sechkey 实用程序-配置 X.509 证书
sechkey 实用程序可配置 CA ControlMinder 用来验证组件之间通讯的根证书和服务器证书。
cminder12901cn
sechkey 实用程序可配置 CA ControlMinder 用来验证组件之间通讯的根证书和服务器证书。
可以使用 sechkey 实用程序执行以下任务:
- 将 CA ControlMinder 配置为使用第三方根证书和服务器证书,包括 OU 密码保护的证书
- 从第三方根证书创建服务器证书
- 将受密码保护的证书的密码保存在计算机上
在使用 sechkey 配置 X.509 证书之前,必须先停止 CA ControlMinder。 必须具有 ADMIN 属性才能使用 sechkey。
注意:
如果 CA ControlMinder 正以仅 FIPS 模式运行,则您无法使用受密码保护的证书。 crypto 部分中 fips_only 配置标记的值为 1 时,CA ControlMinder 以仅 FIPS 模式运行。 此限制将防止您使用不符合 FIPS 的方法在证书内加密密码。此命令采用以下格式来创建 X.509 根证书或服务器证书:
sechkey -e {-ca|-sub [-priv privfilepath]} [-in infilepath] [-out outfilepath] [-capwd password] [-subpwd password]
此命令采用以下格式来使用 OU 密码保护的服务器证书:
sechkey -g {-subpwd password | -verify}
- -ca指定 sechkey 创建用作 CA(根)证书的自签名证书。sechkey 将证书和私钥存储在由 crypto 部分中的 ca_certificate 配置设置所定义的 PEM 文件中。
- -capwdpassword指定 sechkey 用来生成服务器(主题)证书的根证书的私钥密码。
- -e指定 sechkey 创建 X.509 证书。
- -g指定 CA ControlMinder 使用第三方服务器证书。 将第三方服务器证书保存在 crypto 部分中的 subject_certificate 配置设置所指定的位置,或者编辑 crypto 部分中 subject_certificate 配置设置的值,以指定第三方服务器证书的完整路径。注意:如果在新目录中安装服务器证书,请编写 CA ControlMinder FILE 规则以保护新目录。
- -ininfilepath指定包含证书信息的输入文件。 如果未指定 -in,则 sechkey 将从标准输入读取信息。sechkey 需要以下信息来创建证书:
- 序列号
- 主题
- 不早于(证书的第一个有效日)
- 结束日期(证书的最后一个有效日)
- 电子邮件
- URI(通常称为 URL)
- DNS 名称
- IP 地址
- -outoutfilepath指定放置证书信息的输出文件。 输出文件是输入信息的副本。 如果未指定 -out,则 sechkey 将不复制输入信息。
- -privprivfilepath指定存放与证书关联的私钥的文件。 此选项仅与 -sub 选项一起使用时有效。
- -sub指定 sechkey 创建服务器(主题)证书。sechkey 将证书和私钥存储在由 crypto 部分中的 subject_certificate 配置设置所定义的 PEM 文件中。如果不指定 -priv,crypto 部分中的 private_key 配置设置将定义用于保存与证书相关联的私钥的文件。如果创建受密码保护的服务器证书,sechkey 不会对证书进行加密。 如果创建了不受密码保护的服务器证书,sechkey 将使用 AES256 和 CA ControlMinder 加密密钥加密证书。
- -subpwdpassword指定服务器(主题)证书的私钥的密码。 sechkey 将密码存储在ACInstallDir/Data/crypto 目录下的 crypto.dat 文件中,其中ACInstallDir是 CA ControlMinder 的安装目录。 crypto.dat 文件为隐藏、加密、只读,且受 CA ControlMinder 保护。 如果停止 CA ControlMinder,则只有超级用户可以访问密码。
- -verify验证 CA ControlMinder 是否可以使用存储的密码打开受密码保护的服务器密钥。
示例:从 OU 密码保护的第三方根证书创建服务器证书
以下命令将使用以下值从 OU 密码保护的第三方根证书创建服务器证书:
- 包含证书信息的输入文件的路径是 C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info
- 根证书私钥的路径是 C:\Program Files\CA\AccessControl\data\crypto\ca.key
- 根证书私钥的密码是 P@ssw0rd
sechkey -e -sub -in "C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info" -priv "C:\Program Files\CA\AccessControl\data\crypto\ca.key" -capwd P@ssw0rd
示例:输入文件
下面是包含证书信息的输入文件的示例:
SERIAL: 00-15-58-C3-5E-4B SUBJECT: CN=192.168.0.1 NOTBEFORE: "12/31/08" NOTAFTER: "12/31/09" E-MAIL: [email protected] URI: http://www.example.com DNS: 168.192.0.100 IP: 168.192.0.1