Erstellt X.509-Zertifikate.
Syntaxcreatecert [ -r | -s ]
| Option | Name der Eingabeaufforderung | Beschreibung |
|---|---|---|
| @data | k.A. |
Liest Optionen aus der angegebenen Umgebungsvariablen oder Konfigurationsdatei ein. Siehe Konfigurationsdateien. Wenn Sie Kennwörter oder andere Informationen in der Konfigurationsdatei schützen möchten, wenden Sie das Dienstprogramm zum Verschleiern von Dateien (dbfhide) auf die Konfigurationsdatei an. Siehe Dienstprogramm zum Verschleiern von Dateien (dbfhide). |
| -b value | Länge des RSA-Schlüssels eingeben (512-16384) |
Gibt die Länge des RSA-Schlüssels an. Die Länge kann zwischen 512 und 16384 Bit liegen. Diese Option wird ignoriert, wenn die Option -s angegeben ist. |
| -c filename | Dateipfad des Zertifikats des Signierenden eingeben |
Gibt einen Speicherort und einen Dateinamen für das Zertifikat des Signierenden an. Wenn Sie diese Informationen angeben, ist das generierte Zertifikat ein signiertes Zertifikat. Wenn Sie diese Informationen nicht angeben, ist das generierte Zertifikat ein selbstsigniertes Stammzertifikat. Diese Option wird ignoriert, wenn die Option -r angegeben ist. |
| -ca {0 | 1} | Zertifizierungsstelle FALSE (0) oder TRUE (1) |
Erstellt ein Zertifizierungsstellen-Zertifikat, das zum Signieren anderer Zertifikate verwendet werden kann. Standardmäßig sind Zertifikate keine Zertifizierungsstellen (0). Diese Option wird ignoriert, wenn die Option -r angegeben ist. |
| -ck filename | Dateipfad des privaten Schlüssels des Signierenden eingeben |
Ein Speicherort und ein Dateiname zum Speichern des privaten Schlüssels, der der Zertifikatanforderung zugeordnet ist. Diese Eingabeaufforderung wird nur angezeigt, wenn Sie für die Option -c einen Dateinamen angeben. |
| -co filename | Dateipfad zum Speichern des Zertifikats eingeben |
Schreibt das öffentliche Zertifikat in die angegebene Datei. Geben Sie einen Speicherort und einen Dateinamen zum Speichern des Zertifikats an. Andernfalls wird das Zertifikat nicht gespeichert. Diese Option wird ignoriert, wenn die Option -r angegeben ist. |
| -cp password | Kennwort für den privaten Schlüssel des Signierenden eingeben |
Gibt das Kennwort ein, das verwendet wurde, um den privaten Schlüssel des Signierenden zu verschlüsseln. Dieses Kennwort muss nur angegeben werden, wenn der private Schlüssel verschlüsselt wurde. Diese Option wird ignoriert, wenn die Option -r angegeben ist. |
| -io filename | Dateipfad zum Speichern der Identität eingeben |
Gibt einen Speicherort und einen Dateinamen zum Speichern der generierten Identität an. Diese Option wird ignoriert, wenn die Option -r angegeben ist. |
| -ko filename | Dateipfad zum Speichern des privaten Schlüssels eingeben |
Gibt einen Speicherort und einen Dateinamen zum Speichern des privaten Schlüssels an. |
| -kp password | Kennwort zum Schutz des privaten Schlüssels eingeben |
Gibt ein Kennwort zum Verschlüsseln des privaten Schlüssels an. Wenn Sie kein Kennwort angeben, wird der private Schlüssel nicht verschlüsselt. Diese Option gilt nur, wenn Sie mit der Option -ko einen Dateinamen angeben. |
| -m value | Seriennummer |
Gibt eine Seriennummer an. Die Seriennummer muss eine hexadezimale Zeichenfolge aus 40 Ziffern oder weniger sein. Diese Nummer muss unter allen vom aktuellen Signierenden signierten Zertifikaten eindeutig sein. Wenn Sie keine Seriennummer angeben, generiert createcert eine GUID als Seriennummer. Diese Option wird ignoriert, wenn die Option -r angegeben ist. |
| -p1 | k.A. | Verwendet PKCS #1 statt des Standardwerts PKCS #8, um unverschlüsselte private RSA-Schlüssel zu kodieren. |
| -r | k.A. |
Generiert eine PKCS #10-Zertifikatanforderung. Wenn diese Option angegeben ist, gelten die folgenden Optionen nicht:
|
| -ro filename | Dateipfad zum Speichern der Anforderung |
