Current File : //usr/share/man/zh_CN.UTF-8/man1m/ikecert.1m

'\" te
.\" Copyright (c) 2009, 2015, Oracle and/or its affiliates.All rights reserved.
.TH ikecert 1M "2015 年 9 月 11 日" "SunOS 5.11" "系统管理命令"
.SH 名称
ikecert \- 处理计算机文件系统上的公钥证书数据库
.SH 用法概要
.LP
.nf
\fBikecert\fR certlocal 
     [\fB-a\fR | \fB-e\fR | \fB-h\fR | \fB-k\fR | \fB-l\fR | \fB-r\fR | \fB-U\fR | \fB-C\fR | \fB-L\fR] 
     [[\fB-p\fR] \fB-T\fR \fIPKCS#11 token identifier\fR] 
     [\fIoption_specific_arguments\fR]...
.fi

.LP
.nf
\fBikecert\fR certdb [\fB-a\fR | \fB-e\fR | \fB-h\fR | \fB-l\fR | \fB-r\fR | \fB-U\fR | \fB-C\fR | \fB-L\fR] 
     [[\fB-p\fR] \fB-T\fR \fIPKCS#11 token identifier\fR] 
     [\fIoption_specific_arguments\fR]...
.fi

.LP
.nf
\fBikecert\fR certrldb [\fB-a\fR | \fB-e\fR | \fB-h\fR | \fB-l\fR | \fB-r\fR] 
     [\fIoption_specific_arguments\fR]...
.fi

.LP
.nf
\fBikecert\fR tokens
.fi

.SH 描述
.sp
.LP
\fBikecert\fR 命令处理计算机文件系统上的公钥证书数据库。请参见下文的“文件”部分。
.sp
.LP
\fBikecert\fR 有三个子命令分别对应于三个主要系统信息库，还有一个子命令用于列出可用硬件令牌：
.RS +4
.TP
.ie t \(bu
.el o
\fBcertlocal\fR，用于处理私钥系统信息库
.RE
.RS +4
.TP
.ie t \(bu
.el o
\fBcertdb\fR，用于处理公钥系统信息库
.RE
.RS +4
.TP
.ie t \(bu
.el o
\fBcertrldb\fR，用于处理证书撤销列表 (certificate revocation list, \fBCRL\fR) 系统信息库。
.RE
.RS +4
.TP
.ie t \(bu
.el o
\fBtokens\fR，用于显示给定 PKCS#11 库的可用 PKCS#11 令牌。
.RE
.sp
.LP
支持的唯一 PKCS#11 库和硬件是 Sun Cryptographic Accelerator 4000。
.SH 选项
.sp
.LP
除 \fBtokens\fR 以外，每个子命令都需要一个选项，后面可能跟有一个或多个特定于选项的参数。
.sp
.LP
\fBtokens\fR 子命令列出 \fB/etc/inet/ike/config\fR 中指定的 PKCS#11 库中的所有可用令牌。
.sp
.LP
支持以下选项：
.sp
.ne 2
.mk
.na
\fB\fB-a\fR\fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fBcertlocal\fR
.ad
.sp .6
.RS 4n
当随 \fBcertlocal\fR 子命令一起指定时，此选项将私钥安装（添加）到 Internet 密钥交换 (Internet Key Exchange, \fBIKE\fR) 本地 \fBID\fR 数据库中。密钥数据从标准输入读取，并且采用仅限 Solaris 的格式或未加密的 PKCS#8 DER 格式。自动检测密钥格式。无法识别 PEM 格式的 PKCS#8 密钥文件和受口令保护的加密格式的文件，但可以使用 OpenSSL 中提供的工具对这些文件进行相应转换。
.sp
当对应的公共证书已不在 \fBIKE\fR 数据库中时，此选项不能用于 PKCS#11 硬件对象。当同时导入公共证书和私钥时，必须首先使用 \fBcertdb\fR 子命令导入公共证书。
.RE

