chsystemcert

使用 chsystemcert 命令可管理系统上安装的安全套接字层 (SSL) 证书。

语法

读取语法图跳过可视语法图 chsystemcert -mkrequest-subjectalternativename主题替代名称-country国家或地区-state状态-locality位置 -mkrequest-org组织 (organization)-orgunit组织单元-emailemail-commonname公共名称-keytype密钥类型 -mksystemsigned-subjectalternativename主题替代名称-country国家或地区-state状态-locality位置 -mksystemsigned-org组织 (organization)-orgunit组织单元-emailemail-commonname公共名称-keytype密钥类型-validity天数 -file输入文件路径名-install-export-cancel-autorenew 是 | 否

参数

-mksystemsigned
(可选) 生成由系统的根认证中心签署的新证书。 将立即激活证书。
-mkrequest
(可选) 在 /dumps/certificate.csr中生成新的证书签名请求。 可以从系统复制该文件,并将其提供给可信第三方认证中心。 认证中心对请求进行签名,并提供可使用 -install-file 参数安装的签名证书。
-subjectalternativename 主题替代名称
(可选) 如果指定了此参数,那么该参数允许自由格式输入数据Subject Alternative Name内部签名证书 和证书签名请求的字段。 新信息包含在以下内容中:Requested Extensions根据第 2 款X509v3 Extensions: Subject Alternative Name。只能将此参数与 -mkselfsigned-mkrequest一起指定。 该值可以为 0 到 512 个字符之间的 ASCII 字符串。
-country 国家或地区
(可选) 指定两位数字的国家或地区代码。
-state 状态
(可选) 指定证书请求的状态信息。 该值可以是 0 - 128 个字符的 ASCII 字符串。
-locality 本地
(可选) 指定证书请求的位置信息。 该值可以为 0 到 128 个字符之间的 ASCII 字符串。
-org 组织
(可选)指定 SSL 证书的组织信息。 该值可以为 0 到 64 个字符范围之间的 ASCII 字符串。
-orgunit 组织单元
(可选)指定 SSL 证书的组织单元信息。 该值可以为 0 到 64 个字符范围之间的 ASCII 字符串。
-email 电子邮件
(可选) 指定 SSL 证书中使用的电子邮件地址。 该值可以为 0 到 64 个字符范围之间的 ASCII 字符串。
-commonname commonname
(可选)指定 SSL 证书的公用名称。 该值可以为 0 到 64 个字符范围之间的 ASCII 字符串。
-validity
(可选) 指定 内部签名证书 有效的天数 (1-9000)。
-keytype 密钥类型
(可选)指定 SSL 证书密钥类型。
  • rsa2048
  • ecdsa384
  • ecdsa521
  • rsa4096
-file input_file_pathname
(可选)指定要安装的证书的绝对路径名。
-install
(可选) 指定证书的安装。
-export
(可选) 导出已安装的 SSL 证书的完整链。 将证书导出到配置节点上的 /dumps/certificate.pem 目录。
-cancel
(可选) 取消对当前正在进行的外部认证中心的证书签名请求。
-autorenew 是 | 否
(可选) 开启或关闭自动更新。 开启时,系统证书将在到期前 30 天自动更新。 仅当系统的根认证中心对证书进行签名时,才支持 -autorenew 选项。 使用内部签名证书时的缺省值为 yes。

描述

使用此命令来管理系统上安装的 SSL 证书。 该命令可用于以下项。
  • 生成由系统的根认证中心 (CA) 签署的 内部签名证书 。 根证书的有效期很长,可以安装在支持信任检查链的浏览器,设备和应用程序上。 可以自动更新 内部签名的证书
  • 创建从系统复制并发送到外部认证中心以进行签名的证书签名请求。
  • 将外部签名证书安装到系统上。
  • 导出已安装证书的完整链。
重要信息: 必须指定下列其中一个参数:
  • -mkrequest
  • -mksystemsigned
  • -install
  • -export
  • -cancel
  • -autorenew

调用示例

以下示例显示在启用自动更新的情况下创建由内部 CA 签署的系统证书:

chsystemcert -mksystemsigned -commonname virtualize -country GB -locality Manchester -org IBM -orgunit Systems -email support@ibm.com -keytype rsa2048 
-validity 355 -subjectalternativename "DNS:test.ibm.com"

生成的输出

No feedback.

调用示例

以下示例显示在禁用自动更新的情况下创建由内部 CA 签署的系统证书:

chsystemcert -mksystemsigned -commonname virtualize -country GB -locality Manchester -org IBM -orgunit Systems -email support@ibm.com -keytype rsa2048 
-validity 355 -subjectalternativename "DNS:test.ibm.com" -autorenew no

生成的输出

No feedback.

调用示例

以下示例显示如何取消未完成的证书请求:

chsystemcert -cancel

生成的输出

No feedback.

调用示例

以下示例显示如何为外部认证中心创建证书签名请求:

chsystemcert -mkrequest -country GB -state England -locality Manchester -org IBM -orgunit 
Storage -email support@ibm.com -commonname xxx.xxx.x.xxx -subjectalternativename "DNS:test-cluster.ibm.com DNS:test-node1.ibm.com 
DNS:test-node2.ibm.com IP:xxx.xxx.x.xxx IP:xxx.xxx.x.xxx IP:xxx.xxx.x.xxx"

生成的详细输出

No feedback.