chsystemcert

Use o comando chsystemcert para gerenciar o certificado Secure Sockets Layer (SSL) que está instalado em um sistema.

Sintaxe

Ler diagrama de sintaxeManter visual do diagrama de sintaxe chsystemcert -mkselfsigned-mkrequest-subjectalternativenamesubject_alternative_name-install-export-countrycountry-statestate-localitylocality-orgorganização-orgunitorganizationunit-emailemail-commonnamecommonname-keytypekeytype-validitydays-fileinput_file_pathname

Parâmetros

-mkselfsigned
(Opcional) Gera um certificado SSL autoassinado. Se você não especificar -mkselfsigned, -mkrequest, -export ou -install deverão ser especificados.
-mkrequest
(Opcional) Gera uma solicitação de certificado. Se você não especificar -mkrequest, -mkselfsigned, -export ou -install deverão ser especificados.
-install
(Opcional) Instale um certificado. Se você não especificar -install, -mkselfsigned, -mkrequest ou -export deverão ser especificados.
-export
(Opcional) Exporta o certificado SSL atual. O certificado é exportado para o diretório /dumps/certificate.pem no nó de configuração. Se você não especificar -export, -mkselfsigned, -mkrequest ou -install deverão ser especificados.
-subjectalternativename subject_alternative_name
(Opcional) Se especificado, este parâmetro permite dados de entrada de forma livre para o campo Nome Alternativo do Assunto do certificado autoassinado e da solicitação de assinatura de certificado. As novas informações são incluídas em Extensões Solicitadas e na subseção Extensões X509v3: Nome Alternativo do Assunto. É possível especificar esse parâmetro apenas com -mkselfsigned ou -mkrequest.
-country country
Para -mkselfsigned, esse parâmetro especifica o código do país de 2 dígitos para o certificado autoassinado.
Para -mkrequest, esse parâmetro especifica o código do país de 2 dígitos para a solicitação de certificado.
-state state
Para -mkselfsigned, esse parâmetro especifica as informações de estado para o certificado autoassinado. O valor pode ser uma sequência ASCII de 0 - 128 caracteres.
Para -mkrequest, esse parâmetro especifica as informações de estado para a solicitação de certificado. O valor pode ser uma sequência ASCII de 0 - 128 caracteres.
-locality locality
Para -mkselfsigned, esse parâmetro especifica as informações de localidade para o certificado autoassinado. O valor pode ser uma sequência ASCII no intervalo de 0 a 128 caracteres.
Para -mkrequest, este parâmetro especifica a informações de localidade para a solicitação de certificado. O valor pode ser uma sequência ASCII no intervalo de 0 a 128 caracteres.
-org organization
Para -mkselfsigned, esse parâmetro especifica as informações da organização para o certificado SSL. O valor pode ser uma sequência ASCII no intervalo de 0 a 64 caracteres.
Para -mkrequest, esse parâmetro especifica as informações da organização para o certificado SSL. O valor pode ser uma sequência ASCII no intervalo de 0 a 128 caracteres.
-orgunit organizationunit
Para -mkselfsigned, esse parâmetro especifica as informações da unidade de organização para o certificado SSL. O valor pode ser uma sequência ASCII no intervalo de 0 a 64 caracteres.
Para -mkrequest, esse parâmetro especifica as informações da unidade de organização para o certificado SSL. O valor pode ser uma sequência ASCII no intervalo de 0 a 64 caracteres.
-email email
Para -mkselfsigned, esse parâmetro especifica o endereço de e-mail usado no certificado SSL. O valor pode ser uma sequência ASCII no intervalo de 0 a 64 caracteres.
Para -mkrequest, esse parâmetro especifica o endereço de e-mail usado no certificado SSL. O valor pode ser uma sequência ASCII no intervalo de 0 a 64 caracteres.
-commonname commonname
Para -mkselfsigned, esse parâmetro especifica o nome comum para o certificado SSL. O valor pode ser uma sequência ASCII de 0 - 64 caracteres.
Para -mkrequest, esse parâmetro especifica o nome comum para o certificado SSL. O valor pode ser uma sequência ASCII de 0 - 64 caracteres.
-validity days
Especifica o número de dias (1-9000) em que o certificado autoassinado é válido.
-keytype keytpye
Especifica o tipo de chave de certificado SSL.
  • rsa2048
  • ecdsa384
  • ecdsa521
-file
Especifica o nome absoluto do caminho do certificado a ser instalado.
-force
Especifica que a solicitação de certificado pode ser excluída.