.sp
.ne 2
.mk
.na
\fBcertdb\fR
.ad
.sp .6
.RS 4n
当随 \fBcertdb\fR 子命令一起指定时，此选项从标准输入读取证书，并将其添加到 \fBIKE\fR 证书数据库。该证书必须是采用 \fBPEM Base64\fR 或 \fBASN.1 BER\fR 编码的 \fBX.509\fR 证书。证书采用其标识名称。
.sp
此选项可采用下列两种方法之一将证书导入到 PKCS#11 硬件密钥存储：使用 \fBcertlocal\fR \fB- kc\fR 选项创建匹配的公钥对象和\fB\fR现有私钥对象，或者如果明确指定了 PKCS#11 令牌，则使用 \fB- T\fR 选项。
.RE

.sp
.ne 2
.mk
.na
\fBcertrldb\fR
.ad
.sp .6
.RS 4n
当随 \fBcertrldb\fR 子命令一起指定时，此选项将 \fBCRL\fR 安装（添加）到 \fBIKE\fR 数据库中。\fBCRL\fR 从标准输入读取。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-e\fR [\fB-f\fR pkcs8] \fIslot \fR\fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fBcertlocal\fR
.ad
.sp .6
.RS 4n
当随 \fBcertlocal\fR 子命令一起指定时，此选项从 \fBIKE\fR 本地 \fBID\fR 数据库中提取私钥。密钥数据写入到标准输出。插槽指定要提取的私钥。私钥仅以二进制/ber 格式提取。
.sp
\fB请慎用此选项。\fR请参见下文的“安全”部分。
.sp
此选项不适用于 PKCS#11 硬件对象。
.sp
当与 \fB-f\fR \fBpkcs8\fR 结合使用时，将以未加密的 PKCS#8 格式提取私钥。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-e\fR [\fB-f\fR \fIoutput-format \fR] \fBcertspec\fR\fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fBcertdb\fR
.ad
.sp .6
.RS 4n
当随 \fBcertdb\fR 子命令一起指定时，此选项从与 certspec 匹配的 IKE 证书数据库中提取证书，并将其写入到标准输出。\fIoutput-format\fR 选项指定编码格式。有效选项包括 \fBPEM\fR 和 \fBBER\fR。它会提取第一个匹配的标识。缺省输出格式为 \fBPEM\fR。
.RE

