requestCertificate コマンド

requestCertificate コマンドは、認証局 (CA) サーバーと通信して CA 署名済み証明書を要求するために渡される実装クラスを使用します。 その後、このコマンドは、指定された鍵ストアに証明書を追加します。

requestCertificate コマンドでは、createCertRequest コマンドを使用して作成した事前定義の証明書要求を使用することも、自身で証明書要求を作成することもできます。 コマンドが対象とする CA サーバーに応じて、完全な署名済み要求が返される場合があります。または、CA サーバーが要求を受け入れ、後で呼び出しを実行して queryCertificate コマンドで証明書を取得することを要求する場合があります。

ロケーション

このコマンドは、profile_root/bin ディレクトリーから実行します。

構文

コマンド構文は次のようになります。

(以下のコマンドは、表示の都合上、複数行に分割されています。)[AIX][HP-UX][Linux][Solaris]
requestCertificate.sh -host<caHost> -port<caPort> -username<caUserName> -password<caPassword> 
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias> 
-pkiImplClass<customCAClient>[options]
[Windows]
requestCertificate.bat -host<caHost> -port<caPort> -username<caUserName> -password<caPassword> 
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias> 
-pkiImplClass<customCAClient>[options]
[z/OS]
requestCertificate.sh -host<caHost> -port<caPort> -username<caUserName>  -password<caPassword> 
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias> 
 -pkiImplClass<customCAClient>[options]
[IBM i]
requestCertificate -host<caHost> -port<caPort> -username<caUserName>  -password<caPassword>
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias> 
-pkiImplClass<customCAClient>[options]

必須パラメーター

requestCertifcate コマンドでは、 以下の必須パラメーターを使用します。
-host caHost
要求の送信先となるターゲット認証局ホストを指定します。
-port caPort
接続先のターゲット・ポートを指定します。
-username caUserName
認証局へのアクセス権の取得に使用するユーザー名。
-password caPassword
認証局での認証に使用するパスワード。
-revocationPassword revocationPassword
認証局が返す証明書に設定されるパスワード。 各要求において取り消しパスワードが認証局に送信され、発行される各証明書に関連付けられます。 後で証明書を取り消すには、revokeCertificate 要求時に同じ取り消しパスワードを送信する必要があります。
keyStoreAliaskeyStoreAlias
CA 署名済み証明書の追加先プロファイルの ssl.client.props ファイルに存在する鍵ストアの名前。通常、これは管理対象環境または非管理対象環境の ClientDefaultKeyStore ファイルです。
-pkiImplClass custom CA client
WSPKIClient インターフェースを実装するクラスのパス。実装クラスは、CA 署名済み証明書を要求するために CA サーバーへの通信を処理します。製品に付属のデフォルト WSPKIClient 実装はありません。ユーザーは、所定の認証局と通信するための独自の WSPKIClient 実装を用意することが想定されています。
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-nd-zos&topic=tsec_7dev_WSPKIClient_interface

オプション・パラメーター

requestCertificate コマンドで使用可能なオプションは、以下のとおりです。

-certReqPath certificate request file
BASE64 エンコード・ファイルに保存された既存の PKCS10 証明書要求へのパス。 要求が指定されない場合、PKCS10 証明書要求が自動的に作成されます。 その場合、「subjectDN」および「alias」オプションを指定する必要があります。デフォルトでは、要求は、要求で指定された鍵ストアと同じ場所に作成されます。 通常、これは管理対象環境または非管理対象環境の /profile_name/etc/ ディレクトリーです。
-subjectDN subjectDN
PKCS10 証明書要求に使用する識別名。 識別名には CN フィールドが含まれている必要があります。このオプションが必要になるのは、-certReqPath オプションを指定しない場合か、または -certReqPath オプションが、存在しないファイルを指す場合のみです。
-alias certificateAlias
要求で指定された鍵ストア内で PKCS10 証明書要求の証明書を保管するために使用する別名。 CA 署名済み証明書は、同じ別名で保管され、証明書要求の証明書を置き換えます (受信した場合)。 このオプションが必要になるのは、-certReqPath オプションを指定しない場合か、または -certReqPath オプションが、存在しないファイルを指す場合のみです。
-keySize key size
鍵のサイズ。このオプションは、インバンドの PKCS10 証明書要求を作成する場合のみ有効です。デフォルトのサイズは 1024 です。 有効な値は、512、1024、および 2048 です。
-keyUsage
セミコロンで区切られた、拡張鍵使用ストリングのリスト。このオプションは、インバンドの PKCS10 証明書要求を作成する場合のみ有効です。
-extKeyUsage extKeyUse1;extKeyUse2;...
セミコロンで区切られた、拡張鍵使用ストリングのリスト。このオプションは、インバンドの PKCS10 証明書要求を作成する場合のみ有効です。
-customAttrs customAttr1=value;customAttr2=value;...
カスタム実装クラスに渡される、セミコロンで区切られた custom name=value ペアのリスト。 これにより、カスタム情報を実装クラスに渡すことができます。 「attr」と「value」のペアは、ハッシュ・マップに変換され、実装クラスに渡されます。
-retryInterval retry interval
CA に対して CA 署名済み証明書の照会を再試行する時間間隔 (秒単位)。
-retryLimit retry limit
CA に対して照会要求を再試行する合計回数。
-logfile filename
デフォルトのトレース・ファイルをオーバーライドします。デフォルトでは、トレースは profiles/profile_name/log/caClient.log に示されます。ファイル。
-trace
指定されると、このコンポーネントをデバッグするために必要なトレース仕様のトレースを使用可能にします。 デフォルトでは、トレースは profiles/profile_name/log/caClient.log ファイルに示されます。
-replaceLog
コマンドが実行されるとき、既存のトレース・ファイルが置換されます。
-quiet
コンソールでほとんどのメッセージを印刷しないようにします。
-help
使用ステートメントを出力します。
-?
使用ステートメントを出力します。

使用法

以下の例では、requestCertificate を実行しています。

[AIX][HP-UX][Linux][Solaris]
requestCertificate.sh -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:¥opt¥WebS
phere¥AppClient¥etc¥certReq26924.req -trace
CWPKI0403I: Trace is being logged to the following location:
           C:¥opt¥WebSphere¥AppClient¥logs¥caClient.log
CWPKI0455I: Requesting a CA signed certificate.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]
[Windows]
C:¥opt¥WebSphere¥AppClient¥bin>requestCertificate.bat -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:¥opt¥WebS
phere¥AppClient¥etc¥certReq26924.req -trace
CWPKI0403I: Trace is being logged to the following location:
           C:¥opt¥WebSphere¥AppClient¥logs¥caClient.log
CWPKI0455I: Requesting a CA signed certificate.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]
[z/OS]
requestCertificate.sh -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:¥opt¥WebS
phere¥AppClient¥etc¥certReq26924.req -trace
CWPKI0403I: Trace is being logged to the following location:
           C:¥opt¥WebSphere¥AppClient¥logs¥caClient.log
CWPKI0455I: Requesting a CA signed certificate.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]
[IBM i]
requestCertificate -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:¥opt¥WebS
phere¥AppClient¥etc¥certReq26924.req -trace
CWPKI0403I: Trace is being logged to the following location:
           C:¥opt¥WebSphere¥AppClient¥logs¥caClient.log
CWPKI0455I: Requesting a CA signed certificate.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7requestcacertcmd
ファイル名:rsec_7requestcacertcmd.html