Les paires de clés ainsi que les demandes de certificat sont stockées dans une base de données de clés. Cette rubrique fournit des informations sur la création d'une paire de clés et une demande de certificat.
Pourquoi et quand exécuter cette tâche
Pour créer une paire de clés publiques et privées ainsi qu'une demande de certificat
à l'aide de l'interface de ligne de commande gskcmd ou de l'outil GSKCapiCmd, procédez comme suit :
Procédure
- Utilisez l'interface de ligne de commande gskcmd. Entrez la commande suivante (sur une seule ligne) :
<ihsinst>/bin/gsk7cmd -certreq -create -db <nom_fichier> -pw <mot_de_passe> -label <libellé> -dn <nom_distinctif> -size <2048 | 1024 | 512> -file <nom_fichier> -san_dnsname <DNS name value=[,<valeur_nom_DNS>] -san_emailaddr <email addres value=[,<valeur_adresse_électronique>] -san_ipaddr <valeur_adresse_IP>[,<valeur_adresse_IP>]
où :- -certreq indique une demande de certificat.
- -create indique une action de création.
- -db <nom_fichier> indique le nom de la base de données.
- -pw est le mot de passe pour accéder à la base de données de clés.
- label indique le libellé associé au certificat ou à la demande de certificat.
- dn <nom_distinctif> indique un nom distinctif X.500. Saisissez en tant que chaîne de caractères délimitée au format suivant (uniquement CN, O et C sont requis): CN=nom_usuel, O=organisation, OU=unité_organisation, L=emplacement, ST=état,
province, C=pays
Remarque : Par exemple, "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM
HTTP Server,L=RTP,ST=NC,C=US"
- -size <2048 | 1024 | 512> indique une taille de clé 2048, 1024 ou 512. La taille de clé par défaut est 1024. La taille de la clé 2048 est disponible si vous utilisez l'outil Global Security Kit
(GSKit) Version 7.0.4.14 et suivante.
- -file <nom_fichier> est le nom du fichier dans lequel la demande de certificat sera stockée.
- -san * <valeur_attribut_san> | <valeur_attribut_san> indique les extensions san (subject alternate
name) dans la demande de certificat qui indiquent aux clients SSL les noms d'hôte alternatifs correspondant au certificat signé.
Ces options sont valides uniquement si la ligne suivante est entrée dans le fichier
ikminit.properties. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=
true.
L'astérisque (*) peut avoir les valeurs suivantes :
- dnsname
- La valeur doit être formatée selon la "syntaxe de nom préféré", conformément à la syntaxe RFC 1034, comme l'exemple zebra,tek.ibm.com.
- emailaddr
- La valeur doit être formatée sous la forme "addr-spec", conformément à la syntaxe RFC 822, comme l'exemple myname@zebra.tek.ibm.com
- ipaddr
- La valeur est une chaîne représentant une adresse IP formatée conformément à la syntaxe RFC 1338 et RFC 1519, comme l'exemple 193.168.100.115
Les valeurs de ces options sont cumulées dans l'attribut étendu SAN du certificat généré.
Si les options ne sont pas utilisées, cet attribut étendu n'est pas ajouté au certificat.
- -ca <true | false> indique l'extension de la contrainte de base du certificat autosigné. L'extension est ajoutée avec CA:true et PathLen:<max int> si la valeur transmise est true et elle n'est pas ajoutée si la valeur transmise est false.
Utilisez l'outil GSKCapiCmd. GSKCapiCmd est un outil de gestion des clés, des certificats et des demandes de certificats au sein d'une
base de données de clés CMS.
Cet outil possède les mêmes fonctionnalités que l'outil de ligne de commande
GSKit Java existant mais GSKCapiCmd prend en charge les bases de données de clés CMS et PKCS11. Si vous envisagez de gérer des bases de données
de clés autres que CMS ou PKCS11, utilisez l'outil Java existant.
Vous pouvez utiliser GSKCapiCmd pour gérer tous les aspects
d'une base de données de clés CMS.
GSKCapiCmd
ne requiert pas l'installation de Java sur le
système.
<ihsinst>/bin/gskcapicmd -certreq -create -db <nom> [-crypto <nom_module> [-tokenlabel <libellé_jeton>]]
[-pw <passwd>] -label <libellé> -dn <nom_dist> [-size <2048 | 1024 | 512>] -file <nom> [-secondaryDB
<filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
Eviter les incidents : Sur les systèmes d'exploitation de type Unix, il est recommandé d'encapsuler systématiquement les valeurs de chaîne associées à toutes les balises placées entre guillemets (“”). Vous devrez également placer le caractère d'échappement ‘\' devant les caractères suivants s'ils apparaissent dans les valeurs de chaîne : ‘!', ‘\', ‘”', ‘`'. Les caractères spécifiques dans ces valeurs ne sont alors pas pris en compte dans certains shells de ligne de commande. (gsk7capicmd –keydb –create –db “/tmp/key.kdb”
–pw “j\!jj”). Lorsqu'une commande gsk7capicmd vous invite à spécifier une valeur (un mot de passe par exemple), les guillemets et les caractères d'échappement ne doivent pas être ajoutés. Cela est dû au fait que le shell n' plus aucune influence sur cette entrée.
gotcha
- Vérifiez que la création du certificat a abouti :
- Affichez le contenu du fichier de demande de certificat que vous avez créé.
- Assurez-vous que la base de données de clés a enregistré la demande de certificat :
<ihsinst>/bin/gskcmd -certreq -list -db <nom_fichier> -pw <mot_de_passe>
Le libellé répertorié que vous avez créé doit apparaître.
- Envoyez le fichier nouvellement créé à une autorité de certification.