[AIX Solaris HP-UX Linux Windows]

新規鍵ペアと証明書要求の作成

鍵データベースには、鍵ペアおよび証明書要求が保管されています。 このトピックでは、鍵ペアおよび証明書要求の作成方法に関する情報を提供します。

このタスクについて

以下のように、gskcmd コマンド行インターフェースまたは GSKCapiCmd ツールを使用して、公開鍵と秘密鍵のペアおよび証明書要求を作成します。

手順

  1. gskcmd コマンド行インターフェースを使用します。以下のコマンドを (1 行で) 入力します。
    <ihsinst>/bin/gsk7cmd -certreq -create -db <filename> -pw <password> -label <label> -dn <distinguished_name> -size <2048 | 1024 | 512> -file <filename> -san_dnsname <DNS name value=[,<DNS name value>] -san_emailaddr <email addres value=[,<email address value>] -san_ipaddr <IP address value>[,<IP address value>]
    各部の意味は、次のとおりです。
    • -certreq は、証明書要求を指定します。
    • -create は、作成アクションを指定します。
    • -db <filename> は、データベース名を指定します。
    • -pw は、鍵データベースにアクセスするためのパスワードです。
    • label は、証明書または証明書要求に付加されるラベルを示します。
    • dn <distinguished_name> は、X.500 識別名を示します。 以下のフォーマットの引用符付きストリングとして入力します (CN、O、および C のみが必要 です)。CN=common_name、O=organization、OU=organization_unit、L=location、ST=state、province、C=country
      注: 例えば、以下のようになります。"CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"
    • -size <2048 | 1024 | 512> は、2048、1024、または 512 の鍵サイズを示します。デフォルトの鍵サイズは 1024 です。2048 の鍵サイズは、Global Security Kit (GSKit) Version 7.0.4.14 以降を使用している場合に使用可能です。
    • -file <filename> は、証明書要求が保管されるファイルの名前です。
    • -san * <subject alternate name attribute value> | <subject alternate name attribute value> は、認証要求内のサブジェクト代替名拡張機能を指定します。サブジェクト代替名拡張機能は、 署名付き証明書に対応する代替ホスト名を SSL クライアントに通知します。
      これらのオプションは、ikminit.properties ファイルに以下の行が入力されている場合にのみ有効です。 DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true* (アスタリスク) は、以下の値を入れることができます。
      dnsname
      値は、RFC 1034 に準拠する「推奨名前構文」を使用してフォーマットされる必要があり、 例は zebra,tek.ibm.com などです。
      emailaddr
      値は、RFC 822 に準拠する「追加仕様」としてフォーマットされる必要があり、 例は myname@zebra.tek.ibm.com などです。
      ipaddr
      値は、RFC 1338 および RFC 1519 に準拠してフォーマットされた IP アドレスを表すストリングで、例は 193.168.100.115 などです。
      これらのオプションの値は、生成された証明書のサブジェクト代替名拡張属性に追加されます。 これらのオプションが使用されなかった場合は、この拡張属性は証明書に追加されません。
    • -ca <true | false> は、自己署名証明書に対する基本的な拡張子の制約を指定します。渡される値が TRUE の場合、CA:true および PathLen:<max int> を使用して拡張子が追加され、渡される値が FALSE の場合は追加されません。
    GSKCapiCmd ツールを使用します。GSKCapiCmd は、CMS 鍵データベース内の鍵、証明書、および証明書要求を管理するツールです。このツールは、既存の GSKit Java コマンド行ツールが持っている機能をすべて備えています。ただし、GSKCapiCmd は CMS および PKCS11 鍵データベースをサポートしています。CMS または PKCS11 以外の鍵データベースを管理する場合は、既存の Java ツールを使用してください。GSKCapiCmd を使用すると、CMS 鍵データベースのすべての側面を管理できます。GSKCapiCmd は、システムに Java がインストールされていなくても使用できます。
    <ihsinst>/bin/gskcapicmd -certreq -create -db <name> [-crypto <module name> [-tokenlabel <token label>]] 
    [-pw <passwd>] -label <label> -dn <dist name> [-size <2048 | 1024 | 512>] -file <name> [-secondaryDB 
    <filename> -secondaryDBpw <password>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
    トラブルの回避 トラブルの回避: UNIX タイプのオペレーティング・システムでは、常にすべてのタグに関連する文字列を二重引用符 (“”) でカプセル化してください。また、文字‘!'、‘¥'、‘”'、‘`' がストリング値に含まれる場合は、‘¥' 文字を使用して、これらの文字をエスケープする必要があります。 そうすることにより、一部のコマンド行シェルがこれらの値の中の特定文字を解釈しないようにすることができます。 (例えば、gsk7capicmd –keydb –create –db “/tmp/key.kdb” –pw “j¥!jj”) ただし、gsk7capicmd により値 (例えばパスワード) の入力を求めるプロンプトが表示される場合は、ストリングに引用符を付けたり拡張文字を追加したりしないようにしてください。 これは、シェルにはこれ以上この入力への影響力がないためです。gotcha
  2. 証明書が正常に作成されたかを確認します。
    1. 作成した証明書要求ファイルのコンテンツを表示します。
    2. 以下のようにして、証明書要求を記録した鍵データベースを確認します。
      <ihsinst>/bin/gskcmd -certreq -list -db <filename> -pw <password>

      リストされている作成したラベルを確認する必要があります。

  3. 新規に作成したファイルを認証局に送信します。
タスク・トピック    

インフォメーション・センターに関するご使用条件 | フィードバック

最終更新: October 08, 2014 06:19 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_keypair390
ファイル名: tihs_keypair390.html