创建 X.509 证书。
语法createcert [ -r | -s ]
| 选项 | 提示名称 | 说明 |
|---|---|---|
| @data | N/A |
读取来自指定的环境变量或配置文件的选项。请参见配置文件。 如果要保护口令或配置文件中的其它信息,可以使用文件隐藏实用程序 (dbfhide) 对配置文件的内容进行模糊处理。 请参见文件隐藏实用程序 (dbfhide)。 |
| -b value | 输入 RSA 密钥长度 (512-16384) |
指定 RSA 密钥长度。长度介于 512 位与 16384 位之间。 指定 -r 选项并为 -t 选项指定 RSA 后,才需要此选项。 |
| -c filename | 输入签署者的证书的文件路径 |
指定签署者的证书的位置和文件名。 如果提供此信息,所生成的证书就是一个签名证书。如果未提供此信息,所生成的证书就是一个自签名根证书。 此选项仅适用于指定 -s 选项的情况。 |
| -ca y | n | 是 (y) 否 (n) 是证书颁发机构 |
创建一个可用于签署其它证书的证书颁发机构证书。缺省情况下,证书不是证书颁发机构 (n)。 此选项仅适用于指定 -s 选项的情况。 |
| -ck filename | 输入签署者的专用密钥的文件路径 |
指定用于保存与证书请求关联的专用密钥的位置和文件名。只有指定了 -c 选项的文件名,此选项提示才会出现。 此选项仅适用于指定 -s 选项并为 -c 选项提供文件名的情况。 |
| -co filename | 输入文件路径以保存证书 |
将公共证书写入指定文件中。 指定保存证书的位置和文件名。除非指定位置和文件名,否则证书不会被保存。 此选项仅适用于指定 -s 选项的情况。 |
| -cp password | 输入签署者的专用密钥的口令 |
指定加密签署者的专用密钥时所使用的口令。 只有在加密专用密钥时才指定此口令。 此选项仅适用于指定 -s 选项的情况。 |
| -ec curve | 输入 ECC 曲线 |
此选项仅适用于已购买用于 ECC 加密的许可并为 -t 选项选择 ECC 的情况。缺省值为 secp521r1。 此选项仅适用于指定 -r 选项的情况。 支持以下 ECC 曲线:
曲线名中的三位数字代表曲线的位数。曲线的加密强度约等于其一半大小的 AES 密钥。例如,512 位 ECC 曲线的加密强度应与 256 位 AES 密钥相同。 |
| -io filename | 输入文件路径以保存标识 |
指定保存生成标识的位置和文件名 此选项仅适用于指定 -s 选项的情况。 |
| -ko filename | 输入文件路径以保存专用密钥 |
指定保存专用密钥的位置和文件名。 |
| -kp password | 输入口令以保护专用密钥 |
指定用来加密专用密钥的口令。 如果不指定口令,则专用密钥不会被加密。此选项仅在指定了 -ko 选项的文件名后出现。 |
| -m value | 序列号 |
指定序列号。序列号必须为不长于 40 位的十六进制字符串。此数字在当前签署者签署的所有证书中必须是唯一的。如果未指定序列号,createcert 将生成一个 GUID 作为序列号。 此选项仅适用于指定 -s 选项的情况。 |
| -r | N/A |
生成 PKCS10 证书。 指定此选项后,以下选项不适用:
|
| -ro filename | 保存请求的文件路径 |
指定用于保存 PCKS10 证书的位置和文件名。 此选项仅适用于指定 -r 选项的情况。 |
| -s filename | N/A |
指定要签名的 PKCS10 证书请求的位置和文件名。证书请求可以是采用 DER 或 PEM 编码的。指定此选项后,以下选项不适用:
|
| -sc value | 主题信息 |
指定主题国家/地区代码。 此选项仅适用于指定 -r 选项的情况。 |
| -scn value | 主题信息 |
指定主题公用名。 此选项仅适用于指定 -r 选项的情况。 |
| -sl value | 主题信息 |
指定主题地点。 此选项仅适用于指定 -r 选项的情况。 |
| -so value | 主题信息 |
指定主题组织。 此选项仅适用于指定 -r 选项的情况。 |
| -sou value | 主题信息 |
指定主题组织单位。 此选项仅适用于指定 -r 选项的情况。 |
| -sst value | 主题信息 |
指定主题状态。 此选项仅适用于指定 -r 选项的情况。 |
| -t type | 选择加密类型 |
指定加密类型。如果已购买用于 ECC 加密的许可,请指定加密类型。指定 RSA 或 ECC。 此选项仅适用于指定 -r 选项的情况。 |
| -u 值... | 密钥用法 |
指定证书的使用方式。 指定一个以逗号分隔的数字列表,指示如何使用证书的专用密钥。这是一个高级选项;大多数情况下应可接受缺省值。该缺省值取决于证书是否是证书颁发机构。证书是证书颁发机构时的缺省值为 6,7。证书不是证书颁发机构时的缺省值为 3,4,5。 此选项仅适用于指定 -s 选项的情况。 值包括:
|
| -v 年 | 证书有效年数 (1-100) |
指定证书的有效年数(介于 1 和 100 之间)。在此期限后,该证书及其签署的所有证书都将到期。 此选项仅适用于指定 -s 选项的情况。 |
