Cette procédure crée un certificat autosigné et le stocke dans le keystore PKCS #11. Dans le cadre de cette opération, une paire de clés publique et privée RSA est également créée. La clé privée est stockée dans le keystore avec le certificat.
% pktool gencert [keystore=keystore] label=label-name \ subject=subject-DN serial=hex-serial-number keytype=rsa/dsa keylen=key-size
Spécifie le keystore par type d'objet de clé publique. La valeur peut être nss, pkcs11 ou file. Ce mot de passe est facultatif.
Spécifie un nom unique donné au certificat par l'émetteur.
Spécifie le nom distinctif du certificat.
Spécifie le numéro de série au format hexadécimal. L'émetteur du certificat choisit ce nombre, comme par exemple 0x0102030405.
Variable facultative qui spécifie le type de clé privée associée au certificat. Pour connaître les types de clé disponibles pour le keystore sélectionné, reportez-vous à la page de manuel pktool (1) .
Pour utiliser une clé approuvée par la norme FIPS 140, consultez les types de clé approuvés dans la section FIPS 140 Algorithms in the Cryptographic Framework du manuel Using a FIPS 140 Enabled System in Oracle Solaris 11.2 .
Variable facultative qui spécifie la longueur de la clé privée associée au certificat.
Pour utiliser une clé approuvée par la norme FIPS 140, consultez les longueurs de clé approuvées pour le type de clé sélectionné dans la section FIPS 140 Algorithms in the Cryptographic Framework du manuel Using a FIPS 140 Enabled System in Oracle Solaris 11.2 .
% pktool list Found number certificates. 1. (X.509 certificate) Label: label-name ID: fingerprint that binds certificate to private key Subject: subject-DN Issuer: distinguished-name Serial: hex-serial-number n. ...
Cette commande répertorie tous les certificats dans le keystore. Dans l'exemple suivant, le keystore ne contient qu'un seul certificat.
Dans l'exemple suivant, un utilisateur à My Company crée un certificat autosigné et le stocke dans un keystore pour les objets PKCS #11. Le keystore est initialement vide. Si le keystore n'a pas été initialisé, le numéro d'identification personnel du softtoken est changeme. Pour réinitialiser ce numéro, vous pouvez utiliser la commande pktool setpin. Notez qu'un type et une longueur de clé approuvés par FIPS, RSA 2048, est spécifié dans les options de commande.
% pktool gencert keystore=pkcs11 label="My Cert" \ subject="C=US, O=My Company, OU=Security Engineering Group, CN=MyCA" \ serial=0x000000001 keytype=rsa keylen=2048 Enter pin for Sun Software PKCS#11 softtoken:Type PIN for token
% pktool list No. Key Type Key Len. Key Label ---------------------------------------------------- Asymmetric public keys: 1 RSA My Cert Certificates: 1 X.509 certificate Label: My Cert ID: d2:7e:20:04:a5:66:e6:31:90:d8:53:28:bc:ef:55:55:dc:a3:69:93 Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA ... ... Serial: 0x00000010 ...