自己署名証明書は、公的に署名された証明書が認証局 (CA) から返されるのを待っている間に、クライアントとサーバーとの間の SSL セッションを使用可能にする証明書を提供します。秘密鍵および公開鍵は、このプロセス中に作成されます。自己署名証明書を作成すると、自己署名した X509 証明書が、確認されている鍵データベースに生成されます。自己署名証明書には、その対象名と同じ発行者名が含まれています。
このタスクについて
ユーザー自身がプライベート Web ネットワークの認証局になっている場合は、この手順を使用します。
IKEYCMD コマンド行インターフェースまたは GSKCapiCmd ツールを使用して、自己署名証明書を作成します。
プロシージャー
- 以下のようにして、IKEYCMD コマンド行インターフェースを使用して自己署名証明書を作成します。
gsk7cmd -cert -create -db <filename> -pw <password> -size <1024 | 512> -dn <distinguished_name> -label label> -default_cert <yes | no> - expire <days>
各部の意味は、次のとおりです。
- -cert は、自己署名証明書を指定します。
- -create は、作成アクションを指定します。
- -db <filename> は、データベース名です。
- -pw <password> は、鍵データベースにアクセスするためのパスワードです。
- -dn <distinguished_name> - X.500 識別名を示します。
以下のフォーマットの引用符付きストリングとして入力します (CN、O、および C のみが必要です)。CN=common_name、
O=organization、OU=organization_unit、L=location、ST=state、province、C=country
例えば、以下のようになります。"CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM
HTTP Server,L=RTP,ST=NC,C=US"
- -label <label> は、データベースで鍵および証明書を識別するために使用する説明コメントです。
- -size は、鍵サイズ 512 または 1024 を指定します。
- -default_cert <yes | no> は、これが鍵データベースのデフォルトの証明書であるかどうかを指定します。
- -expire <days> は、新規自己署名デジタル証明書のデフォルトの有効期間が 365 日であることを示しています。
最小値は 1 日です。最大値は 7300 日 (20 年) です。
- GSKCapiCmd ツールを使用して、自己署名証明書を作成します。
GSKCapiCmd は、CMS 鍵データベース内の鍵、証明書、および証明書要求を管理するツールです。このツールは、既存の GSKit Java コマンド行ツールが持っている機能をすべて備えています。ただし、GSKCapiCmd は CMS および PKCS11 鍵データベースをサポートしています。CMS または PKCS11 以外の鍵データベースを管理する場合は、既存の Java ツールを使用してください。GSKCapiCmd を使用すると、CMS 鍵データベースのすべての側面を管理できます。GSKCapiCmd は、システムに Java がインストールされていなくても使用できます。
gsk7capicmd -cert -create [-db <name>]|[-crypto <module name> -tokenlabel <token label>][-pw <passwd>] -label <label> -dn <dist name> [-size <2048|1024|512>][-x509version <1|2|3>][-default_cert <yes|no>][-expire <days>][-secondaryDB <filename> -secondaryDBpw <password>] [-ca <true|false>][-fips][-sigalg<md5|sha1>]