.sp
.ne 2
.mk
.na
\fBcertrldb\fR
.ad
.sp .6
.RS 4n
当随 \fBcertrldb\fR 子命令一起指定时，此选项从 IKE 数据库提取 \fBCRL\fR。密钥数据写入到标准输出。\fBcertspec\fR 指定提取的 CRL。将提取数据库中的第一个匹配 CRL。有关 \fBcertspec\fR 模式的详细信息，请参见下文的\fB\fR“附注”部分。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-kc\fR \fB-m\fR \fIkeysize\fR \fB- t\fR \fIkeytype\fR \fB-D\fR \fIdname \fR \fB-A\fR \fIaltname\fR[ ... ]\fR
.ad
.br
.na
\fB[\fB-S\fR \fIvalidity start_time\fR][\fB- F\fR \fIvalidity end_time\fR]\fR
.ad
.br
.na
\fB[\fB-T\fR \fI PKCS#11 token identifier\fR]\fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fBcertlocal\fR
.ad
.sp .6
.RS 4n
当随 \fBcertlocal\fR 子命令一起指定时，此选项生成一个 IKE 公钥/私钥对，并将其添加到本地 ID 数据库。此外，它还会生成证书请求，并将其发送到标准输出。有关上述选项的详细信息，请参见Notes以获取有关 \fIdname\fR 参数的详细信息，并参见“替代名称”了解有关此命令的 \fIaltname\fR 参数的详细信息。
.sp
如果指定了 \fB-T\fR，硬件令牌将生成密钥对。
.sp
如果与 \fB-T\fR 一起指定了 \fB-p\fR，则会将 PKCS#11 令牌个人识别码存储在明确磁盘上，并具有受 root 保护的文件权限。如果未指定，用户必须在运行 \fBin.iked\fR(1M) 时使用 \fBikeadm\fR(1M) 解除令牌的锁定。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-ks\fR \fB-m\fR \fIkeysize\fR \fB- t\fR \fIkeytype\fR \fB-D\fR \fIdname \fR \fB-A\fR \fIaltname\fR[ ... ]\fR
.ad
.br
.na
\fB[\fB-S\fR \fIvalidity start_time\fR][\fB- F\fR \fIvalidity end_time\fR]\fR
.ad
.br
.na
\fB[\fB-f\fR \fI output-format\fR][[\fB-p\fR] \fB-T\fR \fI PKCS#11 token identifier\fR]\fR
.ad
.br
.na
\fB\fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fBcertlocal\fR
.ad
.sp .6
.RS 4n
当随 \fBcertlocal\fR 子命令一起指定时，此选项生成一个公钥/私钥对，并将其添加到本地 ID 数据库。此外，此选项还会生成一个自签名证书，并将其安装到证书数据库。有关此命令的 \fIdname\fR 和 \fIaltname\fR 参数的详细信息，请参见下文的\fB\fR“附注”部分。
.sp
如果指定了 \fB-T\fR，硬件令牌将生成密钥对，并将自签名证书存储到此硬件中。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-l\fR [\fB-v\fR] [\fIslot\fR] \fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fBcertlocal\fR
.ad
.sp .6
.RS 4n
当随 \fBcertrldb\fR 子命令一起指定时，此选项列出本地 ID 数据库中的私钥。\fB-v\fR 选项将输出切换到详细模式，在此模式下将输出完整证书。
.sp
\fB请慎用\fR \fB-v\fR\fB 选项。\fR请参见下文的“安全”部分。\fB-v\fR 选项不适用于 PKCS#11 硬件对象。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-l\fR [\fB-v\fR] [certspec]\fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fBcertdb\fR
.ad
.sp .6
.RS 4n
当随 \fBcertdb\fR 子命令一起指定时，此选项列出 IKE 证书数据库中与 certspec 匹配的的证书（如果指定了任何模式）。此列表显示证书的标识字符串以及私钥（如果位于密钥数据库中）。\fB-v\fR 将输出切换到详细模式，在此模式下将输出完整证书。
.sp
如果匹配的证书位于硬件令牌上，则还会列出令牌 ID。
.RE

.sp
.ne 2
.mk
.na
\fBcertrldb\fR
.ad
.sp .6
.RS 4n
当随 \fBcertrldb\fR 子命令一起指定时，此选项列出 IKE 数据库中的 CRL 以及位于此数据库中且与颁发机构名称匹配的所有证书。\fBcertspec\fR 可用于指定列出特定 CRL。\fB-v\fR 选项将输出切换到详细模式，在此模式下将输出完整证书。有关 \fBcertspec\fR 模式的详细信息，请参见下文的\fB\fR“附注”部分。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-r\fR \fIslot\fR\fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fBcertlocal\fR
.ad
.sp .6
.RS 4n
当随 \fBcertlocal\fR 子命令一起指定时，此选项删除指定插槽中的本地 ID。如果存在对应的公钥，则不会删除此 ID。如果此插槽被视为“已损坏”或无法识别，则也会删除此 ID。
.sp
如果对 PKCS#11 硬件对象调用了此选项，则还会删除 PKCS#11 公钥和私钥对象。如果已使用 \fBcertdb\fR \fB-r\fR 删除公钥对象，则不会导致问题。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-r\fR certspec\fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fBcertdb\fR
.ad
.sp .6
.RS 4n
从 IKE 证书数据库删除证书。会删除与指定证书模式匹配的证书。不会删除 \fBcertlocal\fR 数据库中与这些证书对应的任何私钥。这会删除第一个匹配的标识。
.sp
如果模式指定了一个插槽，并且此插槽被视为“已损坏”或无法识别，则也会删除该插槽。
.sp
如果对 PKCS#11 硬件对象调用了此选项，则还会删除证书和 PKCS#11 公钥对象。如果已使用 \fBcertlocal\fR \fB-r\fR 删除公钥对象，则不会导致问题。
.RE

