IBM Cloud Docs
Schlüssel erstellen und Zertifikatssignieranforderung generieren

Schlüssel erstellen und Zertifikatssignieranforderung generieren

Sie können ein Schlüsselpaar zur Generierung einer Zertifikatssignieranforderung (Certificate Signing Request, CSR) erstellen. Außerdem benötigen Sie das Schlüsselpaar, um ein Zertifikat zu bestellen oder anzufordern, um das HSM für die Citrix Netscaler VPX weiter zu konfigurieren.

  1. Bestätigen Sie zunächst die Objektliste in VPX. Verwenden Sie das Kennwort, das während der Erstellung für diese Partition angegeben wurde.

    root@IBMADC690867-s6dr# cmu list
    Please enter password for token in slot 0 : 	**********
    

    Diese Ausgabe bestätigt, dass keine Objekte existieren, da die Ausgabe leer ist.

    Überprüfen Sie dann, ob die Objektanzahl 0 im HSM ist, indem Sie die Partitionsdetails anzeigen:

    [jpmongehsm2] lunash:>partition show -p partition6
    
    Partition Name:                            partition6
    Partition SN:                              534071053
    Partition Label:                           partition6
    Partition Owner Locked Out:                no
    Partition Owner PIN To Be Changed:         no
    Partition Owner Login Attempts Left:       10 before Partition Owner is Locked Out
    Legacy Domain Has Been Set:                no
    Partition Storage Information (Bytes):     Total=207559, Used=0, Free=207559
    Partition Object Count:                    0
    
    Command Result : 0 (Success)
    

    Der im vorangegangenen Beispiel aufgeführte Befehl verwendet die folgende Syntax:

    partition show -p <partition_name>
    
  2. Erstellen Sie mit dem Certificate Management Utility (CMU) in VPX ein Schlüsselpaar, indem Sie den im folgenden Beispiel gezeigten Befehl verwenden. Verwenden Sie wieder das angegebene Partitionskennwort.

    root@IBMADC690867-s6dr# cmu gen -modulusBits=2048 -publicExponent=65537 -sign=T -verify=T -label=NSkey_s6dr
    Please enter password for token in slot 0 : **********
    
    Select RSA Mechanism Type -
    [1] PKCS [2] FIPS 186-3 Only Primes [3] FIPS 186-3 Auxiliary Primes : 1
    

    In der vorherigen Syntax gibt der Parameter modulusBits die Länge der RSA-Schlüssel in Bits an, während publicExponent den öffentlichen Exponentenwert definiert, der für die Erzeugung der Schlüssel verwendet werden soll. publicExponent muss auf 3, 17 oder 65537 gesetzt werden. Mit dem Schlüsselwort 'label' wird ein Tag angegeben, durch den eine spätere Referenz oder Erkennung problemlos möglich ist. Weitere Informationen über die beiden anderen / zusätzlichen Parameter finden Sie im Utilities Reference Guide.

  3. Bestätigen Sie, dass Objekte erstellt wurden. In VPX:

    root@IBMADC690867-s6dr# cmu list
    Please enter password for token in slot 0 : **********
    handle=76       label=NSkey_s6dr
    handle=73       label=NSkey_s6dr
    

    Im HSM:

    [jpmongehsm2] lunash:>partition show -p partition6
    
    Partition Name:                            partition6
    Partition SN:                              534071053
    Partition Label:                           partition6
    Partition Owner Locked Out:                no
    Partition Owner PIN To Be Changed:         no
    Partition Owner Login Attempts Left:       10 before Partition Owner is Locked Out
    Legacy Domain Has Been Set:                no
    Partition Storage Information (Bytes):     Total=207559, Used=1660,  Free=205899
    Partition Object Count:                    2
    
    Command Result : 0 (Success)
    
  4. Generieren Sie mit den im vorherigen Schritt erstellten Schlüsseln eine CSR mit dem CMU-Dienstprogramm.

    Stellen Sie sicher, dass Sie die entsprechenden Werte für den allgemeinen Namen (CN) und die E-Mail-Adresse (E) verwenden. Die erste Übereinstimmung entspricht dem FQDN, der im DNS-A-Datensatz verwendet wird, der der virtuellen IP (VPX) zugeordnet ist. Der E-Parameter wird verwendet, um die Details der Zertifikatsbeschaffung nach der Anfrage zu senden.

    root@IBMADC690867-s6dr# cmu requestcertificate
    
    Please enter password for token in slot 0 : **********
    
    Enter Subject 2-letter Country Code (C) : US
    Enter Subject State or Province Name (S) : North Carolina
    Enter Subject Locality Name (L) : Durham
    Enter Subject Organization Name (O) : IBM
    Enter Subject Organization Unit Name (OU) : HSM
    Enter Subject Common Name (CN) : hsmclient7.projectgoldfinch.net   
    Enter EMAIL Address (E) : user@yourdomain.com
    Enter output filename : certreqnss6dr.csr
    

    In der aufgelisteten Ausgabe kann der Dateiname jedoch alles sein, was eine .csr-Erweiterung hat, und es wird eine aussagekräftige Beschreibung empfohlen.

  5. Bestätigen Sie die Erstellung der Datei.

    root@IBMADC690867-s6dr# ls
    certreqnss6dr.csr       common                  multitoken              	server.pem
    ckdemo                  configurator            openssl.cnf             	uninstall.sh
    cmu                     lunacm                  salogin                 vtl