Erstellt X.509-Zertifikate.
Syntaxcreatecert [ -r | -s ]
| Option | Name der Eingabeaufforderung | Beschreibung |
|---|---|---|
| @data | k.A. |
Liest Optionen aus der angegebenen Umgebungsvariablen oder Konfigurationsdatei ein. Siehe Konfigurationsdateien. Wenn Sie Kennwörter oder andere Informationen in der Konfigurationsdatei schützen möchten, können Sie den Inhalt der Konfigurationsdatei mithilfe des dbfhide-Dienstprogramms verschleiern. Siehe Dienstprogramm zum Verschleiern von Dateien (dbfhide). |
| -b value | Länge des RSA-Schlüssels eingeben (512-16384) |
Gibt die Länge des RSA-Schlüssels an. Die Länge kann zwischen 512 und 16384 Bit liegen. Diese Option ist nur erforderlich, wenn die Option -r angegeben ist und für die Option -t der Wert "RSA" angegeben wurde. |
| -c filename | Dateipfad des Zertifikats des Signierenden eingeben |
Gibt einen Speicherort und einen Dateinamen für das Zertifikat des Signierenden an. Wenn Sie diese Informationen angeben, ist das generierte Zertifikat ein signiertes Zertifikat. Wenn Sie diese Information nicht angeben, ist das generierte Zertifikat ein selbstsigniertes Stammzertifikat. Diese Option gilt nur, wenn die Option -s angegeben ist. |
| -ca y | n | Zertifizierungsstelle (j)a oder (n)ein |
Erstellt ein Zertifizierungsstellen-Zertifikat, das zum Signieren anderer Zertifikate verwendet werden kann. Standardmäßig sind Zertifikate keine Zertifizierungsstellen (n). Diese Option gilt nur, wenn die Option -s angegeben ist. |
| -ck filename | Dateipfad des privaten Schlüssels des Signierenden eingeben |
Geben Sie einen Speicherort und einen Dateinamen zum Speichern des privaten Schlüssels an, der der Zertifikatanforderung zugeordnet ist. Diese Eingabeaufforderung wird nur angezeigt, wenn Sie für die Option -c einen Dateinamen eingegeben haben. Diese Option gilt nur, wenn Sie die Option -s angeben und für die Option -c einen Dateinamen eingeben. |
| -co filename | Dateipfad zum Speichern des Zertifikats eingeben |
Schreibt das öffentliche Zertifikat in die angegebene Datei. Geben Sie einen Speicherort und einen Dateinamen zum Speichern des Zertifikats an. Das Zertifikat wird nicht gespeichert, wenn Sie dies nicht tun. Diese Option gilt nur, wenn die Option -s angegeben ist. |
| -cp password | Kennwort für den privaten Schlüssel des Signierenden eingeben |
Gibt das Kennwort ein, das verwendet wurde, um den privaten Schlüssel des Signierenden zu verschlüsseln. Dieses Kennwort muss nur angegeben werden, wenn der private Schlüssel verschlüsselt wurde. Diese Option gilt nur, wenn die Option -s angegeben ist. |
| -ec curve | ECC-Kurve eingeben |
Diese Option gilt nur, wenn Sie eine Lizenz für ECC-Verschlüsselung erworben und für die Option -t den Wert "ECC" gewählt haben. Der Standardwert ist secp521r1. Diese Option gilt nur, wenn die Option -r angegeben ist. Die folgenden ECC-Kurven werden unterstützt:
Die dreistellige Zahl im Kurvennamen steht für die Bitgröße der Kurve. Die Verschlüsselungsstärke einer Kurve entspricht ungefähr einem halb so großen AES-Schlüssel. Beispiel: Eine 512-Bit ECC-Kurve würde dieselbe Stärke haben wie ein 256-Bit-AES-Schlüssel. |
| -io filename | Dateipfad zum Speichern der Identität eingeben |
Gibt einen Speicherort und einen Dateinamen zum Speichern der generierten Identität an. Diese Option gilt nur, wenn die Option -s angegeben ist. |
| -ko filename | Dateipfad zum Speichern des privaten Schlüssels eingeben |
Gibt einen Speicherort und einen Dateinamen zum Speichern des privaten Schlüssels an. |
| -kp password | Kennwort zum Schutz des privaten Schlüssels eingeben |
Gibt ein Kennwort zum Verschlüsseln des privaten Schlüssels an. Wenn Sie kein Kennwort angeben, wird der private Schlüssel nicht verschlüsselt. Diese Eingabeaufforderung wird nur angezeigt, wenn Sie für die Option -ko einen Dateinamen eingegeben haben. |
| -m value | Seriennummer |
Gibt eine Seriennummer an. Die Seriennummer muss eine hexadezimale Zeichenfolge aus 40 Ziffern oder weniger sein. Diese Nummer muss unter allen vom aktuellen Signierenden signierten Zertifikaten eindeutig sein. Wenn Sie keine Seriennummer angeben, generiert createcert eine GUID als Seriennummer. Diese Option gilt nur, wenn die Option -s angegeben ist. |
| -r | k.A. |