.sp
.ne 2
.mk
.na
\fBcertrldb\fR
.ad
.sp .6
.RS 4n
当随 \fBcertrldb\fR 子命令一起指定时，此选项删除具有给定 \fBcertspec\fR 的 CRL。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-U\fR slot\fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fB\fBcertlocal\fR\fR
.ad
.sp .6
.RS 4n
当随 \fBcertlocal\fR 子命令和 \fB-T\fR 标志一起指定时，此选项会解除 PKCS#11 私钥对象与 IKE 数据库之间的链接。系统不会尝试访问硬件 Keystore 或者验证或删除令牌上的私钥对象，而仅仅取消此对象与 IKE 数据库之间的关联。
.RE

.sp
.ne 2
.mk
.na
\fB\fBcertdb\fR\fR
.ad
.sp .6
.RS 4n
当随 \fBcertdb\fR 子命令和 \fB-T\fR 标志一起指定时，此选项会解除 PKCS#11 证书对象与 IKE 数据库之间的链接。系统不会尝试访问硬件 Keystore 或者验证或删除令牌上的证书或公钥对象，而仅仅取消这些对象与 IKE 数据库之间的关联。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-C\fR certspec\fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fBcertlocal\fR
.ad
.sp .6
.RS 4n
当随 \fBcertlocal\fR 子命令一起指定时，此选项从磁盘上的 Keystore 将私钥（及其相应证书）和公钥复制到其 PKCS#11 令牌指定的硬件 Keystore。此子命令尝试创建其中每个组件，即使某个组件创建失败也是如此。在所有情况下，仍会保留磁盘上的原始私钥和公共证书，因此必须单独删除它们。某些硬件 Keystore（例如，符合 FIPS-140 的设备）可能不支持以此种方式迁移私钥对象。
.RE

.sp
.ne 2
.mk
.na
\fBcertdb\fR
.ad
.sp .6
.RS 4n
当随 \fBcertdb\fR 子命令一起指定时，此选项将与给定 \fBcertspec\fR 匹配的证书及相应公钥从磁盘上的 Keystore 复制到其 PKCS#11 令牌指定的硬件 Keystore。系统仍会保留原始公共证书，因此必须根据需要单独删除这些证书。
.sp
如果指定了 \fB-p\fR，则会将 PKCS#11 令牌个人识别码存储在明确磁盘上，并具有受 root 保护的文件权限。如果未指定，用户必须在运行 \fBin.iked\fR(1M) 时使用 \fBikeadm\fR(1M) 解除令牌的锁定。
.RE

.RE

.sp
.ne 2
.mk
.na
\fB\fB-L\fR pattern\fR
.ad
.sp .6
.RS 4n
.sp
.ne 2
.mk
.na
\fBcertlocal\fR
.ad
.sp .6
.RS 4n
当随 \fBcertlocal\fR 子命令一起指定时，此选项将现有令牌上的私钥对象链接到 \fBIKE\fR 数据库。此对象本身保留在令牌中。此选项只是让 \fBIKE\fR 基础结构了解对象是否存在，就像最初使用 Solaris \fBIKE\fR 实用程序在令牌上创建了此对象一样。
.RE

.sp
.ne 2
.mk
.na
\fBcertdb\fR
.ad
.sp .6
.RS 4n
当随 \fBcertdb\fR 子命令一起指定时，此选项将现有令牌上的证书对象链接到 \fBIKE\fR 数据库。此对象本身保留在令牌中。此选项只是让 \fBIKE\fR 基础结构了解对象是否存在，就像最初使用 Solaris \fBIKE\fR 实用程序在令牌上创建了此对象一样。
.sp
如果指定了 \fB-p\fR，则会将 PKCS#11 令牌个人识别码存储在明确磁盘上，并具有受 root 保护的文件权限。如果未指定，用户必须在运行 \fBin.iked\fR(1M) 时使用 \fBikeadm\fR(1M) 解除令牌的锁定。
.RE

