[Windows]
requestCertificate.bat -host<hôte_ca> -port<port_ca> -username<nom_utilisateur_ca> -password<mot_de_passe_ca> 
-revocationPassword<motdepasseRévocation> -keystoreAlias<aliasMagasinDeClés> 
-pkiImplClass<clientCaPersonnalisé>[options]
[z/OS]
requestCertificate.sh -host<hôte_ca> -port<port_ca> -username<nom_utilisateur_ca>  -password<mot_de_passe_ca> 
-revocationPassword<motdepasseRévocation> -keystoreAlias<aliasMagasinDeClés>
 -pkiImplClass<clientCaPersonnalisé>[options]
[IBM i]
requestCertificate -host<hôte_ca> -port<port_ca> -username<nom_utilisateur_ca>  -password<mot_de_passe_ca>
-revocationPassword<motdepasseRévocation> -keystoreAlias<aliasMagasinDeClés> 
-pkiImplClass<clientCaPersonnalisé>[options]

Paramètres obligatoires

La commande requestCertifcate utilise les paramètres obligatoires suivants :
-host caHost
Indique l'hôte de l'autorité de certification cible auquel la demande sera envoyée.
-port caPort
Indique le port cible auquel se connecter.
-username caUserName
Le nom d'utilisateur utilisé pour avoir accès à l'autorité de certification.
-password caPassword
Le mot de passe utilisé pour s'authentifier auprès de l'autorité de certification.
-revocationPassword revocationPassword
Le mot de passe à définir sur le certificat renvoyé par l'autorité de certification. Le mot de passe de révocation est envoyé à l'autorité de certification pendant chaque demande et il est associé à chaque certificat émis. Pour révoquer un certificat ultérieurement, il faut envoyer le même mot de passe de révocation dans une demande revokeCertificate.
keyStoreAliaskeyStoreAlias
Le nom du magasin de clés situé dans le fichier ssl.client.props du profil auquel est ajouté le certificat CA signé. Il s'agit généralement du fichier ClientDefaultKeyStore, aussi bien pour un environnement géré que pour un environnement non géré.
-pkiImplClass custom CA client
Chemin d'accès d'une classe qui implémente l'interface WSPKIClient. La classe d'implémentation gère la communication vers un serveur CA pour demander un certificat signé CA. Il n'existe pas d'implémentation WSPKIClient par défaut livrée avec le produit. Les utilisateurs doivent fournir leur propre implémentation WSPKIClient pour communiquer avec une autorité de certification donnée.
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-nd-zos&topic=tsec_7dev_WSPKIClient_interface

Paramètres facultatifs

Les options ci-après sont disponibles pour la commande requestCertificate :

-certReqPath certificate request file
Un chemin vers une demande de certificat PKCS10 existante enregistrée dans un fichier codé BASE64. Si aucune demande n'est spécifiée, une demande de certificat PKCS10 sera automatiquement créée. Dans ce cas, il faut indiquer une option “subjectDN” et “alias”. Cette demande sera créée par défaut au même emplacement que le fichier de clés spécifié dans la demande. Il s'agit généralement du fichier ClientDefaultTrustStore, aussi bien pour un environnement géré que pour un environnement non géré.
-subjectDN subjectDN
Le nom distinctif à utiliser pour la demande de certificat PKCS10. Le nom distinctif doit contenir la zone CN. Cette option n'est obligatoire que si vous n'indiquez pas l'option –certReqPath, ou si l'option –certReqPath pointe vers un fichier qui n'existe pas.
-alias certificateAlias
L'alias utilisé pour stocker la demande de certificat PKCS10 dans le fichier de clés indiqué dans la demande. Notez que le certificat CA signé sera stocké sous le même alias et remplacera la demande de certificat à sa réception. Cette option n'est obligatoire que si vous n'indiquez pas l'option –certReqPath, ou si l'option –certReqPath pointe vers un fichier qui n'existe pas.
-keySize key size
La taille de la clé. Cette option n'est valide que lors de la création d'une demande de certificat PKCS10 interne. La taille par défaut est 1024. Les valeurs valides sont 512, 1024 et 2048.
-keyUsage
Une liste de chaînes d'utilisation étendues de la clé, séparées par des points-virgules. Cette option n'est valide que lors de la création d'une demande de certificat PKCS10 interne.
-extKeyUsage extKeyUse1;extKeyUse2;...
Une liste de chaînes d'utilisation étendues de la clé, séparées par des points-virgules. Cette option n'est valide que lors de la création d'une demande de certificat PKCS10 interne.
-customAttrs customAttr1=value;customAttr2=value;...
Une liste de paires nom=valeur, séparées par des points-virgules, à transférer à la classe d'implémentation personnalisée. Ce paramètre offre une manière de transmettre des informations personnalisées à la classe d'implémentation. Les paires ‘attr’ et ‘value’ seront converties en une mappe de hachage est transférées à la classe d'implémentation.
-retryInterval retry interval
Le délai, en secondes, entre les nouvelles tentatives de demande au serveur CA au sujet d'un certificat CA signé.
-retryLimit retry limit
Le nombre total de tentatives de demande à un serveur CA.
-logfile nom de fichier
Remplace le fichier de trace par défaut. Par défaut, la trace est dans profiles/profile_name/log/caClient.log.
-trace
Lorsqu'elle est définie, cette option active le traçage de la spécification de trace nécessaire pour déboguer ce composant. Par défaut, la trace est dans le fichier profiles/profile_name/log/caClient.log.
-replaceLog
Entraîne le remplacement du fichier de trace existant lorsque la commande est exécutée. -quit
-quiet
Empêche l'impression de la plupart des messages à partir de la console.
-help
Imprime une syntaxe.
-?
Imprime une syntaxe.

Utilisation

L'exemple suivant illustre une demande requestCertificate :

[AIX][HP-UX][Linux][Solaris]
requestCertificate.sh -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I : La trace est consignée à l'emplacement suivant :
           C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I : Demande d'un certificat signé à l'autorité de certification.
CWPKI0456I : Certificat signé CA reçu [Emis par : O=IBM, C=US, Emis pour :
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]
[Windows]
C:\opt\WebSphere\AppClient\bin>requestCertificate.bat -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I : La trace est consignée à l'emplacement suivant :
           C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I : Demande d'un certificat signé à l'autorité de certification.
CWPKI0456I : Certificat signé CA reçu [Emis par : O=IBM, C=US, Emis pour :
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]
[z/OS]
requestCertificate.sh -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I : La trace est consignée à l'emplacement suivant :
           C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I : Demande d'un certificat signé à l'autorité de certification.
CWPKI0456I : Certificat signé CA reçu [Emis par : O=IBM, C=US, Emis pour :
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]
[IBM i]
requestCertificate -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I : La trace est consignée à l'emplacement suivant :
           C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I : Demande d'un certificat signé à l'autorité de certification.
CWPKI0456I : Certificat signé CA reçu [Emis par : O=IBM, C=US, Emis pour :
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7requestcacertcmd
Nom du fichier : rsec_7requestcacertcmd.html