chsystemcert
使用 chsystemcert 命令可管理系统上安装的安全套接字层 (SSL) 证书。
语法
参数
- (可选)生成自签名 SSL 证书。如果未指定 -mkselfsigned,那么必须指定 -mkrequest、-export 或 -install。
- (可选)生成证书请求。如果未指定 -mkrequest,那么必须指定 -mkselfsigned、-export 或 -install。
- (可选)安装证书。如果未指定 -install,那么必须指定 -mkselfsigned、-mkrequest 或 -export。
- (可选)导出当前 SSL 证书。将证书导出到配置节点上的 /dumps/certificate.pem 目录。如果未指定 -export,那么必须指定 -mkselfsigned、-mkrequest 或 -install。
- (可选)如果指定,那么此参数允许对自签名证书和证书签名请求的 Subject Alternative Name 字段使用自由格式输入数据。新信息包含在 Requested Extensions 下和子节 X509v3 Extensions: Subject Alternative Name 下。只能将此参数与 -mkselfsigned 或 -mkrequest 一起指定。
- 对于 -mkselfsigned,该参数指定自签名证书的 2 位数国家或地区代码。
- 对于 -mkselfsigned,该参数指定自签名证书的状态信息。该值可以是包含
0-128个字符的 ASCII 字符串。 - 对于 -mkselfsigned,该参数指定自签名证书的位置信息。该值可以为 0 到 128 个字符范围之间的 ASCII 字符串。
- 对于 -mkselfsigned,该参数指定 SSL 证书的组织信息。该值可以为 0 到 64 个字符范围之间的 ASCII 字符串。
- 对于 -mkselfsigned,该参数指定 SSL 证书的组织单元信息。该值可以为 0 到 64 个字符范围之间的 ASCII 字符串。
- 对于 -mkselfsigned,该参数指定 SSL 证书中使用的电子邮件地址。该值可以为 0 到 64 个字符范围之间的 ASCII 字符串。
- 对于 -mkselfsigned,该参数指定 SSL 证书的通用名称。该值可以是包含 0 - 64 个字符的 ASCII 字符串。
- 指定自签名证书有效的天数 (
1-9000)。 - 指定 SSL 证书密钥类型。
- rsa2048
- ecdsa384
- ecdsa521
- 指定要安装的证书的绝对路径名。
- 指定可以删除证书请求。
描述
使用此命令来管理系统上安装的 SSL 证书。您还可以执行以下项。
- 生成新的自签名的 SSL 证书。
- 创建要从系统复制并由认证中心 (CA) 签署的证书请求。注: 可安装 CA 返回的已签名证书。
- 导出当前 SSL 证书(例如,方便将证书导入密钥服务器)。
要点: 您必须指定以下某个参数:
- -mkselfsigned
- -mkrequest
- -install
- -export
创建自签名证书的调用示例
chsystemcert -mkselfsigned生成的详细输出:
No feedback创建含公用名称的自签名证书的调用示例
chsystemcert -mkselfsigned -commonname weiland.snpp.com生成的详细输出
No feedback创建含密钥类型和 1 年有效期的自签名证书的调用示例
chsystemcert -mkselfsigned -keytype ecdsa521 -validity 365生成的详细输出
No feedback调用示例
chsystemcert -mkrequest -country GB -state England -locality Manchester
-org IBM -orgunit Storage -email support@ibm.com -commonname 9.71.47.125 -subjectalternativename
"IP:9.71.47.125 IP:9.71.47.216 IP:9.71.47.238 DNS:tb5hshared2-n1.ssd.hursley.ibm.com DNS:tb5hshared2-n2.ssd.hursley.ibm.com
DNS:tb5hshared2-cl.ssd.hursley.ibm.com DNS:*.ssd.hursley.ibm.com IP:2002:914:fc12:849:9abe:94ff:fe31:9a9\nemail:support@uk.ibm.com
\tURI:https://tb5hshared2-cl.ssd.hursley.ibm.com"生成的详细输出
X509v3 Subject Alternative Name:
IP Address:9.71.47.125, IP Address:9.71.47.216, IP Address:9.71.47.238,
DNS:tb5hshared2-n1.ssd.hursley.ibm.com, DNS:tb5hshared2-n2.ssd.hursley.ibm.com,
DNS:tb5hshared2-cl.ssd.hursley.ibm.com, DNS:*.ssd.hursley.ibm.com, IP Address:2002:914:FC12:849:9ABE:94FF:FE31:9A9,
email:support@uk.ibm.com, URI:https://tb5hshared2-cl.ssd.hursley.ibm.com调用示例
svctask chsystemcert -mkselfsigned -country GB -state England -locality Manchester
-org IBM -orgunit Systems -commonname 9.71.48.46 -email support@ibm.com -subjectalternativename
"DNS:*.ssd.hursley.ibm.com URI:https://sv1shared4-cl.ssd.hursley.ibm.com,email:support@ibm.com;
IP:9.71.48.46\nIP:9.71.49.35\tIP:9.71.49.46\rIP:9.71.49.44\r\nIP:9.71.49.39;DNS:sv1shared4-cl.ssd.hursley.ibm.com,
DNS:sv1shared4-n1.ssd.hursley.ibm.com DNS:sv1shared4-n2.ssd.hursley.ibm.com\rDNS:sv1shared1-n1.ssd.hursley.ibm.com
\nDNS:sv1shared1-n2.ssd.hursley.ibm.com IP:2001:DB8:85A3:0:0:8A2E:370:7334"
生成的详细输出
X509v3 extensions:
X509v3 Subject Alternative Name:
DNS:*.ssd.hursley.ibm.com, URI:https://sv1shared4-cl.ssd.hursley.ibm.com, email:support@uk.ibm.com,
IP Address:9.71.48.46, IP Address:9.71.49.35, IP Address:9.71.49.46, IP Address:9.71.49.44,
IP Address:9.71.49.39, DNS:sv1shared4-cl.ssd.hursley.ibm.com, DNS:sv1shared4-n1.ssd.hursley.ibm.com,
DNS:sv1shared4-n2.ssd.hursley.ibm.com, DNS:sv1shared1-n1.ssd.hursley.ibm.com, DNS:sv1shared1-n2.ssd.hursley.ibm.com,
IP Address:2001:DB8:85A3:0:0:8A2E:370:7334