[AIX Solaris HP-UX Linux Windows]

Creación de un certificado autofirmado

Un certificado autofirmado proporciona un certificado para permitir sesiones SSL entre clientes y el servidor, mientras que se espera el certificado firmado oficialmente que debe devolver la entidad emisora de certificados (CA). Durante este proceso se crean una clave privada y una clave pública. La creación de un certificado autofirmado genera un certificado X509 autofirmado en la base de datos de clave identificada. Un certificado autofirmado tiene el mismo nombre de emisor que el nombre de asunto.

Acerca de esta tarea

Utilice este procedimiento si actúa como CA propia para una red web privada. Utilice la interfaz de línea de mandatos IKEYCMD o la herramienta GSKCapiCmd para crear un certificado autofirmado.

Procedimiento

  • Cree un certificado autofirmado utilizando la interfaz de línea de mandatos IKEYCMD, como se indica a continuación:
    install_root/bin/gskcmd -cert -create -db filename
[-pw password | -stashed] -size 2048 | 1024 | 512
-dn distinguished_name -label label -default_cert yes | no
-san dnsname <DNS name value>[,<DNS name value>]
-san emailaddr <email address value>[,<email address value>]
-san ipaddr <IP address value>[,<IP address value>][-ca true | false]
    donde:
    • -cert especifica un certificado autofirmado.
    • -create especifica una acción de creación.
    • -db filenamees el nombre de la base de datos.
    • -pw passwordes la contraseña para acceder a la base de datos de claves.
    • -stashed indica que la contraseña para la base de datos de claves se debe recuperar del archivo de ocultación (stash).
    • -dn distinguished_name-indica un nombre distinguido X.500 . Se entra como serie entre comillas con el formato siguiente (sólo se exigen CN, O y C): CN=nombre_común , O=organización, OU=unidad_organizativa, L=ubicación, ST=estado, provincia, C=país

      Por ejemplo: CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US

    • -label labeles un comentario descriptivo utilizado para identificar la clave y el certificado en la base de datos.
    • -size 2048 | 1024 | 512 indica un tamaño de clave de 2048, 1024 o 512. El tamaño de clave predeterminado es 1024 bits. El tamaño de clave 2048 está disponible si utiliza Global Security Kit (GSKit) Versión 7.0.4.14 y posterior.
    • -default_cert yes | no especifica si éste es el certificado predeterminado en la base de datos de claves.
    • -san * < valor de atributo de nombre alternativo de asunto > | < valor de atributo de nombre alternativo de asunto > especifica las extensiones de nombre alternativo de asunto en la solicitud de certificado que informan a los clientes SSL de nombres de host alternativos que corresponden al certificado firmado.
      Estas opciones sólo son válidas si se especifica la línea siguiente en el archivo ikminit.properties. DEFAULT_SUBJECT_ALTERNATE_NAME_SUPPORT=true. El asterisco (*) puede tener los valores siguientes:
      dnsname
      El valor debe formatearse utilizando la sintaxis del nombre preferido, de acuerdo con RFC 1034. Por ejemplo, zebra,tek.ibm.com.
      emailaddr
      El valor debe formatearse como una addr-spec de acuerdo con RFC 822. Por ejemplo, myname@zebra.tek.ibm.com
      ipaddr
      El valor es una serie que representa una dirección IP con formato según las normas RFC 1338 y RFC 1519. Por ejemplo: 193.168.100.115
      Los valores de estas opciones se acumulan en el atributo ampliado SAN (Subject alternate name) del certificado generado. Si no se utilizan las opciones, este atributo ampliado no se añade al certificado.
    • -ca true | false especifica la ampliación básica de restricción en el certificado autofirmado. La extensión se añade con CA:true y PathLen:<max int> si el valor pasado es true o no se añade si el valor pasado es false.
  • Cree un certificado autofirmado utilizando la herramienta GSKCapiCmd.
    GSKCapiCmd es una herramienta que gestiona claves, certificados y solicitudes de certificado en una base de datos de claves CMS. La herramienta tiene toda la funcionalidad que tiene la herramienta de línea de mandatos GSKit Java™ existente, excepto que GSKCapiCmd da soporte a bases de datos de claves CMS y PKCS11 . Si piensa gestionar bases de datos de claves distintas de CMS o PKCS11, utilice la herramienta Java existente. Puede utilizar GSKCapiCmd para gestionar todos los aspectos de una base de datos de claves CMS. GSKCapiCmd no necesita que se instale Java en el sistema.
    install_root/bin/gskcapicmd -cert -create 
[-db name]|[-crypto module_name -tokenlabel token_label]
[-pw password | -stashed] -label label -dn dist_name 
[-size 2048 | 1024 | 512] [-x509version 1 | 2 | 3] 
[-default_cert yes | no] [-secondaryDB filename -secondaryDBpw password] [-ca true | false] [-fips] [-sigalg md5 | sha1| sha224 | sha256 | sha384 | sha512]
    Nota: En sistemas operativos de tipo Unix, se recomienda encapsular siempre los valores de serie asociados con todas las etiquetas entre comillas dobles (""). También tendrá que escapar, utilizando un carácter '\', los siguientes caracteres si aparecen en los valores de serie: '!', '\', '"', '`'. Esto impedirá que algunos shells de línea de mandatos interpreten caracteres específicos dentro de estos valores. (por ejemplo, gsk7capicmd -keydb -create -db “/tmp/key.kdb” -pw “j\!jj”). Sin embargo, tenga presente que cuando gsk7capicmd le solicite un valor (por ejemplo, una contraseña), no debe utilizar las comillas ni los caracteres de escape. Esto es debido a que el shell ya no influye en esta entrada.