mksecpki 命令
用途
mksecpki配置AIXPKI 服务器组件。 AIX PKI 的组件是认证中心,注册中心和审计子系统。
语法
姆克塞普基 {乌 用户名 -f 引用文件 [-p CA_port] [-H ldap_host] [-D 登 -w 密码] [-我 证书 (certificate_issuer_dn)] | -U 用户名}
描述
mksecpki 命令用于配置 AIX PKI 服务器组件。 mksecpki 必须在配置 LDAP 服务器后运行以发布证书。 选项 -H、-D、-w 和 -i 的值必须与在 LDAP 配置过程中指定的值相同。 否则,CA 将无法将证书发布给 LDAP。
-u 选项指定将托管 AIX PKI 的 AIX 用户名。 用户名必须遵循 AIX 用户名规则。 请不要将 -u 和 -U 配合使用。 将要求该命令的调用者提供用户名的密码。 mksecpki 将创建一个带有相同名称的数据库实例。
-f 选项指定包含引用号和通行码的文件。 与 CA 通信时,客户机证书请求将使用这些完全相同的值。 引用号和通行码分别在单独的行中指定。 以下是示例 iafile 的内容:
11122233
temppwd1234-H 选项指定了要将证书发布到的 LDAP 服务器的主机名。 在调用 mksecpki 命令前,必须设置 LDAP 服务器以发布证书。 否则,证书将不会发布到 LDAP,然而,当使用证书管理命令时,证书将返回给请求者。 如果未给定 -H 选项,将使用本地主机作为主机名。
使用 -D 选项来指定目录管理员专有名称。 它必须同在配置 LDAP 服务器过程中指定的名称相同。
-w 选项指定对应于管理员 DN 的密码。 不同时指定管理员 DN 和密码是错误的。
-i 选项指定发出证书的“认证中心”的专有名称。 它必须与设置 LDAP 服务器以发布证书时给定的值相同。
-U 选项指定托管将取消配置的 AIX PKI 的用户名。 在开始操作前,该命令将确认取消配置。 这个选项从系统中删除该用户名。 将询问该命令的调用者是否要删除用户名的主目录。 当该命令运行没有出错时,它显示一条消息表示成功完成。 建议该命令的调用者等待这条消息。
标志
| 项 | 描述 |
|---|---|
| -u 用户名 | 指定将创建的用户名的名称,该用户名将托管 AIX PKI 服务器组件。 |
| -f 参考文件 | 指定包含引用号和通行码的文件,在进行证书创建请求时使用这些引用号和通行码。 |
| -p CA 端口 | 指定“认证中心”通信端口。 |
| -H ldap_host | 指定将要发布证书所在的 LDAP 主机。 |
| -D adminDN | 指定目录管理员专有名称(DN)。 注: -D 选项要求同时指定 -w password 选项。
|
| -w 密码 | 指定目录管理员密码。 |
| -i 证书签发人地址 | 指定发出证书的“认证中心”的专有名称。 |
| -U 用户名 | 指定托管将取消配置的 AIX PKI 的用户名。 |
安全性
该命令应该将执行(x)权限只授权给 root 用户和安全组成员。
示例
$ mksecpki -u pkiuser -f iafile -p 829 -H pkitest.ibm.com -D cn=admin
-w password -i o=aix,c=us$ mksecpki -U pkiuser文件
/usr/lib/security/pki/ca.cfg