requestCertificate コマンド
requestCertificate コマンドは、認証局 (CA) サーバーと通信して CA 署名済み証明書を要求するために渡される実装クラスを使用します。 その後、このコマンドは、指定された鍵ストアに証明書を追加します。
requestCertificate コマンドでは、createCertRequest コマンドを使用して作成した事前定義の証明書要求を使用することも、自身で証明書要求を作成することもできます。 コマンドが対象とする CA サーバーに応じて、完全な署名済み要求が返される場合があります。または、CA サーバーが要求を受け入れ、後で呼び出しを実行して queryCertificate コマンドで証明書を取得することを要求する場合があります。
ロケーション
このコマンドは、profile_root/bin ディレクトリーから実行します。
構文
コマンド構文は次のようになります。
(以下のコマンドは、表示の都合上、複数行に分割されています。)![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
![[Windows]](../images/windows.gif)
![[z/OS]](../images/ngzos.gif)
![[IBM i]](../images/iseries.gif)
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
requestCertificate.sh -host<caHost> -port<caPort> -username<caUserName> -password<caPassword>
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient>[options]
![[Windows]](../images/windows.gif)
requestCertificate.bat -host<caHost> -port<caPort> -username<caUserName> -password<caPassword>
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient>[options]
![[z/OS]](../images/ngzos.gif)
requestCertificate.sh -host<caHost> -port<caPort> -username<caUserName> -password<caPassword>
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient>[options]
![[IBM i]](../images/iseries.gif)
requestCertificate -host<caHost> -port<caPort> -username<caUserName> -password<caPassword>
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient>[options]
必須パラメーター
requestCertifcate コマンドでは、
以下の必須パラメーターを使用します。
- 要求の送信先となるターゲット認証局ホストを指定します。
- 接続先のターゲット・ポートを指定します。
- 認証局へのアクセス権の取得に使用するユーザー名。
- 認証局での認証に使用するパスワード。
- 認証局が返す証明書に設定されるパスワード。 各要求において取り消しパスワードが認証局に送信され、発行される各証明書に関連付けられます。 後で証明書を取り消すには、revokeCertificate 要求時に同じ取り消しパスワードを送信する必要があります。
- CA 署名済み証明書の追加先プロファイルの ssl.client.props ファイルに存在する鍵ストアの名前。通常、これは管理対象環境または非管理対象環境の ClientDefaultKeyStore ファイルです。
- WSPKIClient インターフェースを実装するクラスのパス。実装クラスは、CA 署名済み証明書を要求するために CA サーバーへの通信を処理します。製品に付属のデフォルト WSPKIClient 実装はありません。ユーザーは、所定の認証局と通信するための独自の WSPKIClient 実装を用意することが想定されています。
- http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-nd-zos&topic=tsec_7dev_WSPKIClient_interface
オプション・パラメーター
requestCertificate コマンドで使用可能なオプションは、以下のとおりです。
- BASE64 エンコード・ファイルに保存された既存の PKCS10 証明書要求へのパス。 要求が指定されない場合、PKCS10 証明書要求が自動的に作成されます。 その場合、「subjectDN」および「alias」オプションを指定する必要があります。デフォルトでは、要求は、要求で指定された鍵ストアと同じ場所に作成されます。 通常、これは管理対象環境または非管理対象環境の /profile_name/etc/ ディレクトリーです。
- PKCS10 証明書要求に使用する識別名。 識別名には CN フィールドが含まれている必要があります。このオプションが必要になるのは、-certReqPath オプションを指定しない場合か、または -certReqPath オプションが、存在しないファイルを指す場合のみです。
- 要求で指定された鍵ストア内で PKCS10 証明書要求の証明書を保管するために使用する別名。 CA 署名済み証明書は、同じ別名で保管され、証明書要求の証明書を置き換えます (受信した場合)。 このオプションが必要になるのは、-certReqPath オプションを指定しない場合か、または -certReqPath オプションが、存在しないファイルを指す場合のみです。
- 鍵のサイズ。このオプションは、インバンドの PKCS10 証明書要求を作成する場合のみ有効です。デフォルトのサイズは 1024 です。 有効な値は、512、1024、および 2048 です。
- セミコロンで区切られた、拡張鍵使用ストリングのリスト。このオプションは、インバンドの PKCS10 証明書要求を作成する場合のみ有効です。
- セミコロンで区切られた、拡張鍵使用ストリングのリスト。このオプションは、インバンドの PKCS10 証明書要求を作成する場合のみ有効です。
- カスタム実装クラスに渡される、セミコロンで区切られた custom name=value ペアのリスト。 これにより、カスタム情報を実装クラスに渡すことができます。 「attr」と「value」のペアは、ハッシュ・マップに変換され、実装クラスに渡されます。
- CA に対して CA 署名済み証明書の照会を再試行する時間間隔 (秒単位)。
- CA に対して照会要求を再試行する合計回数。
- デフォルトのトレース・ファイルをオーバーライドします。デフォルトでは、トレースは profiles/profile_name/log/caClient.log に示されます。ファイル。
- 指定されると、このコンポーネントをデバッグするために必要なトレース仕様のトレースを使用可能にします。 デフォルトでは、トレースは profiles/profile_name/log/caClient.log ファイルに示されます。
- コマンドが実行されるとき、既存のトレース・ファイルが置換されます。
- コンソールでほとんどのメッセージを印刷しないようにします。
- 使用ステートメントを出力します。
- 使用ステートメントを出力します。
使用法
以下の例では、requestCertificate を実行しています。
![[AIX]](../images/aixlogo.gif)
![[HP-UX]](../images/hpux.gif)
![[Linux]](../images/linux.gif)
![[Solaris]](../images/solaris.gif)
requestCertificate.sh -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:¥opt¥WebS
phere¥AppClient¥etc¥certReq26924.req -trace
CWPKI0403I: Trace is being logged to the following location:
C:¥opt¥WebSphere¥AppClient¥logs¥caClient.log
CWPKI0455I: Requesting a CA signed certificate.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[Windows]](../images/windows.gif)
C:¥opt¥WebSphere¥AppClient¥bin>requestCertificate.bat -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:¥opt¥WebS
phere¥AppClient¥etc¥certReq26924.req -trace
CWPKI0403I: Trace is being logged to the following location:
C:¥opt¥WebSphere¥AppClient¥logs¥caClient.log
CWPKI0455I: Requesting a CA signed certificate.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[z/OS]](../images/ngzos.gif)
requestCertificate.sh -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:¥opt¥WebS
phere¥AppClient¥etc¥certReq26924.req -trace
CWPKI0403I: Trace is being logged to the following location:
C:¥opt¥WebSphere¥AppClient¥logs¥caClient.log
CWPKI0455I: Requesting a CA signed certificate.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]
![[IBM i]](../images/iseries.gif)
requestCertificate -host localhost -port 1077
-username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:¥opt¥WebS
phere¥AppClient¥etc¥certReq26924.req -trace
CWPKI0403I: Trace is being logged to the following location:
C:¥opt¥WebSphere¥AppClient¥logs¥caClient.log
CWPKI0455I: Requesting a CA signed certificate.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
After: Sat Feb 16 10:09:19 CST 2008]