Ein selbst signiertes Zertifikat ist ein Zertifiat, das SSL-Sitzungen zwischen Clients und dem Server ermöglicht,
während Sie auf das offiziell signierte Zertifikat von der Zertifizierungsstelle (CA) warten. Während dieses Prozesses
werden ein privater und ein öffentlicher Schlüssel erstellt.
Wenn Sie ein selbst signiertes Zertifikat erstellen, wird ein selbst signiertes
X509-Zertifikat in der angegebenen Schlüsseldatenbank generiert. Ein selbst signiertes Zertifikat
hat den Subjektnamen als Ausstellernamen.
Informationen zu dieser Task
Gehen Sie wie folgt vor, wenn Sie als eigene CA für ein privates Webnetz auftreten. Verwenden Sie die
Befehlszeilenschnittstelle IKEYCMD oder das Tool GSKCapiCmd, um ein selbst signiertes Zertifikat zu erstellen.
Prozedur
- Gehen Sie zum Erstellen eines selbst signierten Zertifikats mit der Befehlszeilenschnittstelle IKEYCMD wie folgt vor:
gsk7cmd -cert -create -db <Dateiname> -pw <Kennwort> -size <1024 | 512> -dn <definierter_Name> -label Kennsatz> -default_cert <yes | no> - expire <Tage>
Für diese Angaben gilt Folgendes:
- -cert gibt ein selbst signiertes Zertifikat an.
- -create gibt eine Erstellungsaktion an.
- -db <Dateiname> gibt den Namen einer Datenbank an.
- -pw <Kennwort> gibt das Kennwort für den Zugriff auf die Schlüsseldatenbank an.
- -dn <definierter_Name> gibt einen definierten X.500-Namen an.
Geben Sie den Namen als Zeichenfolge in Anführungszeichen im folgenden Format an (es sind nur CN, O und C
erforderlich): CN=allgemeiner_Name, O=Organisation, OU=Organisationseinheit, L=Standort,
ST=Staat, province, C=Land
Beispiel: "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM
HTTP Server,L=RTP,ST=NC,C=US"
- -label <Kennsatz> ist ein beschreibender Kommentar für den Schlüssel und das Zertifikat in der Datenbank.
- -size gibt die Schlüsselgröße an (512 oder 1024).
- -default_cert<yes | no> gibt an, ob das Zertifikat das Standardzertifikat in der Schlüsseldatenbank ist.
- -expire <Tage> gibt die Gültigkeit für das neue Zertifikat an. Standardmäßig sind neue
selbst signierte Zertifikate 365 Tage lang gültig. Die Mindestgültigkeit ist ein Tag. Die maximale Gültigkeit sind
7300 Tage (20 Jahre).
- Erstellen Sie ein selbst signiertes Zertifikat mit dem Tool GSKCapiCmd.
GSKCapiCmd
ist ein Tool, das Schlüssel, Zertifikate und Zertifikatanforderungen in einer CMS-Schlüsseldatenbank verwaltet.
Abgesehen davon, dass GSKCapiCmd CMS- und PKCS11-Schlüsseldatenbanken unterstützt, besitzt das Tool alle Funktionen des bereits vorhandenen Java-Befehlszeilentools GSKit.
Wenn Sie andere Schlüsseldatenbanken als CMS- oder PKCS11-Datenbanken verwalten möchten, verwenden Sie das vorhandene Java-Tool.
Mit GSKCapiCmd können Sie alle Aspekte einer CMS-Schlüsseldatenbank verwalten. GSKCapiCmd setzt keine Installation von Java auf dem System voraus.
gsk7capicmd -cert -create [-db <Name>]|[-crypto <Modulname> -tokenlabel <Token-Kennsatz>][-pw <Kennwort>] -label <Kennsatz> -dn <Dist-Name> [-size <2048|1024|512>][-x509version <1|2|3>][-default_cert <yes|no>][-expire <Tage>][-secondaryDB <Dateiname> -secondaryDBpw <Kennwort>] [-ca <true|false>][-fips][-sigalg<md5|sha1>]