Crear claves y generar la Solicitud de firma de certificado (CSR)
Puede crear un par de claves para generar una Solicitud de firma de certificado (CSR). Además, necesita el par de claves para pedir o solicitar un certificado para configurar aún más el HSM para el Citrix Netscaler VPX.
-
Primero, confirme la lista de objetos en VPX. Utilice la contraseña especificada para esta partición durante la creación.
root@IBMADC690867-s6dr# cmu list Please enter password for token in slot 0 : **********Esta salida confirma que no existen objetos, ya que la salida está vacía.
A continuación, compruebe que el recuento de objetos es
0en el HSM mostrando los detalles de la partición:[jpmongehsm2] lunash:>partition show -p partition6 Partition Name: partition6 Partition SN: 534071053 Partition Label: partition6 Partition Owner Locked Out: no Partition Owner PIN To Be Changed: no Partition Owner Login Attempts Left: 10 before Partition Owner is Locked Out Legacy Domain Has Been Set: no Partition Storage Information (Bytes): Total=207559, Used=0, Free=207559 Partition Object Count: 0 Command Result : 0 (Success)El comando que aparece en el ejemplo anterior utiliza la siguiente sintaxis:
partition show -p <partition_name> -
Mediante la Utilidad de gestión de certificados (CMU) en VPX, cree un par de claves utilizando el comando que se muestra en el siguiente ejemplo. Una vez más, utilice la contraseña de partición designada.
root@IBMADC690867-s6dr# cmu gen -modulusBits=2048 -publicExponent=65537 -sign=T -verify=T -label=NSkey_s6dr Please enter password for token in slot 0 : ********** Select RSA Mechanism Type - [1] PKCS [2] FIPS 186-3 Only Primes [3] FIPS 186-3 Auxiliary Primes : 1En la sintaxis anterior, el parámetro
modulusBitsindica la longitud en bits de las claves RSA, mientras quepublicExponentdefine el valor del exponente público que se utilizará para la generación de las claves.publicExponentdebe establecerse en3,17o65537. La palabra clave "etiqueta" se utiliza para especificar la etiqueta para que se haga referencia a ella de manera sencilla y se pueda identificar más adelante. Para más información sobre, los otros dos / parámetros extra consulte la Guía de Referencia de Utilidades. -
Confirme que se han creado objetos. En VPX:
root@IBMADC690867-s6dr# cmu list Please enter password for token in slot 0 : ********** handle=76 label=NSkey_s6dr handle=73 label=NSkey_s6drEn HSM:
[jpmongehsm2] lunash:>partition show -p partition6 Partition Name: partition6 Partition SN: 534071053 Partition Label: partition6 Partition Owner Locked Out: no Partition Owner PIN To Be Changed: no Partition Owner Login Attempts Left: 10 before Partition Owner is Locked Out Legacy Domain Has Been Set: no Partition Storage Information (Bytes): Total=207559, Used=1660, Free=205899 Partition Object Count: 2 Command Result : 0 (Success) -
Con las claves creadas en el paso anterior, genere una CSR con la utilidad CMU.
Asegúrese de utilizar los valores adecuados para Nombre común (CN) y Correo electrónico (E). El primero coincide con el FQDN utilizado en el registro A de DNS que está asociado con la IP virtual (VPX). El parámetro E se utilizará para enviar los detalles de obtención del certificado tras la solicitud.
root@IBMADC690867-s6dr# cmu requestcertificate Please enter password for token in slot 0 : ********** Enter Subject 2-letter Country Code (C) : US Enter Subject State or Province Name (S) : North Carolina Enter Subject Locality Name (L) : Durham Enter Subject Organization Name (O) : IBM Enter Subject Organization Unit Name (OU) : HSM Enter Subject Common Name (CN) : hsmclient7.projectgoldfinch.net Enter EMAIL Address (E) : user@yourdomain.com Enter output filename : certreqnss6dr.csrSin embargo, en la salida que se enumera, el nombre de archivo puede ser cualquier cosa con una extensión .csr se recomienda una descripción significativa.
-
Confirme la creación del archivo.
root@IBMADC690867-s6dr# ls certreqnss6dr.csr common multitoken server.pem ckdemo configurator openssl.cnf uninstall.sh cmu lunacm salogin vtl