Commande requestCertificate
La commande requestCertificate utilise une classe d'implémentation qui est transférée pour communiquer avec un serveur d'autorité de certification (CA) pour demander un certificat CA signé. Cette commande ajoute ensuite le certificat à un fichier de clés fourni.
La commande requestCertificate peut utiliser une demande de certificat prédéveloppé créée avec la commande createCertRequest ou créer sa propre demande. Selon le serveur de CA que la commande cible, une demande complète et signée peut être rénvoyée ; le serveur de CA peut aussi accepter la demande et exiger un appel ultérieur pour obtenir le certificat à l'aide de la commande queryCertificate.
Emplacement
Lancez la commande depuis le répertoire racine_profil/bin.
Syntaxe
La syntaxe de la commande est la suivante :
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
requestCertificate.sh -host<hôte_ca> -port<port_ca> -username<nom_utilisateur_ca> -password<mot_de_passe_ca>
-revocationPassword<motdepasseRévocation> -keystoreAlias<aliasMagasinDeClés>
-pkiImplClass<clientCaPersonnalisé>[options]
![[Windows]](../images/windows.gif)
requestCertificate.bat -host<hôte_ca> -port<port_ca> -username<nom_utilisateur_ca> -password<mot_de_passe_ca>
-revocationPassword<motdepasseRévocation> -keystoreAlias<aliasMagasinDeClés>
-pkiImplClass<clientCaPersonnalisé>[options]
![[z/OS]](../images/ngzos.gif)
requestCertificate.sh -host<hôte_ca> -port<port_ca> -username<nom_utilisateur_ca> -password<mot_de_passe_ca>
-revocationPassword<motdepasseRévocation> -keystoreAlias<aliasMagasinDeClés>
-pkiImplClass<clientCaPersonnalisé>[options]
![[IBM i]](../images/iseries.gif)
requestCertificate -host<hôte_ca> -port<port_ca> -username<nom_utilisateur_ca> -password<mot_de_passe_ca>
-revocationPassword<motdepasseRévocation> -keystoreAlias<aliasMagasinDeClés>
-pkiImplClass<clientCaPersonnalisé>[options]
Paramètres obligatoires
- Indique l'hôte de l'autorité de certification cible auquel la demande sera envoyée.
- Indique le port cible auquel se connecter.
- Le nom d'utilisateur utilisé pour avoir accès à l'autorité de certification.
- Le mot de passe utilisé pour s'authentifier auprès de l'autorité de certification.
- Le mot de passe à définir sur le certificat renvoyé par l'autorité de certification. Le mot de passe de révocation est envoyé à l'autorité de certification pendant chaque demande et il est associé à chaque certificat émis. Pour révoquer un certificat ultérieurement, il faut envoyer le même mot de passe de révocation dans une demande revokeCertificate.
- Le nom du magasin de clés situé dans le fichier ssl.client.props du profil auquel est ajouté le certificat CA signé. Il s'agit généralement du fichier ClientDefaultKeyStore, aussi bien pour un environnement géré que pour un environnement non géré.
- Chemin d'accès d'une classe qui implémente l'interface WSPKIClient. La classe d'implémentation gère la communication vers un serveur CA pour demander un certificat signé CA. Il n'existe pas d'implémentation WSPKIClient par défaut livrée avec le produit. Les utilisateurs doivent fournir leur propre implémentation WSPKIClient pour communiquer avec une autorité de certification donnée.
- http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-nd-zos&topic=tsec_7dev_WSPKIClient_interface
Paramètres facultatifs
Les options ci-après sont disponibles pour la commande requestCertificate :
- Un chemin vers une demande de certificat PKCS10 existante enregistrée dans un fichier codé BASE64. Si aucune demande n'est spécifiée, une demande de certificat PKCS10 sera automatiquement créée. Dans ce cas, il faut indiquer une option “subjectDN” et “alias”. Cette demande sera créée par défaut au même emplacement que le fichier de clés spécifié dans la demande. Il s'agit généralement du fichier ClientDefaultTrustStore, aussi bien pour un environnement géré que pour un environnement non géré.
- Le nom distinctif à utiliser pour la demande de certificat PKCS10. Le nom distinctif doit contenir la zone CN. Cette option n'est obligatoire que si vous n'indiquez pas l'option –certReqPath, ou si l'option –certReqPath pointe vers un fichier qui n'existe pas.
- L'alias utilisé pour stocker la demande de certificat PKCS10 dans le fichier de clés indiqué dans la demande. Notez que le certificat CA signé sera stocké sous le même alias et remplacera la demande de certificat à sa réception. Cette option n'est obligatoire que si vous n'indiquez pas l'option –certReqPath, ou si l'option –certReqPath pointe vers un fichier qui n'existe pas.
- La taille de la clé. Cette option n'est valide que lors de la création d'une demande de certificat PKCS10 interne. La taille par défaut est 1024. Les valeurs valides sont 512, 1024 et 2048.
- Une liste de chaînes d'utilisation étendues de la clé, séparées par des points-virgules. Cette option n'est valide que lors de la création d'une demande de certificat PKCS10 interne.
- Une liste de chaînes d'utilisation étendues de la clé, séparées par des points-virgules. Cette option n'est valide que lors de la création d'une demande de certificat PKCS10 interne.
- Une liste de paires nom=valeur, séparées par des points-virgules, à transférer à la classe d'implémentation personnalisée. Ce paramètre offre une manière de transmettre des informations personnalisées à la classe d'implémentation. Les paires ‘attr’ et ‘value’ seront converties en une mappe de hachage est transférées à la classe d'implémentation.
- Le délai, en secondes, entre les nouvelles tentatives de demande au serveur CA au sujet d'un certificat CA signé.
- Le nombre total de tentatives de demande à un serveur CA.
- Remplace le fichier de trace par défaut. Par défaut, la trace est dans profiles/profile_name/log/caClient.log.
- Lorsqu'elle est définie, cette option active le traçage de la spécification de trace nécessaire pour déboguer ce composant. Par défaut, la trace est dans le fichier profiles/profile_name/log/caClient.log.
- Entraîne le remplacement du fichier de trace existant lorsque la commande est exécutée. -quit
- Empêche l'impression de la plupart des messages à partir de la console.
- Imprime une syntaxe.
- Imprime une syntaxe.
Utilisation
L'exemple suivant illustre une demande requestCertificate :
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
requestCertificate.sh -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I : La trace est consignée à l'emplacement suivant :
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I : Demande d'un certificat signé à l'autorité de certification.
CWPKI0456I : Certificat signé CA reçu [Emis par : O=IBM, C=US, Emis pour :
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[Windows]](../images/windows.gif)
C:\opt\WebSphere\AppClient\bin>requestCertificate.bat -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I : La trace est consignée à l'emplacement suivant :
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I : Demande d'un certificat signé à l'autorité de certification.
CWPKI0456I : Certificat signé CA reçu [Emis par : O=IBM, C=US, Emis pour :
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[z/OS]](../images/ngzos.gif)
requestCertificate.sh -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I : La trace est consignée à l'emplacement suivant :
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I : Demande d'un certificat signé à l'autorité de certification.
CWPKI0456I : Certificat signé CA reçu [Emis par : O=IBM, C=US, Emis pour :
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[IBM i]](../images/iseries.gif)
requestCertificate -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I : La trace est consignée à l'emplacement suivant :
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I : Demande d'un certificat signé à l'autorité de certification.
CWPKI0456I : Certificat signé CA reçu [Emis par : O=IBM, C=US, Emis pour :
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]