이 절차는 자체 서명된 인증서를 만들고 PKCS #11 키 저장소에 인증서를 저장합니다. 이 작업의 일부로 RSA 공개/개인 키 쌍도 생성됩니다. 개인 키는 인증서와 함께 키 저장소에 저장됩니다.
% pktool gencert [keystore=keystore] label=label-name \ subject=subject-DN serial=hex-serial-number keytype=rsa/dsa keylen=key-size
공개 키 객체의 유형별로 키 저장소를 지정합니다. 값은 nss, pkcs11 또는 file일 수 있습니다. 이 키워드는 선택 사항입니다.
발행자가 인증서에 제공하는 고유한 이름을 지정합니다.
인증서에 대한 식별 이름을 지정합니다.
16진수 형식의 일련 번호를 지정합니다. 인증서의 발행자가 0x0102030405와 같은 숫자를 선택합니다.
인증서와 연관된 개인 키의 유형을 지정하는 선택적 변수입니다. 선택한 키 저장소에 사용 가능한 키 유형을 찾으려면 pktool (1) 매뉴얼 페이지를 확인하십시오.
FIPS 140 승인 키를 사용하려면 Using a FIPS 140 Enabled System in Oracle Solaris 11.2 의 FIPS 140 Algorithms in the Cryptographic Framework에서 승인된 키 유형을 확인하십시오.
인증서와 연관된 개인 키의 길이를 지정하는 선택적 변수입니다.
FIPS 140 승인 키를 사용하려면 Using a FIPS 140 Enabled System in Oracle Solaris 11.2 의 FIPS 140 Algorithms in the Cryptographic Framework에서 선택한 키 유형에 대해 승인된 키 길이를 확인하십시오.
% pktool list Found number certificates. 1. (X.509 certificate) Label: label-name ID: fingerprint that binds certificate to private key Subject: subject-DN Issuer: distinguished-name Serial: hex-serial-number n. ...
이 명령은 키 저장소의 모든 인증서를 나열합니다. 다음 예에서 키 저장소는 하나의 인증서만 포함합니다.
다음 예에서 My Company의 사용자가 자체 서명된 인증서를 만들고 PKCS #11 객체용 키 저장소에 인증서를 저장합니다. 키 저장소는 처음에 비어 있습니다. 키 저장소가 초기화되지 않은 경우 softtoken의 PIN이 changeme이고 pktool setpin 명령을 사용하여 PIN을 재설정할 수 있습니다. FIPS에서 승인한 키 유형 및 키 길이로 RSA 2048이 명령 옵션에 지정됩니다.
% pktool gencert keystore=pkcs11 label="My Cert" \ subject="C=US, O=My Company, OU=Security Engineering Group, CN=MyCA" \ serial=0x000000001 keytype=rsa keylen=2048 Enter pin for Sun Software PKCS#11 softtoken:Type PIN for token
% pktool list No. Key Type Key Len. Key Label ---------------------------------------------------- Asymmetric public keys: 1 RSA My Cert Certificates: 1 X.509 certificate Label: My Cert ID: d2:7e:20:04:a5:66:e6:31:90:d8:53:28:bc:ef:55:55:dc:a3:69:93 Subject: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA Issuer: C=US, O=My Company, OU=Security Engineering Group, CN=MyCA ... ... Serial: 0x00000010 ...