Este procedimiento crea un certificado autofirmado y almacena el certificado en el almacén de claves PKCS #11. Como parte de esta operación, también se crea un par de claves RSA públicas/privadas. La clave privada está almacenada en el almacén de claves con el certificado.
% pktool gencert [keystore=keystore] label=label-name \ subject=subject-DN serial=hex-serial-number keytype=rsa/dsa keylen=key-size
Especifica el almacén de claves por tipo de objeto de clave pública. El valor puede ser nss, pkcs11 o file. La palabra clave es opcional.
Especifica un nombre único que el emisor asigna al certificado.
Especifica el nombre distintivo para el certificado.
Especifica el número de serie en formato hexadecimal. El emisor del certificado elige el número, como 0x0102030405.
Variable opcional que especifica el tipo de clave privada asociada con el certificado. Consulte la página del comando man pktool (1) para encontrar los tipos de clave disponibles para el almacén de claves seleccionado.
Para usar una clave aprobada FIPS 140, consulte los tipos de claves aprobadas en FIPS 140 Algorithms in the Cryptographic Framework de Using a FIPS 140 Enabled System in Oracle Solaris 11.2 .
Variable opcional que especifica la longitud de la clave privada asociada con el certificado.
Para usar una clave aprobada FIPS 140, compruebe las longitudes de clave aprobadas para el tipo de clave que seleccionó en FIPS 140 Algorithms in the Cryptographic Framework de Using a FIPS 140 Enabled System in Oracle Solaris 11.2 .
% pktool list Found number certificates. 1. (X.509 certificate) Label: label-name ID: fingerprint that binds certificate to private key Subject: subject-DN Issuer: distinguished-name Serial: hex-serial-number n. ...
Este comando muestra todos los certificados del almacén de claves. En el ejemplo siguiente, el almacén de claves contiene un solo certificado.
En el ejemplo siguiente, un usuario de My Company crea un certificado autofirmado y almacena el certificado en un almacén de claves para objetos PKCS #11. El almacén de claves está vacío inicialmente. Si el almacén de claves no fue inicializado, el PIN para el softtoken es changeme y puede usar el comando pktool setpin para restablecer el PIN. Tenga en cuenta que el tipo de clave aprobada FIPS y la longitud de la clave, RSA 2048, se especifica en las opciones del comando.
% pktool gencert keystore=pkcs11 label="My Cert" \ subject="C=US, O=My Company, OU=Security Engineering Group, CN=MyCA" \ serial=0x000000001 keytype=rsa keylen=2048 Enter pin for Sun Software PKCS#11 softtoken:Type PIN for token
% pktool list No. Key Type Key Len. Key Label ---------------------------------------------------- Asymmetric public keys: 1 RSA My Cert Certificates: 1 X.509 certificate Label: My Cert ID: d2:7e:20:04:a5:66:e6:31:90:d8:53:28:bc:ef:55:55:dc:a3:69:93 Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA ... ... Serial: 0x00000010 ...