Un certificato autofirmato fornisce un certificato che abilita le sessioni SSL tra i client e il server durante l'attesa che il certificato ufficiale venga restituito dall'autorità di certificazione (CA, Certificate Authority). Durante questo processo vengono create una chiave pubblica e una privata. La creazione di un certificato autofirmato genera un certificato autofirmato X509 nel database delle chiavi identificato. Un certificato autofirmato ha lo stesso nome di emittente contenuto nel relativo oggetto.
Informazioni su questa attività
Utilizzare questa procedura se si opera come una CA per una rete Web privata. Utilizzare l'interfaccia della riga comandi IKEYCMD oppure lo strumento GSKCapiCmd per creare un certificato autofirmato.
Procedura
- Creare un certificato autofirmato con l'interfaccia della riga di comando IKEYCMD nel seguente modo:
gsk7cmd -cert -create -db <nomefile> -pw <password> -size <1024 | 512> -dn
<nome_distinto> -label etichetta> -default_cert <sì | no> - expire <giorni>
dove:
- -cert specifica un'autocertificazione.
- -create specifica un'azione di creazione.
- -db <nomefile> è il nome del database.
- -pw <password> è la password per accedere al database di chiavi.
- -dn <nome_distinto> - indica un DN (nome distinto, distinguished name)
X.500. Il formato della stringa tra apici da utilizzare è
CN=nome_comune, O=organizzazione, OU=unità_organizzativa, L=località, ST=stato/provincia,
C=paese (sono obbligatori solo CN, O e C)
ad esempio,
"CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"
- -label <etichetta> si tratta di un commento descrittivo utilizzato per
identificare la chiave e il certificato nel database.
- -size specifica la dimensione chiavi pari a 512 o 1024.
- -default_cert<sì | no> specifica se si tratta del certificato predefinito
nel database di chiavi.
- -expire <giorni> indica che il periodo di validità predefinito per una
nuova autocertificazione digitale è di 365 giorni. Il valore minimo è 1 giorno. Il valore
massimo è 7300 giorni (venti anni).
- Creare un certificato autofirmato con lo strumento GSKCapiCmd.
GSKCapiCmd è uno strumento che consente di gestire chiavi, certificati e richieste di certificati all'interno di un database di chiavi CMS. Lo strumento dispone di tutte le funzioni di uno strumento della riga comandi GSKit Java, tranne il supporto di GSKCapiCmd dei database di chiavi CMS e PKCS11. Se si desidera gestire database di chiavi che non siano CMS o PKCS11, utilizzare lo strumento Java esistente. È possibile utilizzare GSKCapiCmd per gestire tutti gli aspetti di un database di chiavi CMS. GSKCapiCmd non richiede che Java sia installato nel sistema.
gsk7capicmd -cert -create [-db <name>]|[-crypto <module name> -tokenlabel <token label>][-pw <passwd>] -label <label> -dn <dist name> [-size <2048|1024|512>][-x509version <1|2|3>][-cert_predefinito <yes|no>][-expire <days>][-secondaryDB <nomefile> -secondaryDBpw <password>] [-ca <true|false>][-fips][-sigalg<md5|sha1>]