Descrição

Use este comando para gerenciar o certificado SSL que está instalado em um sistema. Também é possível executar os itens a seguir.
  • Gerar um novo certificado SSL autoassinado.
  • Criar uma solicitação de certificado a ser copiada do sistema e assinada por uma autoridade de certificação (CA).
    Nota: O certificado assinado que é retornado pela CA pode ser instalado.
  • Exportar o certificado SSL atual (por exemplo, para permitir que o certificado seja importado em um servidor de chaves).
Importante: Deve-se especificar um dos parâmetros a seguir:
  • -mkselfsigned
  • -mkrequest
  • -install
  • -export

Um exemplo de chamada para criar um certificado auto-assinado

chsystemcert -mkselfsigned

A saída detalhada resultante

Sem feedback

Um exemplo de chamada para criar um certificado auto-assinado com um nome comum

chsystemcert -mkselfsigned -commonname weiland.snpp.com

A saída detalhada resultante

Sem feedback

Um exemplo de chamada para criar um certificado auto-assinado com um tipo de chave e um período de validade de um ano

chsystemcert -mkselfsigned -keytype ecdsa521 -validity 365

A saída detalhada resultante

Sem feedback

Um exemplo de chamada

chsystemcert -mkrequest -country GB -state England -locality Manchester
 -org IBM -orgunit Storage -email support@ibm.com -commonname 9.71.47.125 -subjectalternativename
 "IP:9.71.47.125 IP:9.71.47.216 IP:9.71.47.238 DNS:tb5hshared2-n1.ssd.hursley.ibm.com DNS:tb5hshared2-n2.ssd.hursley.ibm.com
 DNS:tb5hshared2-cl.ssd.hursley.ibm.com DNS:*.ssd.hursley.ibm.com IP:2002:914:fc12:849:9abe:94ff:fe31:9a9\nemail:support@uk.ibm.com
\tURI:https://tb5hshared2-cl.ssd.hursley.ibm.com"

A saída detalhada resultante

X509v3 Subject Alternative Name:
Endereço IP: 9.71.47.125, Endereço IP: 9.71.47.216, Endereço IP: 9.71.47.238, 
DNS: tb5hshared2-n1.ssd.hursley.ibm.com, DNS: tb5hshared2-n2.ssd.hursley.ibm.com, 
DNS:tb5hshared2-cl.ssd.hursley.ibm.com, DNS:*.ssd.hursley.ibm.com, IP Address:2002:914:FC12:849:9ABE:94FF:FE31:9A9,
 email:support@uk.ibm.com, URI:https://tb5hshared2-cl.ssd.hursley.ibm.com

Um exemplo de chamada

svctask chsystemcert -mkselfsigned -country GB -state England -locality Manchester
 -org IBM -orgunit Systems -commonname 9.71.48.46 -email support@ibm.com -subjectalternativename
 "DNS:*.ssd.hursley.ibm.com URI:https://sv1shared4-cl.ssd.hursley.ibm.com,email:support@ibm.com;
IP:9.71.48.46\nIP:9.71.49.35\tIP:9.71.49.46\rIP:9.71.49.44\r\nIP:9.71.49.39;DNS:sv1shared4-cl.ssd.hursley.ibm.com,
DNS:sv1shared4-n1.ssd.hursley.ibm.com DNS:sv1shared4-n2.ssd.hursley.ibm.com\rDNS:sv1shared1-n1.ssd.hursley.ibm.com
\nDNS:sv1shared1-n2.ssd.hursley.ibm.com IP:2001:DB8:85A3:0:0:8A2E:370:7334"

A saída detalhada resultante

Extensões X509v3:
X509v3 Subject Alternative Name:
DNS:*.ssd.hursley.ibm.com, URI:https://sv1shared4-cl.ssd.hursley.ibm.com, email:support@uk.ibm.com,
IP Address:9.71.48.46, IP Address:9.71.49.35, IP Address:9.71.49.46, IP Address:9.71.49.44, 
IP Address:9.71.49.39, DNS:sv1shared4-cl.ssd.hursley.ibm.com, DNS:sv1shared4-n1.ssd.hursley.ibm.com,
DNS:sv1shared4-n2.ssd.hursley.ibm.com, DNS:sv1shared1-n1.ssd.hursley.ibm.com, DNS:sv1shared1-n2.ssd.hursley.ibm.com,
Endereço IP: 2001:DB8:85A3:0:0:8A2E: 370:7334