生成新自签名证书
如果当前自签名证书已到期或即将到期,那么可以通过使用管理 GUI 或命令行界面 (CLI) 来为系统生成新的自签名证书。
关于此任务
注: 更改系统证书将更改任何已配置的密钥服务器在系统上具有的信任。通过将系统证书导出到密钥服务器可在系统中重新建立密钥服务器信任。
在管理 GUI 中,选择,然后选择自签名证书并填写表单。
在命令行界面中使用以下步骤来生成自签名证书:
过程
要创建使用 RSA 2048 密钥类型并在一年内到期的自签名证书,请输入以下命令:
chsystemcert -mkselfsigned -keytype rsa2048 -validity 365可以指定其他值,例如,国家或地区、组织、公用名或主题备用名称。
Chrome 浏览器和其他浏览器需要“主题备用名称”,此名称是因特网公用密钥证书标准的扩展。“主题备用名称”扩展用于匹配域名和站点证书,可以是电子邮件地址、IP 地址、URI 或 DNS 名称。证书可包含这些值的集合,以便您可以在多个站点上使用此证书。
例如,要将 DNS 名称添加到主题备用扩展名中,请在 chsystemcert CLI 命令中包含以下参数:-subjectalternativename "DNS:dns.mysystem.com" 对于多个值,请使用建议的定界符来分隔 -subjectalternativename 参数的各个条目。可以混用定界符:
有关受支持的定界符的更多信息,请参阅 chsystemcert CLI 命令。
| 定界符名称 | 符号 | 示例 |
|---|---|---|
| 空格 | ( ) | -subjectalternativename "DNS:dns.myco.com IP:1.2.3.20 URI:http:\\www.myco.com email:support@myco.com" |
| 逗号 | (,) | -subjectalternativename "DNS:dns.myco.com,IP:1.2.3.20,URI:http:\\www.myco.com,email:support@myco.com" |
| 分号 | (;) | -subjectalternativename "DNS:dns.myco.com;IP:1.2.3.20;URI:http:\\www.myco.com;email:support@myco.com" |
| 换行符(针对 Linux 或 UNIX 操作系统) | (\n) | -subjectalternativename "DNS:dns.myco.com\nIP:1.2.3.20\nURI:http:\\www.myco.com\nemail:support@myco.com" |
| 制表符(针对 Linux 或 UNIX 操作系统) | (\t) | -subjectalternativename "DNS:dns.myco.com\tIP:1.2.3.20\tURI:http:\\www.myco.com\temail:support@myco.com" |
| 回车符(针对 Windows 操作系统) | (\r) | -subjectalternativename "DNS:dns.myco.com\rIP:1.2.3.20\rURI:http:\\www.myco.com\remail:support@myco.com" |
| 换行回车符(针对 Windows 操作系统) | (\r\n) | -subjectalternativename "DNS:dns.myco.com\r\nIP:1.2.3.20\r\nURI:http:\\www.myco.com\r\nemail:support@myco.com" |