1. 概述
从IBM HTTP Server密钥库生成CSR:证书签名请求 (CSR) 是在使用证书的服务器上生成的加密文本。它包含组织信息,例如您的证书中包含的组织名称、通用名称(域名)、位置和国家/地区。证书颁发机构使用CSR生成受信任的证书。
要生成CSR,需要以下信息。这些字段不能包含以下字符:
< > ~ ! @ # $ % ^ * / \ ( ) ?):
字段 | 描述 |
---|---|
Distinguished name (-dn) | 专有名称表示X.500专有名称。该值作为以下格式的带引号的字符串输入:CN=common_name, O=organization, OU=organization_unit, L=location, ST=state, Province, C=country 例子: “CN=icfmserver1.icfm.ibm.com,OU=Analytics,O=IBM,L=Bethesda,ST=MD,POSTALCODE=20814,C=US” 注意:仅CN, O,和 C 是必要的。 |
Common Name (CN) | IHS服务器环境的核心服务器的完全限定域名 (FQDN) 。此值必须完全匹配。 例子: icfmserver1.icfm.ibm.com |
Key Size (-size) | 密钥大小。如果您使用的是Global Security Kit (GSKit) 7.0.4.14或更高版本,则2048密钥大小可用。默认值为:2048。<512 | 1024 | 2048 | 4096> |
Signature Algorithm (-sig_alg) | 要使用的签名算法。在创建自签名证书期间使用的散列算法。此散列算法用于创建与新创建的自签名证书相关联的签名。默认值为:SHA1WithRSA。 |
Keystore Password(-pw) | 用于访问IHS密钥数据库的密码。密码设置为IHS.KEYSTORE.PWD属性在“/icfminstall/cfm20install/installs/instance_name/cfm20/topology/CFM.x.propertie”文件(其中_x是1:表示单台服务器(single server), 3:表示服务器集群安装(three-server))。 |
Label Name (-label) | 指示附加到证书或证书请求的标签,此值必须是密钥库中的唯一名称。 示例: icfmdev109ihs |
Organization Unit (OU) | 组织部分,确保此值与在您的证书提供商处注册的值相匹配。 示例:Analytics |
Organization (O) | 您组织的确切合法名称,确保此值与在您的证书提供商处注册的值相匹配。 示例:IBM |
City/Locality (L) | 您的组织所在的城市,确保此值与在您的证书提供商处注册的值相匹配。 示例: Bethesda |
State (ST) | 您的组织所在的州,确保此值与在您的证书提供商处注册的值相匹配。 示例:MD |
Postal Code (POSTALCODE) | 您的组织所在的邮政编码,确保此值与在您的证书提供商处注册的值相匹配。 示例: 20814 |
Country (C) | 您所在国家/地区的两个字母ISO缩写,确保此值与在您的证书提供商处注册的值相匹配。 示例: US |
Certificate Request File (-file) | 存储证书请求的文件的名称。 示例:certreq_icfmdev109ihs.arm |
2. 操作步骤
使用root用户身份停止IBM HTTP Server。
cd /opt/IBM/HTTPServer/bin
./apachectl stop
./adminctl stop
创建证书签名请求 (CSR),注意:在使用证书的服务器上生成。
gskcmd -certreq -create -type cms -size key_size -sig_alg hash_algorithm -db ../cert/key.kdb -pw db_password -label label_name -dn dn -file ../cert/csr_filename
示例: ```bash cd /opt/IBM/HTTPServer/bin
gskcmd -certreq -create -type cms -size 2048 -sig_alg SHA1WithRSA -db ../cert/key.kdb -pw password -label “icfmdev109ihs” -dn “CN=icfmdev109.icfm.ibm.com,OU=Analytics,O=IBM,L=Bethesda,ST=MD,POSTALCODE=20814,C=US” -file ../cert/certreq_icfmdev109ihs.arm
3. 验证CSR是否创建成功。
```bash
gskcmd -certreq -list -type cms -db ../cert/key.kdb -pw db_password
示例:
cd /opt/IBM/HTTPServer/bin
gskcmd -certreq -list -type cms -db ../cert/key.kdb -pw password
- 从“/opt/IBM/HTTPServer/cert”目录下载CSR文件。
参考
IBM:Generating a CSR from the IBM HTTP Server keystore
https://www.ibm.com/docs/en/cfm/2.0?topic=certifications-generating-csr-from-http-server-keystore