1. 概述

从IBM HTTP Server密钥库生成CSR:证书签名请求 (CSR) 是在使用证书的服务器上生成的加密文本。它包含组织信息,例如您的证书中包含的组织名称、通用名称(域名)、位置和国家/地区。证书颁发机构使用CSR生成受信任的证书。
要生成CSR,需要以下信息。这些字段不能包含以下字符:

  1. < > ~ ! @ # $ % ^ * / \ ( ) ?):
字段 描述
Distinguished name (-dn) 专有名称表示X.500专有名称。该值作为以下格式的带引号的字符串输入:CN=common_name, O=organization, OU=organization_unit, L=location, ST=state, Province, C=country
例子: “CN=icfmserver1.icfm.ibm.com,OU=Analytics,O=IBM,L=Bethesda,ST=MD,POSTALCODE=20814,C=US”
注意:仅CN, O,和 C 是必要的。
Common Name (CN) IHS服务器环境的核心服务器的完全限定域名 (FQDN) 。此值必须完全匹配。
例子: icfmserver1.icfm.ibm.com
Key Size (-size) 密钥大小。如果您使用的是Global Security Kit (GSKit) 7.0.4.14或更高版本,则2048密钥大小可用。默认值为:2048。<512 | 1024 | 2048 | 4096>
Signature Algorithm (-sig_alg) 要使用的签名算法。在创建自签名证书期间使用的散列算法。此散列算法用于创建与新创建的自签名证书相关联的签名。默认值为:SHA1WithRSA
Keystore Password(-pw) 用于访问IHS密钥数据库的密码。密码设置为IHS.KEYSTORE.PWD属性在“/icfminstall/cfm20install/installs/instance_name/cfm20/topology/CFM.x.propertie”文件(其中_x1:表示单台服务器(single server), 3:表示服务器集群安装(three-server))。
Label Name (-label) 指示附加到证书或证书请求的标签,此值必须是密钥库中的唯一名称。
示例: icfmdev109ihs
Organization Unit (OU) 组织部分,确保此值与在您的证书提供商处注册的值相匹配。
示例:Analytics
Organization (O) 您组织的确切合法名称,确保此值与在您的证书提供商处注册的值相匹配。
示例:IBM
City/Locality (L) 您的组织所在的城市,确保此值与在您的证书提供商处注册的值相匹配。
示例: Bethesda
State (ST) 您的组织所在的州,确保此值与在您的证书提供商处注册的值相匹配。
示例:MD
Postal Code (POSTALCODE) 您的组织所在的邮政编码,确保此值与在您的证书提供商处注册的值相匹配。
示例: 20814
Country (C) 您所在国家/地区的两个字母ISO缩写,确保此值与在您的证书提供商处注册的值相匹配。
示例: US
Certificate Request File (-file) 存储证书请求的文件的名称。
示例:certreq_icfmdev109ihs.arm

2. 操作步骤

  1. 使用root用户身份停止IBM HTTP Server。

    1. cd /opt/IBM/HTTPServer/bin
    2. ./apachectl stop
    3. ./adminctl stop

  2. 创建证书签名请求 (CSR),注意:在使用证书的服务器上生成。

    1. gskcmd -certreq -create -type cms -size key_size -sig_alg hash_algorithm -db ../cert/key.kdb -pw db_password -label label_name -dn dn -file ../cert/csr_filename

    示例: ```bash cd /opt/IBM/HTTPServer/bin

gskcmd -certreq -create -type cms -size 2048 -sig_alg SHA1WithRSA -db ../cert/key.kdb -pw password -label “icfmdev109ihs” -dn “CN=icfmdev109.icfm.ibm.com,OU=Analytics,O=IBM,L=Bethesda,ST=MD,POSTALCODE=20814,C=US” -file ../cert/certreq_icfmdev109ihs.arm

  2. 3. 验证CSR是否创建成功。
  3. ```bash
  4. gskcmd -certreq -list -type cms -db ../cert/key.kdb -pw db_password

示例:

  1. cd /opt/IBM/HTTPServer/bin
  2. gskcmd -certreq -list -type cms -db ../cert/key.kdb -pw password
  1. 从“/opt/IBM/HTTPServer/cert”目录下载CSR文件。

    参考

    IBM:Generating a CSR from the IBM HTTP Server keystore
    https://www.ibm.com/docs/en/cfm/2.0?topic=certifications-generating-csr-from-http-server-keystore