Gestion du chiffrement et des certificats dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Signature d'une demande de certificat à l'aide de la commande pktool signcsr

Cette procédure est utilisée pour signer une CSR (demande de signature du certificat ) PKCS #10. La CSR peut être au format PEM ou DER. Le processus de signature émet un certificat X.509 v3. Pour générer une demande de signature de certificat PKCS #10, reportez-vous à la page de manuel pktool(1).

Avant de commencer

Cette procédure suppose que vous êtes une autorité de certification (CA), que vous avez reçu une CSR et qu'elle est stockée dans un fichier.

  1. Recueillez les informations suivantes pour les arguments requis de la commande pktool signcsr :
    signkey

    Si vous avez stocké la clé du signataire dans un keystore PKCS #11, signkey est l'étiquette qui permet de récupérer cette clé privée.

    Si vous avez stocké la clé du signataire dans un keystore NSS, signkey est le nom du fichier qui contient cette clé privée.

    csr

    Spécifie le nom de fichier de la CSR.

    serial

    Spécifie le numéro de série du certificat signé.

    outcer

    Spécifie le nom de fichier du certificat signé.

    issuer

    Spécifie votre nom d'émetteur CA au format DN (nom distinctif).

    Pour plus d'informations sur les arguments facultatifs de la sous-commande signcsr, reportez-vous à la page de manuel pktool(1).

  2. Signez la demande et émettez le certificat.

    Par exemple, la commande suivante signe le certificat avec la clé du signataire figurant dans le référentiel PKCS #11 :

    # pktool signcsr signkey=CASigningKey \
    csr=fromExampleCoCSR \
    serial=0x12345678 \
    outcert=ExampleCoCert2010 \
    issuer="O=Oracle Corporation, \
    OU=Oracle Solaris Security Technology, L=Redwood City, ST=CA, C=US, \
    CN=rootsign Oracle"

    La commande suivante signe le certificat avec la clé du signataire figurant dans un fichier :

    # pktool signcsr signkey=CASigningKey \
    csr=fromExampleCoCSR \
    serial=0x12345678 \
    outcert=ExampleCoCert2010 \
    issuer="O=Oracle Corporation, \
    OU=Oracle Solaris Security Technology, L=Redwood City, ST=CA, C=US, \
    CN=rootsign Oracle"
  3. Envoyez le certificat au demandeur.

    Vous pouvez utiliser un e-mail, un site web ou un autre mécanisme pour remettre le certificat au demandeur.

    Par exemple, vous pouvez utiliser votre messagerie pour envoyer le fichier ExampleCoCert2010 au demandeur.