Gibt einen Speicherort und einen Dateinamen zum Speichern der PCKS #10-Zertifikatanforderung an. Diese Option gilt nur, wenn Sie die Option -r angeben. |
| -s filename | k.A. |
Gibt den Speicherort und den Dateinamen der zu signierenden PKCS10-Zertifikatanforderung an. Die Zertifikatanforderung kann DER- oder PEM-kodiert sein. Wenn diese Option angegeben ist, gelten die folgenden Optionen nicht:
|
| -sa value | k.A. |
Legt fest, welcher der folgenden Signaturalgorithmen verwendet werden soll: sha1, sha256, sha384 oder sha512. Der Standardalgorithmus ist sha256. |
| -sc value | Betreffinformationen |
Gibt den Landescode für den Betreff an. Diese Option wird ignoriert, wenn die Option -s angegeben ist. |
| -scn value | Betreffinformationen |
Gibt den Namen für den Betreff an. Diese Option wird ignoriert, wenn die Option -s angegeben ist. |
| -sl value | Betreffinformationen |
Gibt den Ort für den Betreff an. Diese Option wird ignoriert, wenn die Option -s angegeben ist. |
| -so value | Betreffinformationen |
Gibt die Organisation für den Betreff an. Diese Option wird ignoriert, wenn die Option -s angegeben ist. |
| -sou value | Betreffinformationen |
Gibt die Organisationseinheit für den Betreff an. Diese Option wird ignoriert, wenn die Option -s angegeben ist. |
| -sst value | Betreffinformationen |
Gibt das Bundesland bzw. den Kanton für den Betreff an. Diese Option wird ignoriert, wenn die Option -s angegeben ist. |
| -t type | Verschlüsselungstyp wählen ((R)SA oder (E)CC) |
Gibt den Verschlüsselungstyp an. Geben Sie RSA an. Diese Option wird ignoriert, wenn die Option -s angegeben ist. |
| -u value,... | Schlüsselsyntax |
Gibt an, wie das Zertifikat verwendet werden soll. Geben Sie eine kommagetrennte Liste von Zahlen an, die festlegen, wie der private Schlüssel des Zertifikats verwendet werden kann. Dies ist eine erweiterte Option. Der Standardwert sollte in den meisten Fällen akzeptabel sein. Der Standardwert hängt davon ab, ob das Zertifikat eine Zertifizierungsstelle ist. Der Standardwert für ein Zertifikat mit Zertifizierungsstelle ist 6,7. Der Standardwert für ein Zertifikat ohne Zertifizierungsstelle ist 3,4,5. Diese Option wird ignoriert, wenn die Option -r angegeben ist. Werte sind:
|
| -v years | Zertifikat gültig für wie viele Jahre (1-100) |
Gibt die Anzahl der Jahre (zwischen 1 und 100) an, die das Zertifikat gültig ist. Nach diesem Zeitraum läuft das Zertifikat, zusammen mit allen von ihm signierten Zertifikaten, ab. Diese Option wird ignoriert, wenn die Option -r angegeben ist. |
| -x | k.A. |
Generiert ein selbstsigniertes Zertifikat. Diese Option wird ignoriert, wenn die Option -r angegeben ist. |
PrivilegienKeine.
BemerkungenBenutzer wenden sich normalerweise an Drittanbieter, um Zertifikate zu erwerben. Diese Zertifizierungsstellen stellen ihre eigenen Tools zur Erstellung von Zertifikaten zur Verfügung. Die folgenden Tools sind möglicherweise bei der Erstellung von Zertifikaten für Entwicklungs- und Testzwecke besonders nützlich und können auch für Produktionszertifikate verwendet werden.
Um ein signiertes Zertifikat zu erstellen, können Sie keine Optionen angeben und sich von createcert zur Eingabe der erforderlichen Werte auffordern lassen. Sie können auch die erforderlichen Optionen für Ihr Zertifikat angeben.
Wenn Sie den Prozess in zwei Schritte aufteilen möchten, damit z.B. eine Person eine Anforderung erstellt und eine zweite sie signiert, kann die erste Person createcert mit der Option -r ausführen, um die Anforderung zu erstellen, und die zweite Person kann createcert mit der Option -s ausführen, um die Anforderung zu signieren.
Wenn Sie ein Unternehmensstammzertifikat (ein Zertifikat, das andere Zertifikate signiert) erstellen möchten, ist es empfehlenswert, das selbstsignierte Stammzertifikat mit Zertifizierungsstelle zu erstellen und die Standardsignierung zu verwenden. Geben Sie beispielsweise y für die Option -ca an und 6,7 für die Option -u.
