Un certificat auto-signé fournit un certificat permettant d'activer des session SSL
entre des clients et le serveur, en attendant de recevoir le certificat à signature officielle
de la part de l'autorité de certification (CA). Durant ce processus,
une clé privée et une clé publique sont créées. La création d'un certificat auto-signé
génère un certificat X509 auto-signé dans la base de données de clés identifiée. Un
certificat auto-signé a un nom d'émetteur et un nom de sujet identiques.
A propos de cette tâche
Utilisez cette procédure si vous agissez en tant qu'autorité de certification pour un réseau Web privé. Utilisez l'interface de ligne de commande IKEYCMD ou l'outil GSKCapiCmd
pour créer un certificat auto-signé.
Procédure
- Pour recevoir un certificat auto-signé à l'aide de l'interface de la ligne de commande IKEYCMD, procédez comme suit :
gsk7cmd -cert -create -db <nom de fichier> -pw <mot de passe> -size <1024 | 512> -dn <nom_distinctif> -label label> -default_cert <yes | no> - expire <jours>
où :
- -cert indique un certificat auto-signé.
- -create indique une action de création.
- -db <nom de fichier> est le nom de la base de données.
- -pw <mot de passe> est le mot de passe pour accéder à la base de données de clés.
- -dn <nom_distinctif> - indique un nom distinctif X.500. Saisissez en tant que chaîne de caractères délimitée au format suivant (uniquement CN, O et C sont requis): CN=nom_usuel, O=organisation, OU=unité_organisation, L=emplacement,
ST=état, province, C=pays
Par exemple, "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM
HTTP Server,L=RTP,ST=NC,C=US"
- -label <label> est un commentaire descriptif utilisé pour identifier la clé et le certificat dans la base de données.
- -size indique la taille de clé de 512 ou 1024.
- -default_cert<yes | no>indique si c'est le certificat par défaut dans la base de données de clés.
- -expire <jours> indique que la période de validité par défaut des nouveaux certificats numériques auto-signés est de 365 jours. La période minimum est d'un jour. La période maximum est de 7 300 jours (vingt ans).
- Créez un certificat auto-signé à l'aide de l'outil GSKCapiCmd.
GSKCapiCmd est un outil de gestion des clés, des certificats et des demandes de certificats au sein d'une
base de données de clés CMS. Cet outil possède les mêmes fonctionnalités que l'outil de ligne de commande
GSKit Java existant, mais GSKCapiCmd prend en charge les bases de données de clés CMS et PKCS11Cet outil possède les mêmes fonctionnalités que l'outil de ligne de commande
GSKit Java existant, mais GSKCapiCmd prend en charge les bases de données de clés CMS et PKCS11. Si vous envidagez de gérer des bases de données
de clés autres que CMS ou PKCS11, utilisez l'outil Java existant. Vous pouvez utiliser GSKCapiCmd pour gérer tous les aspects
d'une base de données de clés CMS. GSKCapiCmd ne requiert pas l'installation de Java sur le
système.
gsk7capicmd -cert -create [-db <nom>]|[-crypto <nom du module> -tokenlabel <libellé du jeton>][-pw <passwd>] -label <libellé> -dn <nom distinctif> [-size <2048|1024|512>][-x509version <1|2|3>][-default_cert <yes|no>][-expire <jours>][-secondaryDB <nom de fichier> -secondaryDBpw <mot de passe>] [-ca <true|false>][-fips][-sigalg<md5|sha1>]