In dieser Beispieldatei wird gezeigt, wie ein Server-Keystore und ein Server-Stammzertifikat erstellt werden, die mit Rational DOORS verwendet werden können, und wie Microsoft Certificate
Store (MCS) für die Überprüfung des Serverzertifikats festgelegt werden kann. Auf die Beispieldatei folgt eine Aufgliederung der Befehle und Parameter.
Beispieldatei
REM Create a server keystore file
gsk8capicmd -keydb -create -db server.kdb -pw ser123 -stash
REM Create a server root certificate in server.kdb, and add it to the MCS
gsk8capicmd -cert -create -db server.kdb -pw ser123 -label "IBMEDCA1" -dn "CN=IBMEDCA1"
gsk8capicmd -cert -extract -db server.kdb -pw ser123 -label "IBMEDCA1" -target temp1.arm
gsk8capicmd -cert -add -db GSK_MS_CERTIFICATE_STORE -label "IBMEDCA1" -file temp1.arm
REM Create and sign a server certificate
gsk8capicmd -certreq -create -db server.kdb -label IBMSV1 -dn "CN=IBMEDSERV,dc=ukednode1" -file temp2.arm
gsk8capicmd -cert -sign -db server.kdb -pw ser123 -label IBMEDCA1 -file temp2.arm -target temp3.arm
gsk8capicmd -cert -receive -file temp3.arm -db server.kdb -pw ser123
REM Extract the root certificate from the MCS and add it to the server kdb file
gsk8capicmd -cert -extract -db GSK_MS_CERTIFICATE_STORE -label "CN=Coy Root" -target temp4.arm
gsk8capicmd -cert -add -db server.kdb -pw ser123 -label "CN=Coy Root" -file temp4.arm
Server-Keystore-Datei erstellen
gsk8capicmd -keydb -create -db server.kdb -pw ser123 -stash
- gsk8capicmd -keydb -create
- Der Befehl gsk8capicmd ist ein Tool für die Verwaltung von Schlüsseln, Zertifikaten und Zertifikatsanforderungen in einer Schlüsseldatenbank.
Die Syntax für gsk8capicmd lautet: gsk8capicmd Modifikatoren Objekt Aktion Optionen.
In diesem Beispiel ist -keydb ein Schlüsseldatenbankobjekt, -create ist
die vorzunehmende Aktion und -db ist die Option. Mit dem Befehl wird eine Schlüsseldatenbank erstellt.
- -db server.kdb -pw ser123
- Die Schlüsseldatenbank hat den Namen server.kdb und ein Kennwort (-pwd). In diesem Beispiel lautet das Kennwort ser123.
- -stash
- Nach der Erstellung müssen Sie das Kennwort für die Schlüsseldatenbank verdeckt speichern. Eine Stashdatei wird als automatische Möglichkeit zum Bereitstellen eines Kennworts verwendet.
Wenn Sie auf eine Schlüsseldatenbank zugreifen, überprüft das System zuerst, ob eine Stashdatei vorhanden ist.
Ist eine solche Datei vorhanden, wird der Inhalt der Datei entschlüsselt und als Eingabe für das Kennwort verwendet.
Wenn der Tag -stash während der Aktion zum Erstellen angegeben wurde, wird das Kennwort in einer Datei verdeckt gespeichert, die den folgenden Namen aufweist: Schlüsseldatenbankname.sth.
Stammzertifikat im Keystore erstellen und zu MCS hinzufügen
Das Stammzertifikat wird zum Erstellen eines Serverzertifikats verwendet.
Da sich das Stammzertifikat in MCS befindet, können Rational DOORS-Clients das Serverzertifikat mithilfe von MCS überprüfen.
gsk8capicmd -cert -create -db server.kdb -pw ser123 -label "IBMEDCA1" -dn "CN=IBMEDCA1"
- -cert -create
- Dies ist der Befehl create certificate command (Aktion -create und Objekt -cert).
- -label "IBMEDCA1"
- An das Zertifikat wird eine Bezeichnung angehängt. In diesem Beispiel lautet der Name "IBMEDCA1". Die Bezeichnung wird verwendet, damit das Zertifikat von einem Benutzer eindeutig identifiziert werden kann.
- -dn "CN=IBMEDCA1"
- Der Distinguished Name -dn identifiziert eindeutig das Zertifikat.
Die Eingabe muss eine Zeichenfolge in Anführungszeichen mit dem folgenden Format sein (nur der allgemeine Name ist obligatorisch):
- CN=Allgemeiner Name
- O=Unternehmen
- OU=Unternehmenseinheit
- L=Standort
- ST=Staat, Bundesland
- C=Land
- DC=Domänenkomponente
- EMAIL=E-Mail-Adresse
In diesem Beispiel lautet der Distinguished Name "CN=IBMEDCA1".
gsk8capicmd -cert -extract -db server.kdb -pw ser123 -label "IBMEDCA1" -target temp1.arm
- -cert -extract -label "IBMEDCA1"
- Dies ist der Befehl extract certificate (Aktion -extract und Objekt -cert). Mit dem Befehl werden die Daten des genannten Zertifikats (-label"IBMEDCA1") aus der Schlüsseldatenbank extrahiert und in eine Datei platziert.