.RE

.SH 参数
.sp
.LP
支持的参数如下：
.sp
.ne 2
.mk
.na
\fBcertspec\fR
.ad
.sp .6
.RS 4n
指定与证书规范匹配的模式。有效 \fBcertspec\fR 包括“主题名称”、“颁发机构名称”和“拥有者替代名称”。
.sp
上述各项可指定与给定 \fBcertspec\fR 值匹配且不与其他 \fBcertspec\fR 值匹配的证书。要指定不应存在于证书中的 \fBcertspec\fR 值，请在该标记前加 \fB!\fR。
.sp
有效 \fBcertspec\fR 包括：
.sp
.in +2
.nf
<Subject Names>
SUBJECT=<Subject Names>
ISSUER=<Issuer Names>
SLOT=<Slot Number in the certificate database>

Example:"ISSUER=C=US, O=SUN" IP=1.2.3.4 !DNS=example.com
Example:"C=US,   O=CALIFORNIA" IP=5.4.2.1 DNS=example.com 
.fi
.in -2
.sp

替代名称的有效参数如下：
.sp
.in +2
.nf
IP=<IPv4 address>
DNS=<Domain Name Server address>
EMAIL=<email (RFC 822) address>
URI=<Uniform Resource Indicator value>
DN=<LDAP Directory Name value>
RID=<Registered Identifier value>
.fi
.in -2
.sp

可以指定不带关键字标记的有效插槽编号。也可以发布具有关键字标记的替代名称。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-A\fR\fR
.ad
.sp .6
.RS 4n
证书的拥有者替代名称。\fB-A\fR 选项后的参数应采用\fI标记\fR=\fI值\fR格式。有效标记包括 \fBIP\fR、\fBDNS\fR、\fBEMAIL\fR、\fBURI\fR、\fBDN\fR 和 \fBRID\fR（请参见下文的示例）。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-D\fR\fR
.ad
.sp .6
.RS 4n
证书主题的 \fBX.509\fR 标识名。它通常具有以下格式：\fBC\fR=country，\fBO\fR=organization，\fBOU\fR=organizational unit，\fBCN\fR=common name。有效标记包括：\fBC\fR、\fBO\fR、\fBOU\fR 和 \fBCN\fR。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-f\fR\fR
.ad
.sp .6
.RS 4n
编码输出格式，包括 \fBpem\fR（表示 \fBPEM Base64\fR）或 \fBber\fR（表示 \fBASN.1 BER\fR）。如果未指定 \fB-f\fR，则采用 \fBpem\fR。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-F\fR \fIvalidity end_time\fR\fR
.ad
.sp .6
.RS 4n
证书有效期结束时间。如果未指定 \fB-F\fR 标志，有效期结束时间则为自有效期开始时间起的四年后。有关有效日期和时间语法的说明，请参见\fB\fR“附注”部分。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-m\fR\fR
.ad
.sp .6
.RS 4n
密钥大小。此大小可以为 \fB512\fR、\fB1024\fR、\fB2048\fR、\fB3072\fR 或 \fB4096\fR。使用下面的命令可确定 Solaris 加密框架支持的密钥大小：
.sp
.in +2
.nf
% \fBcryptoadm list -vm\fR
.fi
.in -2
.sp

\fBpkcs11_softtoken\fR(5) 中介绍了上面的命令所显示的机制。如果您的系统具有硬件加速，该硬件支持的机制将在各提供器的单独部分中列出。机制可以是下列机制之一：
.sp
.in +2
.nf
CKM_RSA_PKCS_KEY_PAIR_GEN
CKM_DSA_KEY_PAIR_GEN
CKM_DH_PKCS_KEY_PAIR_GEN
.fi
.in -2
.sp

