Befehl "queryCertificate"
Der Befehl queryCertificate verwendet eine Implementierungsklasse, die übergeben wird, um die Kommunikation mit einem CA-Server zu ermöglichen und ein Zertifikat abzufragen.
Der Befehl queryCertificate überprüft, ob das Zertifikat vollständig ist. Ist das der Fall, wird das Zertifikat im Client-Keystore gespeichert. Ist das Zertifikat nicht vollständig, bleibt es im Keystore, und der Befehl queryCertificate kann zu einem späteren Zeitpunkt aufgerufen werden, um die Vollständigkeit des Zertifikats zu überprüfen.
Standort
Geben Sie den Befehl aus dem Profilstamm/bin Verzeichnis.
Syntax
Der Befehl hat die folgende Syntax. (Der folgende Befehl ist zur besseren Lesbarkeit auf mehrere Zeilen aufgeteilt.)
![[Linux]](../images/nglinux.svg)
![[AIX]](../images/ngaix.svg)
![[HP-UX]](../images/nghpux.svg)
![[Solaris]](../images/ngsolaris.svg)
queryCertificate.sh -host<caHost> -port<caPort> -username<caUserName> -password<caPassword>
-alias<certificateAlias> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient>[options]![[Windows]](../images/ngwin.svg)
queryCertificate.bat -host<caHost> -port<caPort> -username<caUserName> -password<caPassword>
-alias<certificateAlias> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient> [options]![[z/OS]](../images/ngzos.svg)
queryCertificate.sh -host<caHost> -port<caPort> -username<caUserName> -password<caPassword>
-alias<certificateAlias> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient>[options]![[IBM i]](../images/ngibmi.svg)
queryCertificate -host<caHost> -port<caPort> -username<caUserName> -password<caPassword>
-alias<certificateAlias> -keystoreAlias<keystoreAlias>
-pkiImplClass<customCAClient>[options]Erforderliche Parameter
Die folgenden erforderlichen Parameter werden mit dem Befehl
queryCertifcate verwendet:
- Gibt den Host der Zielzertifizierungsstelle (Certificate Authority, CA) an, an den die Anforderung gesendet wird.
- Gibt den Zielport an, zu dem eine Verbindung hergestellt wird.
- Gibt den Benutzernamen an, mit dem auf die Zertifizierungsstelle zugegriffen wird.
- Gibt das Kennwort an, das für die Authentifizierung bei der Zertifizierungsstelle verwendet wird.
- Gibt den Aliasnamen des Zertifikats an, der abgefragt werden soll.
- Gibt den Namen des Keystore an, der sich in der Datei "ssl.client.props" für das Profil befindet, dem das CA-signierte Zertifikat hinzugefügt wird. Dies ist gewöhnlich die Datei "ClientDefaultKeyStore" für verwaltete bzw. nicht verwaltete Umgebungen.
- Eine Klasse, die die Schnittstelle "WSPKIClient" implementiert. Die Implementierungsklasse wickelt die gesamte Kommunikation mit dem CA-Server ab. Dabei kann es sich um eine angepasste Klasse oder eine mit dem Produkt bereitgestellte Klasse handeln.
Optionale Parameter
Die folgenden Optionen sind für den Befehl queryCertificate verfügbar:
- Ein Liste mit Paaren von angepassten Namen und Werten, die durch Semikolons voneinander getrennt sind. Die Liste wird an die angepasste Implementierungsklasse übergeben. Dieser Parameter bietet eine Möglichkeit, angepasste Informationen an die Implementierungsklasse zu übergeben. Die Paare „attr“ und „value“ werden in eine Hash-Map konvertiert und an die Implementierungsklasse übergeben.
- Der Zeitraum (in Sekunden), der zwischen den Wiederholungen von Abfragen eines CA-signierten Zertifikats liegt, die an einen CA-Server gerichtet sind.
- Gibt an, wie oft eine an den CA-Server gerichtete Abfrageanforderung wiederholt wird.
- Die Protokolldatei, die die Standardtracedatei überschreibt. Standardmäßig erscheint die Spur im
profiles/profile_name/log/caClient.log. eportiert. - Mit dem Parameter -trace wird die Traceerstellung
der zum Testen dieser Komponente erforderlichen Tracespezifikation aktiviert. Standardmäßig erscheint der Trace in der Datei
profiles/profile_name/log/caClient.log. - Eine Option, die bewirkt, dass die vorhandene Tracedatei bei Ausführung des Befehls ersetzt wird.
- Eine Option, die verhindert, dass die meisten Nachrichten in der Konsole ausgegeben werden.
- Die Option, mit der ein Verwendungshinweis ausgegeben wird.
Verwendung
Das folgende Beispiel veranschaulicht den Befehl "queryCertificate":
queryCertificate.sh -host localhost -port 1077 -
username pkiuser -password webspherepki -alias C:\opt\WebSphere\AppClient\
etc\certReq26924.req -keyStoreAlias ClientDefaultKeyStore
CWPKI0403I: Trace is being logged to the following location:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0418E: The following error occurred while querying the CA for a signed
certificate: CWPKI0463I: Action "query" not supported by this
implementation.
C:\opt\WebSphere\AppClient\bin>queryCertificate.bat -host localhost -port 1077 -
username pkiuser -password webspherepki -alias C:\opt\WebSphere\AppClient\
etc\certReq26924.req -keyStoreAlias ClientDefaultKeyStore
CWPKI0403I: Trace is being logged to the following location:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0418E: The following error occurred while querying the CA for a signed
certificate: CWPKI0463I: Action "query" not supported by this
implementation.
queryCertificate.sh -host localhost -port 1077 -
username pkiuser -password webspherepki -alias C:\opt\WebSphere\AppClient\
etc\certReq26924.req -keyStoreAlias ClientDefaultKeyStore
CWPKI0403I: Trace is being logged to the following location:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0418E: The following error occurred while querying the CA for a signed
certificate: CWPKI0463I: Action "query" not supported by this
implementation.
queryCertificate -host localhost -port 1077 -
username pkiuser -password webspherepki -alias C:\opt\WebSphere\AppClient\
etc\certReq26924.req -keyStoreAlias ClientDefaultKeyStore
CWPKI0403I: Trace is being logged to the following location:
C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0418E: The following error occurred while querying the CA for a signed
certificate: CWPKI0463I: Action "query" not supported by this
implementation.