Cette procédure est utilisée pour signer une CSR (demande de signature du certificat ) PKCS #10. La CSR peut être au format PEM ou DER. Le processus de signature émet un certificat X.509 v3. Pour générer une demande de signature de certificat PKCS #10, reportez-vous à la page de manuel pktool(1).
Avant de commencer
Cette procédure suppose que vous êtes une autorité de certification (CA), que vous avez reçu une CSR et qu'elle est stockée dans un fichier.
Si vous avez stocké la clé du signataire dans un keystore PKCS #11, signkey est l'étiquette qui permet de récupérer cette clé privée.
Si vous avez stocké la clé du signataire dans un keystore NSS, signkey est le nom du fichier qui contient cette clé privée.
Spécifie le nom de fichier de la CSR.
Spécifie le numéro de série du certificat signé.
Spécifie le nom de fichier du certificat signé.
Spécifie votre nom d'émetteur CA au format DN (nom distinctif).
Pour plus d'informations sur les arguments facultatifs de la sous-commande signcsr, reportez-vous à la page de manuel pktool(1).
Par exemple, la commande suivante signe le certificat avec la clé du signataire figurant dans le référentiel PKCS #11 :
# pktool signcsr signkey=CASigningKey \ csr=fromExampleCoCSR \ serial=0x12345678 \ outcert=ExampleCoCert2010 \ issuer="O=Oracle Corporation, \ OU=Oracle Solaris Security Technology, L=Redwood City, ST=CA, C=US, \ CN=rootsign Oracle"
La commande suivante signe le certificat avec la clé du signataire figurant dans un fichier :
# pktool signcsr signkey=CASigningKey \ csr=fromExampleCoCSR \ serial=0x12345678 \ outcert=ExampleCoCert2010 \ issuer="O=Oracle Corporation, \ OU=Oracle Solaris Security Technology, L=Redwood City, ST=CA, C=US, \ CN=rootsign Oracle"
Vous pouvez utiliser un e-mail, un site web ou un autre mécanisme pour remettre le certificat au demandeur.
Par exemple, vous pouvez utiliser votre messagerie pour envoyer le fichier ExampleCoCert2010 au demandeur.