Schlüsselpaare und Zertifikatsanforderungen sind in einer Schlüsseldatenbank gespeichert.
Dieser Artikel beschreibt, wie Sie ein Schlüsselpaar und eine Zertifikatsanforderung erstellen.
Informationen zu diesem Vorgang
Sie können ein Paar aus einem öffentlichen und einem privaten Schlüssel und eine Zertifikatsanforderung mit der
Befehlszeilenschnittstelle "gskcmd" oder mit dem Tool "GSKCapiCmd" wie folgt erstellen:
Vorgehensweise
- Verwenden Sie die Befehlszeilenschnittstelle "gskcmd". Geben Sie den folgenden Befehl (in einer Zeile) ein:
<IHS-Installation>/bin/gsk7cmd -certreq -create -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -dn <definierter_Name> -size <2048 | 1024 | 512> -file <Dateiname> -san_dnsname <DNS-Name=[,<DNS-Name>] -san_emailaddr <E-Mail-Adresse=[,<E-Mail-Adresse>] -san_ipaddr <IP-Adresse>[,<IP-Adresse>]
Für diese Angaben gilt Folgendes:- -certreq gibt eine Zertifikatsanforderung an.
- -create gibt eine Erstellungsaktion an.
- -db <Dateiname> gibt den Namen der Datenbank an.
- -pw gibt das Kennwort für den Zugriff auf die Schlüsseldatenbank an.
- Kennsatz gibt den Kennsatz an, der einem Zertifikat oder einer Zertifikatsanforderung zugeordnet ist.
- dn <definierter_Name> gibt einen definierten X.500-Namen an.
Geben Sie den Namen als Zeichenfolge in Anführungszeichen im folgenden Format an (es sind nur CN, O und C
erforderlich): CN=allgemeiner_Name, O=Organisation, OU=Organisationseinheit, L=Standort,
ST=Staat, province, C=Land
Anmerkung: Beispiel: "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM
HTTP Server,L=RTP,ST=NC,C=US"
- -size <2048 | 1024 | 512> zeigt eine Schlüsselgröße von 2048, 1024 oder 512 an. Der Standardwert
für die Schlüsselgröße ist "1024". Die Schlüsselgröße "2048" ist verfügbar, wenn Sie Global Security Kit (GSKit) Version 7.0.4.14 und höher verwenden.
- -file <Dateiname> steht für den Namen der Datei, in der die Zertifikatsanforderung gespeichert wird.
- -san * <alternativer Subjektname Attributwert> | <alternativer Subjektname Attributwert> gibt SAN-Erweiterungen in
der Zertifikatsanforderung an, die SSL-Clients über alternative Hostnamen informieren, die dem signierten Zertifikat entsprechen.
Diese
Optionen sind nur gültig, wenn die folgende Zeile in der Datei
ikminit.properties eingegeben wird.
DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=
true. Der Stern (*) kann die folgenden Werte haben:
- dnsname
- Der Wert muss anhand der so genannten bevorzugten Namenssyntax ("preferred name syntax") gemäß Spezifikation RFC 1034 formatiert werden, wie z. B. zebra.tek.ibm.com.
- emailaddr
- Der Wert muss als Adressangabe ("addr-spec") gemäß RFC 822 formatiert werden, wie z. B. myname@zebra.tek.ibm.com
- ipaddr
- Der Wert ist eine Zeichenfolge, die eine IP-Adresse mit einem Format gemäß den Spezifikationen
RFC 1338 und RFC 1519 angibt, wie z. B. 193.168.100.115.
Die Werte dieser Optionen werden im erweiterten Attribut für alternative Subjektnamen des generierten Zertifikats
kumuliert.
Wenn die Optionen nicht verwendet werden, wird dieses erweiterte Attribut nicht zum Zertifikat hinzugefügt.
- -ca <true | false> gibt die Erweiterung hinsichtlich der Nutzungseinschränkung für das selbst signierte Zertifikat an. Die
Erweiterung wird mit CA:true und PathLen:<max int> hinzugefügt, wenn der übergebene Wert zutreffend ist (true),
und sie wird nicht
hinzugefügt, wenn der übergebene Wert nicht zutreffend ist (false).
Verwenden Sie das Tool GSKCapiCmd. GSKCapiCmd
ist ein Tool, das Schlüssel, Zertifikate und Zertifikatsanforderungen in einer CMS-Schlüsseldatenbank verwaltet.
Abgesehen davon, dass GSKCapiCmd CMS- und PKCS11-Schlüsseldatenbanken unterstützt, besitzt das Tool alle Funktionen des bereits vorhandenen Java-Befehlszeilentools GSKit.
Wenn Sie andere Schlüsseldatenbanken als CMS- oder PKCS11-Datenbanken verwalten möchten, verwenden Sie das vorhandene Java-Tool.
Mit GSKCapiCmd können Sie alle Aspekte einer CMS-Schlüsseldatenbank verwalten. GSKCapiCmd setzt keine Installation von Java auf dem System voraus.
<IHS-Installation>/bin/gskcapicmd -certreq -create -db <Name> [-crypto <Modulname> [-tokenlabel <Tokenkennsatz>]]
[-pw <Kennwort>] -label <Kennsatz> -dn <definierter_Name> [-size <2048 | 1024 | 512>] -file <Name> [-secondaryDB
<Dateiname> -secondaryDBpw <Kennwort>] [-fips] [-sigalg <md5 | sha1|sha224|sha256|sha384|sha512>]
Fehler vermeiden: Unter UNIX-Betriebssystemen empfiehlt es sich, Zeichenfolgewerte mit allen zugehörigen Tags in
Anführungszeichen ("") zu setzen. Außerdem müssen Sie für die folgenden Zeichen Escapezeichen setzen, wenn sie in den Zeichenfolgewerten vorkommen:
'!', '\', '"', '`'. Als Escape-Zeichen wird der umgekehrte Schrägstrich ('\') verwendet.
Die Escape-Zeichen verhindern, dass manche Befehlszeilen-Shells bestimmte Zeichen innerhalb dieser Werte interpretieren. Beispiel:
gsk7capicmd –keydb –create –db “/tmp/key.kdb” –pw “j\!jj”. Wenn
Sie vom Befehl "gsk7capicmd" aufgefordert werden, einen Wert (z. B. ein Kennwort) einzugeben, sollten Sie keine Anführungszeichen und keine Escape-Zeichen setzen,
weil die Shell keinen Einfluss mehr auf diese Eingabe hat.
gotcha
- Prüfen Sie, ob das Zertifikat erstellt wurde:
- Zeigen Sie den Inhalt der erstellten Zertifikatsanforderungsdatei an.
- Vergewissern Sie sich, dass die Zertifikatsanforderung in der Schlüsseldatenbank aufgezeichnet wurde:.
<IHS-Installation>/bin/gskcmd -certreq -list -db <Dateiname> -pw <Kennwort>
Sie sollten den soeben erstellten
Kennsatz sehen.
- Senden Sie die neu erstellte Datei an eine Zertifizierungsstelle.