mksecpki コマンド

目的

mksecpki は AIX® PKI サーバー・コンポーネントを構成します。 AIX PKI のコンポーネントは、認証局、登録局、および監査の各サブシステムです。

構文

mksecpki {-u username -f reference_file [-p CA_port] [-H ldap_host] [-D dn -w password] [ -i certificate_issuer_dn] | -U username}

説明

mksecpki コマンドは AIX PKI サーバー・コンポーネントを構成します。 mksecpki を LDAP サーバーの構成後に実行して、証明書を公開する必要があります。 オプション -H、-D、-w、 および -i の値は、LDAP の構成で指定されたものとそれぞれ同じでなければなりません。 そうでない場合、CA は証明書を LDAP に公開できません。

-u オプションは、AIX PKI をホストする AIX ユーザー名を指定します。このユーザー名は AIX ユーザー名の規則に従う必要があります。 -u と -U は同時に使用しないでください。 コマンドの起動側は、ユーザー名に対応するパスワードの入力を求められます。 mksecpki は同じ名前を持つデータベース・インスタンスを作成します。

-f オプションは、参照番号およびパスフレーズが含まれるファイルを指定します。 クライアント認証要求は、CA との通信中、これらとまったく同一の値を使用します。 参照番号およびパスフレーズはそれぞれ別々の行で指定されます。 次に、例 iafile の内容を示します。

11122233 
temppwd1234

-H オプションは、証明書が公開される LDAP サーバーのホスト名を指定します。 mksecpki コマンドの起動に先立って、 証明書を公開するように LDAP サーバーをセットアップしなければなりません。 セットアップしないと、証明書は LDAP に公開されません。 ただし、証明書管理コマンドが使用されると、証明書は要求側に戻されます。 -H オプションを指定しないと、ローカル・ホストがホスト名として使用されます。

-D オプションを使用して、ディレクトリー管理者の識別名を指定します。 この識別名は、LDAP サーバーの構成で指定するものと同じにしなければなりません。

-w オプションは、管理者 DN に対応するパスワードを指定します。 管理者 DN とパスワードを両方とも指定しないとエラーになります。

-i オプションは証明書を発行する認証局の Distinguish Name (公開鍵持ち主情報) を指定します。 これは、証明書の公開のために LDAP サーバーを設定する際に指定するものと同じ値にしなければなりません。

-U オプションは、構成解除する AIX PKI をホストするユーザー名を指定します。 このコマンドは、操作を開始する前に構成解除の確認を行います。 このオプションは username をシステムから除去します。 コマンドの起動側は、username のホーム・ディレクトリーを除去するかどうかを尋ねられます。 このコマンドを実行してエラーが発生しない場合は、正常終了を示すメッセージが表示されます。 コマンドの起動側は、このメッセージが表示されるのを待機することをお勧めします。

フラグ

セキュリティー

このコマンドは、 実行 (x) アクセス権を root ユーザーとセキュリティー・グループのメンバーだけに与えます。

例

$ mksecpki -u pkiuser -f iafile -p 829 -H pkitest.ibm.com -D cn=admin 
-w password -i o=aix,c=us

$ mksecpki -U pkiuser

ファイル

/usr/lib/security/pki/ca.cfg