請求 CA 簽署的伺服器憑證 (Sun Java System Directory Server Enterprise Edition 6.0 管理指南)

Sun Java System Directory Server Enterprise Edition 6.0 管理指南

請求 CA 簽署的伺服器憑證

此程序說明如何請求及安裝用於目錄伺服器的 CA 簽署伺服器憑證。

您可以使用 DSCC 執行此作業。如需有關資訊，請參閱目錄服務控制中心介面與 DSCC 線上說明。

產生 CA 簽署的伺服器憑證請求。

$ dsadm request-cert [-W cert-pwd-file] {-S DN | --name name [--org org] [--org-unit org-unit \
  [--city city] [--state state] [--country country]} [-o output-file] [-F format] instance-path

例如，若要為 Example 公司請求 CA 簽署的伺服器憑證，請使用此指令：

$ dsadm request-cert --name host1 --org Example --org-unit Marketing \
 -o my_cert_request_file /local/ds

為完整識別伺服器，憑證授權機構可能會要求此範例中所顯示的所有屬性。如需每個屬性的說明，請參閱 dsadm(1M) 線上手冊。

當您使用 dsadm request-cert 請求憑證時，除非指定 ASCII 做為輸出格式，否則所產生的憑證請求將是二進位憑證請求。若您指定 ASCII，所產生的憑證請求則會是 PEM 格式的 PKCS #10 憑證請求。PEM 是 RFC 1421 至 1424 (http://www.ietf.org/rfc/rfc1421.txt) 所指定的安全電子郵件 (Privacy Enhanced Mail) 格式，可用以透過 US-ASCII 字元呈現 base64 編碼的憑證請求。請求的內容如下列範例所示：

-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBrjCCARcCAQAwbjELMAkGA1UBhMCVXMxEzARBgNVBAgTCkNBElGT1JOSUExLD
AqBgVBAoTI25ldHNjYXBlIGNvb11bmljYXRpb25zIGNvcnBvcmF0aWuMRwwGgYDV
QQDExNtZWxsb24umV0c2NhcGUuY29tMIGfMA0GCSqGSIb3DQEBAUAA4GNADCBiQK
BgCwAbskGh6SKYOgHy+UCSLnm3ok3X3u83Us7u0EfgSLR0f+K41eNqqWRftGR83e
mqPLDOf0ZLTLjVGJaHJn4l1gG+JDf/n/zMyahxtV7+T8GOFFigFfuxJaxMjr2j7I
vELlxQ4IfZgwqCm4qQecv3G+N9YdbjveMVXW0v4XwIDAQABAAwDQYJKoZIhvcNAQ
EEBQADgYEAZyZAm8UmP9PQYwNy4Pmypk79t2nvzKbwKVb97G+MT/gw1pLRsuBoKi
nMfLgKp1Q38K5Py2VGW1E47/rhm3yVQrIiwV+Z8Lcc=
-----END NEW CERTIFICATE REQUEST-----

根據適當程序，將憑證請求傳輸到您的憑證授權機構。

取得憑證授權機構憑證的程序會因使用的憑證授權機構而異。有些商業 CA 會提供網站供您自動下載憑證。其他 CA 則會在您請求時，以電子郵件傳送。

傳送請求之後，必須等候 CA 回應以提供憑證。請求的回應時間各異。例如，若您的 CA 屬公司內部，則可能只需一或兩天即可回應您的請求。若所選取的 CA 屬公司外部，則可能需要數週才可回應您的請求。

請儲存您從憑證授權機構接收的憑證。

將憑證備份在安全之處。萬一憑證遺失，可以使用備份檔案重新加以安裝。可以將其儲存於文字檔中。PEM 格式的 PKCS #11 憑證內容如下列範例所示：