- -target temp1.arm
- Die Datei, in die das Zertfikat extrahiert werden soll.
gsk8capicmd -cert -add -db GSK_MS_CERTIFICATE_STORE -label "IBMEDCA1" -file temp1.arm
- -cert -add -db GSK_MS_CERTIFICATE_STORE
- Dies ist der Befehl add certificate (Aktion -add und Objekt -cert). Mit dem Befehl wird das extrahierte Zertifikat (-label"IBMEDCA1" -file temp1.arm) zu MCS (-db GSK_MS_CERTIFICATE_STORE) hinzugefügt.
Serverzertifikat erstellen, das mit dem Stammzertifikat signiert wird
Das Serverzertifikat wird im Keystore gespeichert.
Der Distinguished Name wird im Beispiel für einen Server geschrieben, der auf einem Computer mit dem Namen
IBMEDSERV ausgeführt wird.
gsk8capicmd -certreq -create -db server.kdb -label IBMSV1 -dn "CN=IBMEDSERV,dc=ukednode1" -file temp2.arm
- -certreq -create
- Dies ist der Befehl create certificate request (Aktion -create und Objekt -certreq).
- -label IBMSV1
- An das Zertifikat wird eine Bezeichnung angehängt. In diesem Beispiel lautet der Name IBMSV1. Die Bezeichnung wird verwendet, damit das Zertifikat von einem Benutzer eindeutig identifiziert werden kann.
IBMSV1 ist der Standardzertifikatsname, der vom Rational DOORS-Server in den Fällen verwendet wird, in denen beim Serverstart kein Name angegeben wurde.
- -dn "CN=IBMEDSERV,dc=ukednode1"
- Der Distinguished Name -dn identifiziert eindeutig das Zertifikat.
In diesem Beispiel lautet der Distinguished Name "CN=IBMEDSERV,dc=ukednode1".
Anmerkung: Bei dem Teil IBMEDSERV des Distinguished Name muss es sich entweder um den Namen des Servers handeln oder um den Wert, der für -serverhostname verwendet wird, wenn diese Option beim Start des Servers verwendet wird.
- -file temp2.arm
- Der Name der Datei, in das die Zertifikatsanforderung während des Prozesses für die Erstellung der Zertifikatsanforderung extrahiert wird.
gsk8capicmd -cert -sign -db server.kdb -pw ser123 -label IBMEDCA1 -file temp2.arm -target temp3.arm
- -cert -sign
- Dies ist der Befehl sign certificate (Aktion -sign und Objekt -cert). Der Befehl ermöglicht das Signieren einer Zertifikatsanforderung durch ein vorhandenes Zertifikat, das sich in einer Schlüsseldatenbank befindet.
Der Befehl akzeptiert eine Zertifikatsanforderung in einem angegebenen Dateiformat und Details des Zertifikats, in denen der private Schlüssel enthalten ist, der während des Signierungsprozesses verwendet wird.
- -file temp2.arm
- Der Name und die Position der zu signierenden Zertifikatsanforderung.
- -target temp3.arm
- Der Name der Datei, die das signierte Zertifikat enthalten wird.
gsk8capicmd -cert -receive -file temp3.arm -db server.kdb -pw ser123
- -cert -receive
- Dies ist der Befehl receive certificate (Aktion -receive und Objekt -cert). Der Befehl speichert ein Zertifikat, das angefordert wurde, um eine Zertifikatsanforderung zu signieren.
Der Dateiname des Zertifikats, das empfangen werden soll.
- -file temp3.arm
- Der Dateiname des Zertifikats, das empfangen werden soll.
Stammzertifikat für Zertifikate aus MCS kopieren und zum Server-Keystore hinzufügen
Dieser Teil des Beispiels ermöglicht es dem Server, die Zertifikate zu überprüfen.
gsk8capicmd -cert -extract -db GSK_MS_CERTIFICATE_STORE -label "CN=Coy Root" -target temp4.arm
- -cert -extract -db GSK_MS_CERTIFICATE_STORE -label -"CN=Coy
Root" target temp4.arm
- Dies ist der Befehl extract certificate (Aktion -extract und Objekt -cert). Mit dem Befehl werden die Daten des genannten Zertifikats (-label"CN=Coy Root") aus der MCS-Datenbank (-db GSK_MS_CERTIFICATE_STORE) extrahiert und in eine Datei platziert (temp4.arm).
gsk8capicmd -cert -add -db server.kdb -pw ser123 -label "CN=Coy Root" -file temp4.arm
- -cert -add -label "CN=Coy Root" -file temp4.arm
- Dies ist der Befehl add certificate (Aktion -add und Objekt -cert). Mit dem Befehl wird ein Zertifikat zum genannten Keystore hinzugefügt.
Anmerkung: In diesen Befehlen lautet der Name des Stammzertifikats CN=Coy Root. Das Stammzertifikat, das Sie verwenden, wird einen längeren Namen haben.
Wenn darüber hinaus Ihr Unternehmen mehrere Stammzertifikate verwendet, müssen Sie jedes Stammzertifikat einzeln extrahieren und hinzufügen.
Beispielsweise kann ein Stammzertifikat auf die Karten angewendet werden, die von 500 Benutzern verwendet werden, und ein anderes Stammzertifikat wird auf die übrigen 2000 Benutzer angewendet.
In diesem Fall müssen Sie beide dieser server.kdb-Stammzertifikate hinzufügen.