创建自签名证书

从著名的认证中心 (CA) 获取证书通常需要两至三个星期的时间。 在等待证书发出的同时，请使用 IKEYMAN 来创建自签名服务器证书，以启用客户机与服务器之间的 SSL 会话。 如果您在专用 Web 网络中充当自己的 CA，请使用此过程。

1. 如果尚未创建密钥数据库，请参阅 创建新的密钥数据库 以获取指示信息。
2. 启动 IKEYMAN 用户界面。
3. 从主 UI 单击 密钥数据库文件 ，然后单击 打开。
4. 在 "打开" 对话框中输入密钥数据库名称，或者单击 key.kdb 文件 (如果使用缺省值)。 单击确定。
5. 在 "密码提示" 对话框中，输入正确的密码，然后单击 确定。
6. 单击 "密钥数据库" 内容框架中的 个人证书 ，然后单击 新建自签名 单选按钮。
7. 在“密码提示”对话框中输入以下信息：
   • 密钥标签：输入用于标识数据库中的密钥和证书的描述性注释。
   • 密钥大小：从下拉菜单中选择加密级别。
   • 公共名：输入 Web 服务器的标准主机名作为公共名。 示例：www.myserver.com。
   • 组织名：输入您的组织名。
   • 可选：组织单元
   • 可选：区域
   • 可选：省/直辖市/自治区
   • 可选: 邮政编码
   • 国家或地区：输入国家或地区代码。 请至少指定两个字符。 示例：US 证书请求文件名或使用缺省名称。
   • 有效期

   证书请求的校验和已使用新的专用密钥进行密码签名，并且包含新公用密钥的副本。 这样，认证中心可以使用该公用密钥来验证证书签名请求 (CSR) 是否未被篡改。 有些认证中心可能要求使用更强的算法（例如 SHA-1 或 SHA-2（SHA-256、SHA-384 或 SHA-256））来计算通过公用密钥进行签名的校验和。

   此校验和是 CSR 的“签名算法”。

   注: IBM HTTP Server 8.0 随附 IKEYMAN 版本 8.x。 使用 IKEYMAN V8.x 来创建证书请求时，系统会要求用户从下拉列表中选择签名算法。

   主体备用名称 (SAN) 扩展是证书请求中的一些字段，用于告知 SSL 客户机与签名证书相对应的备用主机名。 一般证书（签发时其专有名称中未包含通配符的证书）仅对单个主机名有效。 例如，为 example.com 创建的证书在 www.example.com 上无效，除非对该证书添加了主体备用名称“www.example.com”。 如果您的证书包含 1 个或一个以上的 SAN 扩展，那么认证中心可能会收取额外的费用。

8. 单击“确定”。