Erstellt X.509-Zertifikate.
createcert [ -r | -s ]
| Option | Beschreibung |
|---|---|
| -r | Erstellt eine PKCS10-Zertifikatanforderung. Wenn diese Option angegeben ist, fordert createcert nicht zur Eingabe eines Signierenden oder anderer Informationen auf, die zum Signieren eines Zertifikats verwendet werden. |
| -s Dateiname | Signiert die PKCS10-Zertifikatanforderung, die sich in der angegebenen Datei befindet. Die Anforderung kann DER- oder PEM-kodiert sein. Wenn diese Option angegeben ist, fordert createcert nicht zur Eingabe von Schlüsselgenerierungs- und Betreffinformationen auf. |
Benutzer wenden sich üblicherweise an Dritthersteller, um Zertifikate zu erwerben. Diese Zertifizierungsstellen stellen ihre eigenen Tools zur Erstellung von Zertifikaten zur Verfügung. Die folgenden Tools sind möglicherweise bei der Erstellung von Zertifikaten für Entwicklungs- und Testzwecke besonders nützlich und können auch für Produktionszertifikate verwendet werden.
Um ein signiertes Zertifikat zu erstellen, verwenden Sie createcert ohne Optionen. Wenn Sie den Prozess in zwei Schritte aufgliedern wollen, damit z.B. eine Person eine Anforderung erstellt und eine zweite sie signiert, kann die erste Person createcert mit der Option -r ausführen, um die Anforderung zu erstellen, während die zweite Person die Anforderung signieren kann, indem sie createcert mit der Option -s ausführt.
Wenn Sie createcert ausführen, werden Sie zur Eingabe der folgenden Informationen aufgefordert. Wenn Sie die Option -r oder -s angeben, werden einige dieser Eingabeaufforderungen nicht angezeigt.
Verschlüsselungstyp wählen ((R)SA oder (E)CC) Diese Eingabeaufforderung wird nur angezeigt, wenn Sie eine Lizenz für ECC-Verschlüsselung erworben haben. Wählen Sie RSA oder ECC.
Länge des RSA-Schlüssels eingeben (512-16384) Diese Eingabeaufforderung wird nur angezeigt, wenn Sie RSA-Verschlüsselung wählen. Sie können eine Länge zwischen 512 und 16.384 Bit wählen.
ECC-Kurve eingeben Diese Eingabeaufforderung wird nur angezeigt, wenn Sie eine Lizenz für ECC-Verschlüsselung erworben haben und den obenstehenden ECC-Verschlüsselungstyp wählen. Sie werden aufgefordert, aus einer Liste von ECC-Kurven auszuwählen. Der Standardwert ist sect163k1.
Betreffinformationen Sie müssen die folgenden Informationen eingeben, die die Einheit festlegen:
Dateipfad des Zertifikats des Signierenden eingeben Optional können Sie einen Standort und Dateinamen für das Zertifikat des Signierenden eingeben. Wenn Sie diese Informationen angeben, ist das generierte Zertifikat ein signiertes Zertifikat. Wenn Sie diese Information nicht angeben, ist das generierte Zertifikat ein selbstsigniertes Stammzertifikat.
Dateipfad des privaten Schlüssels des Signierenden eingeben Geben Sie einen Standort und Dateinamen zum Speichern des privaten Schlüssels an, der der Zertifikatanforderung zugeordnet ist. Diese Eingabeaufforderung erscheint nur, wenn Sie bei der vorherigen Eingabeaufforderung eine Datei angegeben haben.
Kennwort für den privaten Schlüssel des Signierenden eingeben Geben Sie das Kennwort ein, das benutzt wurde, um den privaten Schlüssel des Signierenden zu verschlüsseln. Dieses Kennwort ist nur anzugeben, wenn der private Schlüssel verschlüsselt wurde.
Seriennummer Optional können Sie eine Seriennummer angeben. Die Seriennummer muss eine hexadezimale Zeichenfolge aus 40 Ziffern oder weniger sein. Diese Nummer muss unter allen vom aktuellen Signierenden signierten Zertifikaten eindeutig sein. Wenn Sie keine Seriennummer angeben, generiert createcert eine GUID als Seriennummer.
Zertifikat gültig für wie viele Jahre (1-100) Geben Sie die Anzahl der Jahre (zwischen 1 und 100) an, die das Zertifikat gültig ist. Nach diesem Zeitraum läuft das Zertifikat, zusammen mit allen von ihm signierten Zertifikaten, ab.
Zertifizierungsstelle (j)a oder (n)ein Geben Sie an, ob dieses Zertifikat zum Signieren von anderen Zertifikaten verwendet werden kann. Standardmäßig sind Zertifikate keine Zertifizierungsstellen (n).
