requestCertificate 命令

requestCertificate 命令使用实现类（传递以与认证中心 (CA) 服务器通信）以请求 CA 签署的证书。命令随后将该证书添加到提供的密钥库。

requestCertificate 命令可以使用通过 createCertRequest 命令创建的预定义证书请求，也可以自己创建证书请求。根据命令针对的 CA 服务器，可能会返回完成的已签署请求；或者 CA 服务器可能接受该请求，并要求在稍后进行调用以使用 queryCertificate 命令获取证书。

位置

从 profile_root/bin 目录发出命令。

语法

命令语法如下所示：

(以下命令拆分为多行以进行打印。) [Linux]

requestCertificate.sh -host<caHost> -port<caPort> -username<caUserName> -password<caPassword> 
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias> 
-pkiImplClass<customCAClient>[options]

requestCertificate.bat -host<caHost> -port<caPort> -username<caUserName> -password<caPassword> 
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias> 
-pkiImplClass<customCAClient>[options]

requestCertificate -host<caHost> -port<caPort> -username<caUserName>  -password<caPassword>
-revocationPassword<revocationPassword> -keystoreAlias<keystoreAlias> 
-pkiImplClass<customCAClient>[options]

必需参数

以下必需参数与 requestCertifcate 命令配合使用：

-host caHost: 指定请求将发送到的目标认证中心主机。
-port caPort: 指定要连接的目标端口。
-username caUserName: 用于获取对认证中心访问权的用户名。
-password caPassword: 用于向认证中心认证的密码。
-revocationPassword revocationPassword: 认证中心返回的证书上要设置的密码。在每个请求期间，撤销密码将发送到认证中心，并与发出的每个证书相关联。要在稍后撤销证书，必须在 revokeCertificate 请求期间发送同一撤销密码。
keyStoreAliaskeyStoreAlias: 位于概要文件的 ssl.client.props 文件中的密钥库（CA 签署的证书将添加至该密钥库中）名称。对于受管环境或非受管环境，此文件通常是 ClientDefaultKeyStore 文件。
-pkiImplClass 定制 CA 客户机: 用于实现 WSPKIClient 接口的类的路径。该实现类处理与 CA 服务器的通信以请求由 CA 签署的证书。产品未随附缺省 WSPKIClient 实现。期望用户提供他们自己的 WSPKIClient 实现以与所给定的认证中心通信。; 请参阅开发 WSPKIClient 接口以与认证中心通信。

可选参数

以下选项可用于 requestCertificate 命令：

-certReqPath 证书请求文件: 指向 BASE64 编码文件中保存的现有 PKCS10 证书请求的路径。如果未指定请求，将自动创建 PKCS10 证书请求。在这种情况下，需要指定 "subjectDN" 和 "别名 "选项。缺省情况下，将在与请求中指定的密钥库相同的位置中创建请求。对于受管环境或非受管环境，此位置通常在 /profile_name/etc/ 目录中。
-subjectDN subjectDN: 将用于 PKCS10 证书请求的专有名称。该专有名称必须包含 CN 字段。只有在未指定 -certReqPath 选项或 -certReqPath 选项指向不存在的文件时，才需要使用该选项。
-alias certificateAlias: 用于将 PKCS10 证书请求证书存储在请求上指定的密钥库中的别名。请注意，CA 签署的证书存储在同一别名下，并将在收到证书时替换证书请求证书。只有在未指定 -certReqPath 选项或 -certReqPath 选项指向不存在的文件时，才需要使用该选项。
-keySize 密钥大小: 密钥的大小。仅当在频带内创建 PKCS10 证书请求时，此选项才有效。缺省大小为 1024。有效值包括 512、1024 和 2048
-keyUsage: 以分号分隔的扩展密钥用途字符串的列表。仅当在频带内创建 PKCS10 证书请求时，此选项才有效。
-extKeyUsage extKeyUse1;extKeyUse2;...: 以分号分隔的扩展密钥用途字符串的列表。仅当在频带内创建 PKCS10 证书请求时，此选项才有效。
-customAttrs customAttr1=value;customAttr2=value;...: 以分号分隔的将传递到定制实现类的 custom name=value 对列表。此选项提供了一种将定制信息传递到实现类的方式。 attr 和 value 对将转换为散列映射并传递到实现类。
-retryInterval 重试时间间隔: 向 CA 查询 CA 已签署证书的两次重试之间的时间段，以秒为单位。
-retryLimit 重试限制: 向 CA 重试查询请求的总次数。
-logfile 文件名: 覆盖缺省跟踪文件。缺省情况下，跟踪显示在 profiles/profile_name/log/caClient.log中。中。
-trace: 当指定了此参数时，它启用对调试此组件所必需的跟踪规范的跟踪。缺省情况下，跟踪将显示在 profiles/profile_name/log/caClient.log 文件中。
-replaceLog: 使现有跟踪文件在执行命令时被替换。 -退出
-quiet: 禁止在控制台上打印出大多数消息。
-help: 显示用法说明
-?: 显示用法说明

使用情况

以下示例执行 requestCertificate：

requestCertificate.sh -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: Trace is being logged to the following location:
           C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Requesting a CA signed certificate.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]

C:\opt\WebSphere\AppClient\bin>requestCertificate.bat -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: Trace is being logged to the following location:
           C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Requesting a CA signed certificate.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]

requestCertificate -host localhost -port 1077
 -username pkiuser -password webspherepki -revocationPassword webspherepki -keyS
toreAlias ClientDefaultKeyStore -certReqPath C:\opt\WebS
phere\AppClient\etc\certReq26924.req -trace
CWPKI0403I: Trace is being logged to the following location:
           C:\opt\WebSphere\AppClient\logs\caClient.log
CWPKI0455I: Requesting a CA signed certificate.
CWPKI0456I: CA Signed Certificate Received [Issued By: O=IBM, C=US, Issued To:
           CN=mycn, O=ibm, C=us, Not Before: Thu Feb 22 09:07:53 CST 2007, Not
           After: Sat Feb 16 10:09:19 CST 2008]