自签名证书提供一个证书以便在客户机与服务器之间启用 SSL
会话,同时等待从认证中心(CA)返回正式签名的证书。在此过程期间会创建专用和公用密钥。创建自签名证书会在标识的密钥数据库中生成自签名的
X509 证书。自签名证书具有与其主题名称相同的颁发者名称。
关于本任务
如果您为私有的 Web 网络充当 CA,那么使用此过程。可以使用 IKEYCMD 命令行界面或 GSKCapiCmd 工具来创建自签名证书。
过程
- 使用 IKEYCMD 命令行界面创建自签名证书,方法如下:
gsk7cmd -cert -create -db <filename> -pw <password> -size <1024 | 512> -dn <distinguished_name> -label label> -default_cert <yes | no> - expire <days>
其中:
- -cert 指定自签名证书。
- -create 指定创建操作。
- -db <filename> 是数据库的名称。
- -pw <password> 是访问密钥数据库的密码。
- -dn <distinguished_name> - 表示 X.500 专有名称。按下列格式并加有引号的字符串输入(仅 CN、O 和 C 是必需的):CN=common_name, O=organization, OU=organization_unit, L=location, ST=state,
province, C=country
例如,"CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM
HTTP Server,L=RTP,ST=NC,C=US"
- -label <label> 是用于识别数据库中的密钥和证书的描述性注释。
- -size 指定 512 或 1024 的密钥大小。
- -default_cert<yes | no> 指定这是否是密钥数据库中的缺省证书。
- -expire <days> 表示新的自签名数字证书的缺省有效期是 365 天。最少为 1 天。最长为 7300 天(二十年)。
- 使用 GSKCapiCmd 工具创建自签名证书。
GSKCapiCmd 是一个工具,它管理 CMS 密钥数据库中的密钥、证书和证书请求。该工具包含现有 GSKit Java 命令行工具所具有的所有功能,但 GSKCapiCmd 除外,它支持 CMS 和 PKCS11 密钥数据库。如果计划管理除 CMS
或 PKCS11 以外的密钥数据库,请使用现有 Java 工具。可以使用 GSKCapiCmd 管理 CMS 密钥数据库的所有方面。GSKCapiCmd 不要求在系统中安装
Java。
gsk7capicmd -cert -create [-db <name>]|[-crypto <module name> -tokenlabel <token label>][-pw <passwd>]
-label <label> -dn <dist name> [-size <2048|1024|512>][-x509version <1|2|3>][-default_cert <yes|no>]
[-expire <days>][-secondaryDB <filename> -secondaryDBpw <password>] [-ca <true|false>][-fips]
[-sigalg<md5|sha1>]