Wenn Sie ein Unternehmensstammzertifikat (ein Zertifikat, das andere Zertifikate signiert) generieren möchten, ist es empfehlenswert, das selbstsignierte Stammzertifikat mit Zertifizierungsstelle zu erstellen und die Standardsignierung zu verwenden.
BeispielIm folgenden Beispiel wird ein selbstsigniertes Zertifikat mit den folgenden Merkmalen erstellt:
1024-Bit-RSA-Schlüssel
Generierte Seriennummer
Gültig für 5 Jahre
Keine Zertifizierungsstelle
Verwendet für Schlüsselchiffrierung, Datenchiffrierung und Schlüsselübereinstimmung
Privater Schlüssel mit dem Kennwort "sql"
createcert.exe -t rsa -b 1024 -sc CA -sst ON -sl Waterloo -so MyOrganizationalUnit -sou MyCompany -scn test -x -m 0 -v 5 -ca 0 -u 3,4,5 -co root-cert.pem -ko root-key.pem -io root-id.pem -kp sql |
Im folgenden Beispiel wird ein durch Zertifizierungsstellenschlüssel signiertes Zertifikat mit den folgenden Merkmalen erstellt:
1024-Bit-RSA-Schlüssel
Generierte Seriennummer
Gültig für 5 Jahre
Keine Zertifizierungsstelle
Verwendet für Schlüsselchiffrierung, Datenchiffrierung und Schlüsselübereinstimmung
Privater Schlüssel mit dem Kennwort "sql":
createcert.exe -t rsa -b 1024 -sc CA -sst ON -sl Waterloo -so MyOrganizationalUnit -sou MyCompany -scn test -c ca-cert.pem -ck ca-key.pem -cp cakeypass -m 0 -v 5 -ca 0 -u 3,4,5 -co root-cert.pem -ko root-key.pem -io root-id.pem -kp sql |
Das folgende Beispiel erstellt ein signiertes Zertifikat. Da in diesem Beispiel kein Dateiname für das Zertifikat des Signierenden angegeben wird, handelt es sich um ein selbstsigniertes Stammzertifikat.
createcert SQL Anywhere-Dienstprogramm zum Generieren von X.509-Zertifikaten Version 16.0.3330 Verschlüsselungstyp wählen ((R)SA oder (E)CC): r Länge des RSA-Schlüssels eingeben (512-16384): 1024 Schlüsselpaar wird generiert... Landescode: CA Bundesland/Kanton: Ontario Ort: Waterloo Organisation: Sybase iAnywhere Organisationseinheit: Engineering Name: Test Certificate Dateipfad des Zertifikats des Signierenden eingeben: Zertifikat ist ein selbstsignierter Stamm Seriennummer [GUID generieren]: Generierte Seriennummer: bfb89a26fb854955954cabc4d056e177 Zertifikat gültig für wie viele Jahre (1-100): 10 Zertifizierungsstelle (J/N) [N]: n 1. Digitale Signatur 2. Unleugbarkeit 3. Schlüsselchiffrierung 4. Datenverschlüsselung 5. Schlüsselübereinstimmung 6. Zertifikatsignierung 7. CRL-Signierung 8. Nur verschlüsseln 9. Nur entschlüsseln Schlüsselsyntax [3,4,5]: 3,4,5 Dateipfad zum Speichern des Zertifikats eingeben: cert.pem Dateipfad zum Speichern des privaten Schlüssels eingeben: key.pem Kennwort zum Schutz des privaten Schlüssels eingeben: pwd Dateipfad zum Speichern der Identität eingeben: id.pem |
Im folgenden Beispiel wird ein Unternehmensstammzertifikat (ein Zertifikat, das andere Zertifikate signiert) erstellt, bei dem es sich um ein selbstsigniertes Stammzertifikat mit Zertifizierungsstelle handelt und für das die Standardsignierung verwendet wird. Die Antwort auf die Eingabeaufforderung Zertifizierungsstelle bzw. die Option -ca sollte y sein und die Antwort auf die Eingabeaufforderung Schlüsselsyntax bzw. die Option -u 6,7 (Standardeinstellung).
Zertifizierungsstelle (J/N) [N]: y 1. Digitale Signatur 2. Unleugbarkeit 3. Schlüsselchiffrierung 4. Datenchiffrierung 5. Schlüsselübereinstimmung 6. Zertifikatsignierung 7. CRL-Signierung 8. Nur verschlüsseln 9. Nur entschlüsseln Schlüsselsyntax [6,7]: 6,7 |
Siehe auch |
Kommentieren Sie diese Seite in DocCommentXchange.
|
Copyright © 2013, SAP AG oder ein SAP-Konzernunternehmen. - SAP Sybase SQL Anywhere 16.0 |