Schlüsselsyntax Geben Sie eine kommagetrennte Liste von Zahlen an, die festlegen, wie der private Schlüssel des Zertifikats verwendet werden kann. Dies ist eine erweiterte Option, und der Standardwert sollte in den meisten Fällen akzeptabel sein. Der Standardwert hängt davon ab, ob das Zertifikat eine Zertifizierungsstelle ist.
Dateipfad zum Speichern der Anforderung Diese Eingabeaufforderung wird nur angezeigt, wenn Sie die Option -r angeben. Geben Sie einen Speicherort und einen Dateinamen für die PCKS10-Zertifikatanforderung an.
Dateipfad zum Speichern des Zertifikats eingeben Geben Sie einen Speicherort und einen Dateinamen zum Speichern des Zertifikats an. Das Zertifikat wird nicht gespeichert, wenn Sie dies nicht tun.
Dateipfad zum Speichern des privaten Schlüssels eingeben Geben Sie einen Speicherort und einen Dateinamen zum Speichern des privaten Schlüssels an.
Kennwort zum Schutz des privaten Schlüssels eingeben Optional können Sie ein Kennwort zum Verschlüsseln des privaten Schlüssels angeben. Wenn Sie kein Kennwort angeben, wird der private Schlüssel nicht verschlüsselt. Diese Eingabeaufforderung erscheint nur, wenn Sie bei der vorherigen Eingabeaufforderung eine Datei angegeben haben.
Dateipfad zum Speichern der Identität eingeben Geben Sie einen Speicherort und einen Dateinamen zum Speichern der Identität an. Die Identitätsdatei ist eine Verkettung des Zertifikats, des Signierenden und des privaten Schlüssels. Dies ist die Datei, die Sie dem Server beim Start übergeben. Wenn der private Schlüssel nicht gespeichert wurde, fordert Sie createcert zur Angabe eines Kennworts auf, um den privaten Schlüssel zu speichern. Anderenfalls wird das früher angegebene Kennwort verwendet. Die Identität wird nur gespeichert, wenn Sie einen Dateinamen angeben. Wenn Sie die Identitätsdatei nicht speichern, können Sie manuell die Dateien für das Zertifikat, den Signierenden und den privaten Schlüssel zu einer Identitätsdatei verketten.
Das folgende Beispiel erstellt ein signiertes Zertifikat. Es wird kein Dateiname für das Zertifikat des Signierenden angegeben, was es zu einem selbstsignierten Stammzertifikat macht.
>createcert SQL Anywhere- Dienstprogramm zum Generieren von X.509 Zertifikaten Version 11.0.1.3330 Verschlüsselungstyp auswählen ((R)SA oder (E)CC): r Länge des RSA-Schlüssels eingeben (512-16384): 1024 Schlüsselpaar generieren... Landescode: CA Bundesland/Kanton: Ontario Ort: Waterloo Organisation: Sybase iAnywhere Organisationseinheit: Engineering Name: Test Certificate Dateipfad des Zertifikats des Signierenden eingeben: Zertifikat ist ein selbstsignierter Stamm Seriennummer [GUID generieren]: Generierte Seriennummer: bfb89a26fb854955954cabc4d056e177 Zertifikat gültig für wie viele Jahre (1-100): 10 Zertifikatbehörde (J/N) [N]: n 1. Digitale Signatur 2. Unleugbarkeit 3. Schlüsselchiffrierung 4. Datenverschlüsselung 5. Schlüsselübereinstimmung 6. Zertifikatsignierung 7. CRL- Signierung 8. Nur verschlüsseln 9. Nur verschlüsseln Schlüsselsyntax [3,4,5]: 3,4,5 Dateipfad zum Speichern des Zertifikats eingeben: cert.pem Dateipfad zum Speichern des privaten Schlüssels eingeben: key.pem Kennwort zum Schutz des privaten Schlüssels eingeben: pwd Dateipfad zum Speichern der Identität eingeben: id.pem |
Um ein Unternehmens-Stammzertifikat zu erstellen (ein Zertifikat, das andere Zertifikate signiert), muss ein selbstsigniertes Zertifikat bei der Zertifikatsbehörde erstellt werden. Die Prozedur ist ähnlich wie die oben gezeigte. Die Antwort auf die Aufforderung der Zertifikatsbehörde muss yes sein und die Wahl für die Rollen muss 6,7 sein (Standard).
Zertifizierungsstelle (J/N) [N]: y 1. Digitale Signatur 2. Unleugbarkeit 3. Schlüsselchiffrierung 4. Datenchiffrierung 5. Schlüsselübereinstimmung 6. Zertifikat- Signierung 7. CRL- Signierung 8. Nur verschlüsseln 9. Nur Entschlüsselung Schlüsselsyntax [6,7]: 6,7 |
| Kommentieren Sie diese Seite in DocCommentXchange. Senden Sie uns Feedback über diese Seite via E-Mail. |
Copyright © 2009, iAnywhere Solutions, Inc. - SQL Anywhere 11.0.1 |