sechkey 实用程序-配置 X.509 证书

sechkey 实用程序可配置 CA ControlMinder 用来验证组件之间通讯的根证书和服务器证书。
cminder12901cn
sechkey 实用程序可配置 CA ControlMinder 用来验证组件之间通讯的根证书和服务器证书。
可以使用 sechkey 实用程序执行以下任务:
  • 将 CA ControlMinder 配置为使用第三方根证书和服务器证书,包括 OU 密码保护的证书
  • 从第三方根证书创建服务器证书
  • 将受密码保护的证书的密码保存在计算机上
在使用 sechkey 配置 X.509 证书之前,必须先停止 CA ControlMinder。 必须具有 ADMIN 属性才能使用 sechkey。
注意:
如果 CA ControlMinder 正以仅 FIPS 模式运行,则您无法使用受密码保护的证书。 crypto 部分中 fips_only 配置标记的值为 1 时,CA ControlMinder 以仅 FIPS 模式运行。 此限制将防止您使用不符合 FIPS 的方法在证书内加密密码。
此命令采用以下格式来创建 X.509 根证书或服务器证书:
sechkey -e {-ca|-sub [-priv privfilepath]} [-in infilepath] [-out outfilepath] [-capwd password] [-subpwd password]
此命令采用以下格式来使用 OU 密码保护的服务器证书:
sechkey -g {-subpwd password | -verify}
  • -ca
    指定 sechkey 创建用作 CA(根)证书的自签名证书。
    sechkey 将证书和私钥存储在由 crypto 部分中的 ca_certificate 配置设置所定义的 PEM 文件中。
  • -capwd
    password
    指定 sechkey 用来生成服务器(主题)证书的根证书的私钥密码。
  • -e
    指定 sechkey 创建 X.509 证书。
  • -g
    指定 CA ControlMinder 使用第三方服务器证书。 将第三方服务器证书保存在 crypto 部分中的 subject_certificate 配置设置所指定的位置,或者编辑 crypto 部分中 subject_certificate 配置设置的值,以指定第三方服务器证书的完整路径。
    注意:
    如果在新目录中安装服务器证书,请编写 CA ControlMinder FILE 规则以保护新目录。
  • -in
    infilepath
    指定包含证书信息的输入文件。 如果未指定 -in,则 sechkey 将从标准输入读取信息。
    sechkey 需要以下信息来创建证书:
    • 序列号
    • 主题
    • 不早于(证书的第一个有效日)
    • 结束日期(证书的最后一个有效日)
    sechkey 可以使用以下信息,但不是强制性的信息:
    • 电子邮件
    • URI(通常称为 URL)
    • DNS 名称
    • IP 地址
  • -out
    outfilepath
    指定放置证书信息的输出文件。 输出文件是输入信息的副本。 如果未指定 -out,则 sechkey 将不复制输入信息。
  • -priv
    privfilepath
    指定存放与证书关联的私钥的文件。 此选项仅与 -sub 选项一起使用时有效。
  • -sub
    指定 sechkey 创建服务器(主题)证书。
    sechkey 将证书和私钥存储在由 crypto 部分中的 subject_certificate 配置设置所定义的 PEM 文件中。
    如果不指定 -priv,crypto 部分中的 private_key 配置设置将定义用于保存与证书相关联的私钥的文件。
    如果创建受密码保护的服务器证书,sechkey 不会对证书进行加密。 如果创建了不受密码保护的服务器证书,sechkey 将使用 AES256 和 CA ControlMinder 加密密钥加密证书。
  • -subpwd
    password
    指定服务器(主题)证书的私钥的密码。 sechkey 将密码存储在
    ACInstallDir
    /Data/crypto 目录下的 crypto.dat 文件中,其中
    ACInstallDir
    是 CA ControlMinder 的安装目录。 crypto.dat 文件为隐藏、加密、只读,且受 CA ControlMinder 保护。 如果停止 CA ControlMinder,则只有超级用户可以访问密码。
  • -verify
    验证 CA ControlMinder 是否可以使用存储的密码打开受密码保护的服务器密钥。
示例:从 OU 密码保护的第三方根证书创建服务器证书
以下命令将使用以下值从 OU 密码保护的第三方根证书创建服务器证书:
  • 包含证书信息的输入文件的路径是 C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info
  • 根证书私钥的路径是 C:\Program Files\CA\AccessControl\data\crypto\ca.key
  • 根证书私钥的密码是 P@ssw0rd
sechkey -e -sub -in "C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info" -priv "C:\Program Files\CA\AccessControl\data\crypto\ca.key" -capwd P@ssw0rd
示例:输入文件
下面是包含证书信息的输入文件的示例:
SERIAL: 00-15-58-C3-5E-4B SUBJECT: CN=192.168.0.1 NOTBEFORE: "12/31/08" NOTAFTER: "12/31/09" E-MAIL: [email protected] URI: http://www.example.com DNS: 168.192.0.100 IP: 168.192.0.1