此过程用于签署 PKCS #10 证书签名请求 (certificate signing request, CSR)。CSR 可以是 PEM 或 DER 格式。签署过程颁发 X.509 v3 证书。要生成 PKCS #10 CSR,请参见 pktool(1) 手册页。
开始之前
此过程假设您是证书颁发机构 (certificate authority, CA),您收到了一个存储在文件中的 CSR。
如果已将签名者的密钥存储在 PKCS #11 密钥库中,则 signkey 是检索此私钥的标签。
如果已将签名者的密钥存储在 NSS 密钥库或文件密钥库中,则 signkey 是保存此私钥的文件名。
指定 CSR 的文件名。
指定已签名证书的序列号。
指定已签名证书的文件名。
指定采用标识名 (distinguished name, DN) 格式的 CA 颁发者名称。
有关 signcsr 子命令的可选参数的信息,请参见 pktool(1) 手册页。
例如,以下命令可使用 PKCS #11 系统信息库中的签名者密钥签署证书。
# pktool signcsr signkey=CASigningKey \ csr=fromExampleCoCSR \ serial=0x12345678 \ outcert=ExampleCoCert2010 \ issuer="O=Oracle Corporation, \ OU=Oracle Solaris Security Technology, L=Redwood City, ST=CA, C=US, \ CN=rootsign Oracle"
以下命令使用文件中的签名者密钥签署证书。
# pktool signcsr signkey=CASigningKey \ csr=fromExampleCoCSR \ serial=0x12345678 \ outcert=ExampleCoCert2010 \ issuer="O=Oracle Corporation, \ OU=Oracle Solaris Security Technology, L=Redwood City, ST=CA, C=US, \ CN=rootsign Oracle"
您可以使用电子邮件、Web 站点或其他机制将该证书传送给请求方。
例如,您可以使用电子邮件将 ExampleCoCert2010 文件发送给请求方。