| -x | N/A |
生成自签名证书。 此选项仅适用于指定 -s 选项的情况。 |
注释用户通常会向第三方购买证书。这些证书颁发机构提供其自己用于创建证书的工具。以下工具会对创建用于开发和测试目的的证书十分有用,但也可以用于创建生产证书。
要创建签名证书,您可以不指定任何选项,而是按 createcert 提示输入所需值。或者,您也可以为证书指定所需选项。
如果要将这一过程分解为两个步骤,例如由一个人创建请求,而由另一个人签署请求,则第一个人可以运行带 -r 的 createcert 来创建请求,而第二个人可以通过运行带 -s 的 createcert 来签署该请求。
要创建企业根证书(用于签署其它证书的证书),推荐使用证书颁发机构创建自签名根证书并使用缺省签名。例如,为 -ca 选项指定 y,并为 -u 选项指定 6,7。
要生成企业根证书(用于签署其它证书的证书),推荐使用证书颁发机构创建自签名根证书并使用缺省签名。
另请参见 示例以下示例将创建一个具有以下特性的自签名证书:
1024 位 RSA 密钥
生成的序列号
有效期为 5 年
不是证书颁发机构
用于密钥加密、数据加密和密钥协议。
口令为 sql 的专用密钥:
createcert.exe -t rsa -b 1024 -sc CA -sst ON -sl Waterloo -so MyOrganizationalUnit -sou MyCompany -scn test -x -m 0 -v 5 -ca 0 -u 3,4,5 -co root-cert.pem -ko root-key.pem -io root-id.pem -kp sql |
以下示例将创建一个具有以下特性的自签名证书:
ECC sect283ra 密钥
生成的序列号
有效期为 2 年
证书颁发机构(可以签署其它证书)
用于密钥加密、数据加密和密钥协议和证书签名。
口令为 sql 的专用密钥:
createcert.exe -t ecc -ec sect283ra -sc CA -sst ON -sl Waterloo -so MyOrganizationalUnit -sou MyCompany -scn test -x -m 0 -v 2 -ca 1 -u 3,4,5,6 -co root-cert.pem -ko root-key.pem -io root-id.pem -kp sql |
以下示例将创建一个由证书颁发机构密钥签名的证书,该证书具有以下特性:
1024 位 RSA 密钥
生成的序列号
有效期为 5 年
不是证书颁发机构
用于密钥加密、数据加密和密钥协议。
口令为 sql 的专用密钥:
createcert.exe -t rsa -b 1024 -sc CA -sst ON -sl Waterloo -so MyOrganizationalUnit -sou MyCompany -scn test -c ca-cert.pem -ck ca-key.pem -cp cakeypass -m 0 -v 5 -ca 0 -u 3,4,5 -co root-cert.pem -ko root-key.pem -io root-id.pem -kp sql |
以下示例将创建一个签名证书。在该示例中,由于没有为签署者的证书提供文件名,该证书就成为一个自签名根证书。
createcert SQL Anywhere X.509 证书生成器版本 12.0.1.3330 选择加密类型((R)SA 或 (E)CC):r 输入 RSA 密钥长度 (512-16384):1024 正在生成密钥对...国家/地区代码:CA 省/直辖市/自治区:Ontario 地点:Waterloo 组织:Sybase iAnywhere 组织单位:Engineering 公用名:Test Certificate 输入签署者的证书的文件路径: 证书将是自签名根序列号 [生成 GUID]: 生成的序列号:bfb89a26fb854955954cabc4d056e177 证书有效年数 (1-100):10 证书颁发机构 (Y/N) [N]:n 1. 数字签名 2. 不可否认性 3. 密钥加密 4. 数据加密 5. 密钥协议 6. 证书签名 7. CRL 签名 8. 仅加密 9. 仅解密密钥用法 [3,4,5]:3,4,5 输入文件路径以保存证书:cert.pem 输入文件路径以保存专用密钥:key.pem 输入口令以保护专用密钥:pwd 输入文件路径以保存标识: id.pem |
以下示例将创建一个企业根证书(用于签署其它证书的证书),该证书为使用证书颁发机构的自签名根证书并使用缺省签名。对 [证书颁发机构] 提示或 -ca 选项的答复应为 y,对 [密钥用法] 提示或 -u 选项的答复应为 6,7(缺省值)。
证书颁发机构 (Y/N) [N]:y 1. 数字签名 2. 不可否认性 3. 密钥加密 4. 数据加密 5. 密钥协议 6. 证书签名 7. CRL 签名 8. 仅加密 9. 仅解密密钥用法 [6,7]: 6,7 |
 |
使用DocCommentXchange讨论此页。
|
版权 © 2012, iAnywhere Solutions, Inc. - SQL Anywhere 12.0.1 |