Generiert ein PKCS10-Zertifikat. Wenn diese Option angegeben ist, gelten die folgenden Optionen nicht:
|
| -ro filename | Dateipfad zum Speichern der Anforderung |
Gibt einen Speicherort und einen Dateinamen zum Speichern des PCKS10-Zertifikats an. Diese Option gilt nur, wenn Sie die Option -r angeben. |
| -s filename | k.A. |
Gibt den Speicherort und den Dateinamen der zu signierenden PKCS10-Zertifikatanforderung an. Die Zertifikatanforderung kann DER- oder PEM-kodiert sein. Wenn diese Option angegeben ist, gelten die folgenden Optionen nicht:
|
| -sc value | Betreffinformationen |
Gibt den Landescode für den Betreff an. Diese Option gilt nur, wenn die Option -r angegeben ist. |
| -scn value | Betreffinformationen |
Gibt den Namen für den Betreff an. Diese Option gilt nur, wenn die Option -r angegeben ist. |
| -sl value | Betreffinformationen |
Gibt den Ort für den Betreff an. Diese Option gilt nur, wenn die Option -r angegeben ist. |
| -so value | Betreffinformationen |
Gibt die Organisation für den Betreff an. Diese Option gilt nur, wenn die Option -r angegeben ist. |
| -sou value | Betreffinformationen |
Gibt die Organisationseinheit für den Betreff an. Diese Option gilt nur, wenn die Option -r angegeben ist. |
| -sst value | Betreffinformationen |
Gibt das Bundesland bzw. den Kanton für den Betreff an. Diese Option gilt nur, wenn die Option -r angegeben ist. |
| -t type | Verschlüsselungstyp wählen ((R)SA oder (E)CC) |
Gibt den Verschlüsselungstyp an. Wenn Sie eine Lizenz für ECC-Verschlüsselung erworben haben, geben Sie den Verschlüsselungstyp an. Sie müssen RSA oder ECC angeben. Diese Option gilt nur, wenn die Option -r angegeben ist. |
| -u value,... | Schlüsselsyntax |
Gibt an, wie das Zertifikat verwendet werden soll. Geben Sie eine kommagetrennte Liste von Zahlen an, die festlegen, wie der private Schlüssel des Zertifikats verwendet werden kann. Dies ist eine erweiterte Option, und der Standardwert sollte in den meisten Fällen akzeptabel sein. Der Standardwert hängt davon ab, ob das Zertifikat eine Zertifizierungsstelle ist. Der Standardwert für ein Zertifikat mit Zertifizierungsstelle ist 6,7. Der Standardwert für ein Zertifikat ohne Zertifizierungsstelle ist 3,4,5. Diese Option gilt nur, wenn die Option -s angegeben ist. Werte sind:
|
| -v years | Zertifikat gültig für wie viele Jahre (1-100) |
Gibt die Anzahl der Jahre (zwischen 1 und 100) an, die das Zertifikat gültig ist. Nach diesem Zeitraum läuft das Zertifikat, zusammen mit allen von ihm signierten Zertifikaten, ab. Diese Option gilt nur, wenn die Option -s angegeben ist. |
| -x | k.A. |
Generiert ein selbstsigniertes Zertifikat. Diese Option gilt nur, wenn die Option -s angegeben ist. |
BemerkungenBenutzer wenden sich üblicherweise an Dritthersteller, um Zertifikate zu erwerben. Diese Zertifizierungsstellen stellen ihre eigenen Tools zur Erstellung von Zertifikaten zur Verfügung. Die folgenden Tools sind möglicherweise bei der Erstellung von Zertifikaten für Entwicklungs- und Testzwecke besonders nützlich und können auch für Produktionszertifikate verwendet werden.
Eine Möglichkeit, ein signiertes Zertifikat zu erstellen, besteht darin, dass Sie keine Optionen angeben und sich von createcert zur Eingabe der erforderlichen Werte auffordern lassen. Sie können auch die erforderlichen Optionen für Ihr Zertifikat angeben.
Wenn Sie den Prozess in zwei Schritte aufgliedern wollen, damit z.B. eine Person eine Anforderung erstellt und eine zweite sie signiert, kann die erste Person createcert mit der Option -r ausführen, um die Anforderung zu erstellen, während die zweite Person die Anforderung signieren kann, indem sie createcert mit der Option -s ausführt.
Wenn Sie ein Unternehmensstammzertifikat (ein Zertifikat, das andere Zertifikate signiert) erstellen möchten, ist es empfehlenswert, das selbstsignierte Stammzertifikat mit Zertifizierungsstelle zu erstellen und den Standardwert für das Signieren zu verwenden. Geben Sie beispielsweise y für die Option -ca an und 6,7 für die Option -u.
Wenn Sie ein Unternehmensstammzertifikat (ein Zertifikat, das andere Zertifikate signiert) generieren möchten, ist es empfehlenswert, das selbstsignierte Stammzertifikat mit Zertifizierungsstelle zu erstellen und den Standardwert für das Signieren zu verwenden.
