参考指南 › 实用程序 › sechkey 实用程序 › sechkey 实用程序－配置 X.509 证书

sechkey 实用程序－配置 X.509 证书

sechkey 实用程序可配置 CA ControlMinder 用来验证组件之间通讯的根证书和服务器证书。

可以使用 sechkey 实用程序执行以下任务：

• 将 CA ControlMinder 配置为使用第三方根证书和服务器证书，包括 OU 密码保护的证书
• 从第三方根证书创建服务器证书
• 将受密码保护的证书的密码保存在计算机上

在使用 sechkey 配置 X.509 证书之前，必须先停止 CA ControlMinder。 必须具有 ADMIN 属性才能使用 sechkey。

注意：如果 CA ControlMinder 正以仅 FIPS 模式运行，则您无法使用受密码保护的证书。 crypto 部分中 fips_only 配置标记的值为 1 时，CA ControlMinder 以仅 FIPS 模式运行。 此限制将阻止您使用不符合 FIPS 的方法在证书内对密码进行加密。

此命令采用以下格式来创建 X.509 根证书或服务器证书：

sechkey -e {-ca|-sub [-priv privfilepath]} [-in infilepath] [-out outfilepath] [-capwd password] [-subpwd password]

此命令采用以下格式来使用 OU 密码保护的服务器证书：

sechkey -g {-subpwd password | -verify}

-ca

指定 sechkey 创建用作 CA（根）证书的自签名证书。

sechkey 将证书和私钥存储在由 crypto 部分中的 ca_certificate 配置设置所定义的 PEM 文件中。

-capwd password

指定 sechkey 用来生成服务器（主题）证书的根证书的私钥密码。

-e

指定 sechkey 创建 X.509 证书。

-g

指定 CA ControlMinder 使用第三方服务器证书。 将第三方服务器证书保存在 crypto 部分中的 subject_certificate 配置设置所指定的位置，或者编辑 crypto 部分中 subject_certificate 配置设置的值，以指定第三方服务器证书的完整路径。

注意：如果在新目录中安装服务器证书，请写入 CA ControlMinder FILE 规则以保护新目录。

-in infilepath

指定包含证书信息的输入文件。 如果未指定 -in，则 sechkey 将从标准输入中读取信息。

sechkey 需要使用以下信息来创建证书：

• 序号
• 主题
• 开始日期（证书的第一个有效日）
• 结束日期（证书的最后一个有效日）

sechkey 可以使用以下信息，但是该信息并不是必需的：

• Email
• URI（通常称为 URL）
• DNS 名称
• IP 地址

-out outfilepath

指定要将证书信息放入到的输出文件。 输出文件是输入信息的副本。 如果未指定 -out，则 sechkey 将不复制输入信息。

-priv privfilepath

指定用于保留与证书相关的私钥的文件。 此选项仅在与 -sub 选项一起使用时有效。

-sub

指定 sechkey 创建服务器（主题）证书。

sechkey 将证书和私钥存储在由 crypto 部分中的 subject_certificate 配置设置所定义的 PEM 文件中。

如果不指定 -priv，crypto 部分中的 private_key 配置设置将定义用于保存与证书相关联的私钥的文件。

如果创建受密码保护的服务器证书，sechkey 不会对证书进行加密。 如果创建不受密码保护的服务器证书，sechkey 将使用 AES256 和 CA ControlMinder 加密密钥对证书进行加密。

-subpwd password

指定服务器（主题）证书的私钥的密码。 sechkey 将密码存储在 ACInstallDir/Data/crypto 目录下的 crypto.dat 文件中，其中 ACInstallDir 是 CA ControlMinder 的安装目录。 crypto.dat 文件为隐藏、加密、只读文件，且受 CA ControlMinder 保护。 如果 CA ControlMinder 已停止，则只有超级用户可以访问密码。

-verify

验证 CA ControlMinder 是否可以使用存储的密码打开受密码保护的服务器密钥。

示例：从 OU 密码保护的第三方根证书创建服务器证书

以下命令将使用以下值从 OU 密码保护的第三方根证书创建服务器证书：

• 包含证书信息的输入文件的路径是 C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info
• 根证书私钥的路径是 C:\Program Files\CA\AccessControl\data\crypto\ca.key
• 根证书私钥的密码是 P@ssw0rd

  sechkey -e -sub -in "C:\Program Files\CA\AccessControl\data\crypto\sub_cert_info" -priv "C:\Program Files\CA\AccessControl\data\crypto\ca.key" -capwd P@ssw0rd
  

示例：输入文件

下面是包含证书信息的输入文件的示例：

SERIAL: 00-15-58-C3-5E-4B
SUBJECT: CN=192.168.0.1
NOTBEFORE: “12/31/08”
NOTAFTER: "12/31/09"
E-MAIL: john.smith@example.com
URI: http://www.example.com
DNS: 168.192.0.100
IP:  168.192.0.1