使用 GSKit 建立憑證簽署要求 (CSR)

當您執行 GSKit 指令 gsk8capicmd_64時,您可以透過指定標籤、金鑰資料庫路徑、憑證的識別名稱及其他值來建立憑證簽署要求 (CSR)。 建立 CSR 之後,您會將它轉遞至憑證管理中心 (CA) 進行簽署。

程序

  1. 開啟 GSKit 並執行下列指令:
    gsk8capicmd_64 -certreq -create -db server.p12 -stashed -label myselfsigned -dn "CN=myserver.mycompany.com" -size 2048 -sigalg SHA256_WITH_RSA -target myselfsigned.csr
    其中
    • -db 是金鑰資料庫的完整路徑。 在 Windows 平台上,您可以包括 -db mscng 選項,以在 MSCS 中建立 CSR。
      附註: 如果使用 MSCS ,請在指令中省略 -stashed 選項。
    • -label 是在建立時附加至憑證的標籤。
    • -dn <string> 是唯一識別憑證的識別名稱。 輸入必須是下列格式的引號內字串。 只有「通用名稱 (CN)」屬性是必要的。
      • cn = common name(通用名稱)
      • o = organization(組織)
      • OU = 組織單位
      • L = 位置
      • ST = 州/省 (縣/市)
      • C = 國家/地區
      • DC = 網域元件
      • 電子郵件 = 電子郵件位址
    • -size 是要建立之新金鑰組的金鑰大小 (以位元為單位)。 對於 RSA 憑證,金鑰大小下限為 2048 位元。
    • -sigalg <signature_algorithm> 是要在建立憑證期間使用的簽署演算法。 此演算法用來建立與新憑證相關聯的簽章。 選擇產生的金鑰類型以符合此簽署演算法。
    • -target 是指派給所產生 CSR 的檔名。 最佳作法是使用憑證標籤。
    建立 CSR 時,將檔案傳送至 CA 進行簽署。
  2. 選用項目: 啟用 Db2® 11.5.6 以及更新版本用戶端的主機名稱驗證。
    如果您要對 11.5.6 版以及更新版本的 Db2 用戶端啟用主機名稱驗證,則需要在 CSR 中針對用戶端配置要連接的每一個 Db2 實例包括一個以上主機名稱。 這些可以是各種 Db2 配置 (例如 Db2 pureScale®、HADR、資料分割特性 (DPF) 及其他拓蹼) 中的單一伺服器或叢集伺服器。
    主機名稱以不同方式呈現,視憑證所在的 Db2 實例而定:
    • 單一伺服器會使用指定為 -dn 選項一部分的通用名稱 (CN) 欄位來表示。
    • 在主體替代名稱 (san_) 欄位中,使用完整主機名稱、IP 位址或萬用字元 (*) 主機名稱來代表一部以上伺服器。
    下列範例顯示使用通用名稱欄位為單一伺服器新增主機名稱的語法:
    -dn "CN=xyz.db2.example.com,…"
    其中 xyz.db2.example.com 是完整主機名稱。
    執行主機名稱驗證時,只要憑證中沒有 SAN 值,就支援 CN 欄位中的萬用字元主機名稱。 下列範例顯示在主體替代名稱欄位中新增單一伺服器主機名稱的語法:
    -san_dnsname "xyz.db2.example.com"
    多個 SAN 值以逗點區隔:
    -san_dnsname "xyz.db2.example.com,abc.db2.example2.com"
    如果憑證中有主體替代名稱 (SAN) 項目,則會忽略通用名稱。 您可以使用 IP 位址來代表憑證中的一個以上伺服器。 在 SAN 欄位 -san_ippaddr中,以逗點區隔多個 IP 位址。 下列範例顯示用於新增多個 IP 位址以進行主機名稱驗證的語法:
    -san_ippaddr "127.0.0.1, 127.0.0.2"
    您可以在 SAN 中同時包括 DNS 名稱和 IP 位址,以進行主機名稱驗證。 下列範例顯示語法:
    -san_dnsname "xyz.db2.example.com", -san_ipaddr "127.0.0.1"
    萬用字元主機名稱可用來代表屬於相同網域的多個主機。 您可以將多個萬用字元主機名稱 (以逗點區隔) 新增至相同的自簽憑證,以代表個別網域中的主機群組。 執行主機名稱驗證時,支援通用名稱欄位中的萬用字元 (*) 主機名稱。 下列範例顯示代表 db2.example.com 網域中所有主機的萬用字元主機名稱語法:
    -san_dnsname "*.db2.example.com"
    下列範例顯示為屬於個別網域的主機新增萬用字元主機名稱的語法:
    -san_dnsname "*.db2.example.com,a*.db2.example2.com"
    相同 SAN 中的完整主機名稱和萬用字元主機名稱以逗點區隔。 下列範例顯示在相同 SAN 中包含完整主機名稱和萬用字元主機名稱的語法:
    -san_dnsname "xyz.db2.example.com,*.db2.example2.com"

下一步

將 CSR 傳送至 CA 以簽署之後,您需要將主要憑證和中繼憑證新增至金鑰儲存庫。 這些憑證由 CA 在 CSR 處理程序中提供給您。