Le niveau CA certificat correspond au plus haut dans votre chaîne de certificat. Le client CA les certificats sont nécessaires pour la génération et à valider les certificats présentés par les clients d'accès à un référentiel.
Les autorités de certification tiers sont gérés par un tels que de nombreuses sociétés de confiance VeriSign. La gestion de confiance permet aux clients de vérifier l'identité d'un serveur par rapport à l'une de leurs autorités de certification. L'exemple de cette section n'incluent pas vérifier l'identité du serveur de référentiel. Vérification de l'exécution de cet exemple affiche uniquement les certificats client. Par conséquent, cet exemple utilise un certificat auto-signé et pour créer la ne permet pas d'utiliser des CA tiers autorités de certification sécurisées.
Le CA requiert un nom commun (CN, common name). Si vous exécutez un seul référentiel, vous pouvez rétablir les CN par le nom de votre organisation (par exemple, "Oracle Software Delivery"). Si vous disposez de plusieurs référentiels, chaque CA doit avoir son propre référentiel. Si c'est le cas, définissez le CN par un nom identifiant de manière unique le référentiel pour laquelle vous souhaitez créer la CA. Par exemple, si vous avez un référentiel de la version d'un référentiel de prise en charge, et les certificats de la version vers laquelle CA uniquement autorise l'accès aux uniquement le référentiel de version, les certificats à partir de la carte et CA autorise l'accès à la prise en charge le référentiel support.
Pour identifier le certificat dans le keystore, définissez une étiquette descriptive pour le certificat. Il est conseillé de définir l'étiquette du certificat sur CN_ca, où CN est le CN du certificat.
Exécutez les commandes suivantes pour créer le certificat de CA, où name est le CN du certificat et CAlabel est l'étiquette du certificat :
$ pktool gencert label=CAlabel subject="CN=name" serial=0x01
Le seront stockées dans la CA keystore. Utilisez la commande suivante pour afficher le contenu de vos keystore, procédez comme suit :
$ pktool list
Vous devez extraire le certificat CA à partir du keystore lorsque vous configurez Apache comme le décrit la rubrique Ajout de la configuration SSL au fichier de configuration Apache. Utilisez la commande suivante pour extraire le certificat CA dans un fichier nommé ca_file.pem :
$ pktool export objtype=cert label=CAlabel outformat=pem \ outfile=ca_file.pem