请求并安装新签名证书
如果当前签名证书已到期或即将到期,那么可以从认证中心请求新的签名证书。
关于此任务
注: 更改系统证书将更改任何已配置的密钥服务器在系统中具有的信任。通过将系统证书导出到密钥服务器可在系统中重新建立密钥服务器信任。
在管理 GUI 中,选择设置 > 安全性 > 安全通信,然后选择签名证书并填写表单来为系统创建签名证书请求。从认证中心收到证书之后,使用此面板在系统上安装该证书。
过程
-
在命令行界面中,输入以下命令来创建新证书请求:
证书请求会自动写入到 /dumps/certificate.csr。chsystemcert -mkrequest -keytype ecdsa521 -country GB -state Hampshire -locality Hursley -org MYCO -orgunit Storage -commonname svcsystem1.myco.com -email admin@myco.comChrome 浏览器和其他浏览器需要“主题备用名称”,此名称是因特网公用密钥证书标准的扩展。“主题备用名称”扩展用于匹配域名和站点证书,可以是电子邮件地址、IP 地址、URI 或 DNS 名称。证书可包含这些值的集合,以便您可以在多个站点上使用此证书。
例如,要将 DNS 名称添加到主题备用扩展名中,请在 chsystemcert CLI 命令中包含以下参数:-subjectalternativename "DNS:dns.mysystem.com" 对于多个值,请使用建议的定界符来分隔 -subjectalternativename 参数的各个条目。可以混用定界符:有关受支持的定界符的更多信息,请参阅 chsystemcert CLI 命令。表 1. 建议的定界符 定界符名称 符号 示例 空格 ( ) -subjectalternativename "DNS:dns.myco.com IP:1.2.3.20 URI:http:\\www.myco.com email:support@myco.com" 逗号 (,) -subjectalternativename "DNS:dns.myco.com,IP:1.2.3.20,URI:http:\\www.myco.com,email:support@myco.com" 分号 (;) -subjectalternativename "DNS:dns.myco.com;IP:1.2.3.20;URI:http:\\www.myco.com;email:support@myco.com" 换行符(针对 Linux 或 UNIX 操作系统) (\n) -subjectalternativename "DNS:dns.myco.com\nIP:1.2.3.20\nURI:http:\\www.myco.com\nemail:support@myco.com" 制表符(针对 Linux 或 UNIX 操作系统) (\t) -subjectalternativename "DNS:dns.myco.com\tIP:1.2.3.20\tURI:http:\\www.myco.com\temail:support@myco.com" 回车符(针对 Windows 操作系统) (\r) -subjectalternativename "DNS:dns.myco.com\rIP:1.2.3.20\rURI:http:\\www.myco.com\remail:support@myco.com" 换行回车符(针对 Windows 操作系统) (\r\n) -subjectalternativename "DNS:dns.myco.com\r\nIP:1.2.3.20\r\nURI:http:\\www.myco.com\r\nemail:support@myco.com" - 使用安全拷贝 (scp) 从系统拷贝文件 /dumps/certificate.csr ,并将此文件发送到认证中心 (CA) 进行签名。认证中心会返回签名证书。收到证书后,使用 scp 将证书复制回系统上的文件 /dumps/certificate.cer 中,其中 certificate.cer 是证书的名称。
-
将证书复制到系统后,通过输入以下命令在系统上安装证书。
chsystemcert -install -file /dumps/certificate.cer