Siehe auch BeispielIm folgenden Beispiel wird ein selbstsigniertes Zertifikat mit den folgenden Merkmalen erstellt:
1024-Bit-RSA-Schlüssel
Generierte Seriennummer
Gültig für 5 Jahre
Keine Zertifizierungsstelle
Verwendet für Schlüsselchiffrierung, Datenchiffrierung und Schlüsselübereinstimmung
Privater Schlüssel mit dem Kennwort "sql":
createcert.exe -t rsa -b 1024 -sc CA -sst ON -sl Waterloo -so MyOrganizationalUnit -sou MyCompany -scn test -x -m 0 -v 5 -ca 0 -u 3,4,5 -co root-cert.pem -ko root-key.pem -io root-id.pem -kp sql |
Im folgenden Beispiel wird ein selbstsigniertes Zertifikat mit den folgenden Merkmalen erstellt:
ECC sect283ra-Schlüssel
Generierte Seriennummer
Gültig für 2 Jahre
Zertifizierungsstelle (kann andere Zertifikate signieren)
Verwendet für Schlüsselchiffrierung, Datenchiffrierung, Schlüsselübereinstimmung und Zertifikatsignierung
Privater Schlüssel mit dem Kennwort "sql":
createcert.exe -t ecc -ec sect283ra -sc CA -sst ON -sl Waterloo -so MyOrganizationalUnit -sou MyCompany -scn test -x -m 0 -v 2 -ca 1 -u 3,4,5,6 -co root-cert.pem -ko root-key.pem -io root-id.pem -kp sql |
Im folgenden Beispiel wird ein durch Zertifizierungsstellenschlüssel signiertes Zertifikat mit den folgenden Merkmalen erstellt:
1024-Bit-RSA-Schlüssel
Generierte Seriennummer
Gültig für 5 Jahre
Keine Zertifizierungsstelle
Verwendet für Schlüsselchiffrierung, Datenchiffrierung und Schlüsselübereinstimmung
Privater Schlüssel mit dem Kennwort "sql":
createcert.exe -t rsa -b 1024 -sc CA -sst ON -sl Waterloo -so MyOrganizationalUnit -sou MyCompany -scn test -c ca-cert.pem -ck ca-key.pem -cp cakeypass -m 0 -v 5 -ca 0 -u 3,4,5 -co root-cert.pem -ko root-key.pem -io root-id.pem -kp sql |
Das folgende Beispiel erstellt ein signiertes Zertifikat. Da in diesem Beispiel kein Dateiname für das Zertifikat des Signierenden angegeben wird, handelt es sich um ein selbstsigniertes Stammzertifikat.
createcert SQL Anywhere-Dienstprogramm zum Generieren von X.509-Zertifikaten Version 12.0.1.3330 Verschlüsselungstyp wählen ((R)SA oder (E)CC): r Länge des RSA-Schlüssels eingeben (512-16384): 1024 Schlüsselpaar wird generiert... Landescode: CA Bundesland/Kanton: Ontario Ort: Waterloo Organisation: Sybase iAnywhere Organisationseinheit: Engineering Name: Test Certificate Dateipfad des Zertifikats des Signierenden eingeben: Zertifikat ist ein selbstsignierter Stamm Seriennummer [GUID generieren]: Generierte Seriennummer: bfb89a26fb854955954cabc4d056e177 Zertifikat gültig für wie viele Jahre (1-100): 10 Zertifizierungsstelle (J/N) [N]: n 1. Digitale Signatur 2. Unleugbarkeit 3. Schlüsselchiffrierung 4. Datenverschlüsselung 5. Schlüsselübereinstimmung 6. Zertifikatsignierung 7. CRL-Signierung 8. Nur verschlüsseln 9. Nur entschlüsseln Schlüsselsyntax [3,4,5]: 3,4,5 Dateipfad zum Speichern des Zertifikats eingeben: cert.pem Dateipfad zum Speichern des privaten Schlüssels eingeben: key.pem Kennwort zum Schutz des privaten Schlüssels eingeben: pwd Dateipfad zum Speichern der Identität eingeben: id.pem |
Im folgenden Beispiel wird ein Unternehmensstammzertifikat (ein Zertifikat, das andere Zertifikate signiert) erstellt, bei dem es sich um ein selbstsigniertes Stammzertifikat mit Zertifizierungsstelle handelt und das den Standardwert für das Signieren verwendet. Die Antwort auf die Eingabeaufforderung Zertifizierungsstelle bzw. die Option -ca sollte y sein und die Antwort auf die Eingabeaufforderung Schlüsselsyntax bzw. die Option -u 6,7 (Standardeinstellung).
Zertifizierungsstelle (J/N) [N]: y 1. Digitale Signatur 2. Unleugbarkeit 3. Schlüsselchiffrierung 4. Datenchiffrierung 5. Schlüsselübereinstimmung 6. Zertifikatsignierung 7. CRL-Signierung 8. Nur verschlüsseln 9. Nur entschlüsseln Schlüsselsyntax [6,7]: 6,7 |
 |
Kommentieren Sie diese Seite in DocCommentXchange.
|
Copyright © 2012, iAnywhere Solutions, Inc. - SQL Anywhere 12.0.1 |