建议针对 RSA 密钥使用 2048 位的最小密钥大小。更小的密钥大小将被视为已过时。
.LP
注 - 
.sp
.RS 2
某些硬件仅支持某些密钥大小。例如，Sun Cryptographic Accelerator 4000 的 Keystore（当使用下面的 \fB-T\fR 选项时）最多仅对 RSA 支持 2048 位密钥，并对 DSA 支持 1024 位密钥。
.RE
.RE

.sp
.ne 2
.mk
.na
\fB\fB-S\fR \fIvalidity start_time\fR\fR
.ad
.sp .6
.RS 4n
证书有效期开始时间。如果未指定 \fB-S\fR 标志，则将当前日期和时间用作有效期开始时间。有关有效日期和时间语法的说明，请参见下文的\fB\fR“附注”部分。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-t\fR\fR
.ad
.sp .6
.RS 4n
密钥类型。它可以为 \fBrsa-sha1\fR、\fBrsa-sha256 \fR、\fBrsa-sha384\fR、\fBrsa-sha512\fR、\fB rsa-md5\fR、\fBdsa-sha1\fR 或 \fBdsa-sha256\fR。使用 \fBsha1\fR 和\fBmd5\fR 作为证书签名算法将被视为已过时。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-T\fR\fR
.ad
.sp .6
.RS 4n
硬件密钥存储的 PKCS#11 令牌标识符。此选项指定符合 PKCS#11 标准的硬件设备实例。PKCS#11 库必须在 \fB/etc/inet/ike/config\fR 中指定。（请参见 \fBike.config\fR(4)。）
.sp
令牌标识符是包含 32 个字符的由空格补充的字符串。如果给定令牌的长度小 32 个字符，则会使用空格自动填充此令牌。
.sp
如果系统中存在多个 PKCS#11 库，请记住一次只能在 \fB/etc/inet/ike/config\fR 中指定一个 PKCS#11 库。一个 PKCS#11 库实例可能对应多个令牌（每个令牌具有单独的密钥存储）。
.RE

.SH 安全
.sp
.LP
此命令可将公钥-密钥对的私钥保存到文件中。如果恶意方通过某种方式获取了私钥，以任何途径泄露私钥都可能会导致攻击。
.sp
.LP
PKCS#11 硬件对象功能可克服磁盘上私钥的某些缺点。由于 IKE 是系统设备，因此不需要在引导时进行用户介入。但是，仍需要令牌的个人识别码。因此，PKCS#11 令牌的个人识别码存储在磁盘上的加密密钥通常所在的位置。通过使用硬件密钥存储，仍然无法\fB拥有\fR密钥，只有在主机面临安全风险时\fB使用\fR密钥才会导致问题，因此此设计决策可被接受。若不使用个人识别码，\fBikecert\fR 安全性会降低为 PKCS#11 实现的安全性。因此，还应当仔细检查 PKCS#11 实现。
.sp
.LP
有关其他信息，请参见 Matt Blaze 在 Bruce Schneier 编著的《\fIApplied Cryptography: Protocols, Algorithms, and Source Code in C.\fR》中撰写的后记。
.SH 示例
.LP
\fB示例 1 \fR生成自签名证书
.sp
.LP
下面是自签名证书的示例：

.sp
.in +2
.nf
example# \fBikecert certlocal -ks -m 2048 -t rsa-sha256 -D "C=US, O=SUN" \ 
-A IP=1.2.3.4\fR
IP=1.2.3.4
Generating, please wait...
Certificate generated.
Certificate added to database.
-----BEGIN X509 CERTIFICATE-----
MIIBRDCB76ADAgECAgEBMA0GCSqGSIb3DQEBBAUAMBsxCzAJBgNVBAYTAlVTMQww
CgYDVQQKEwNTVU4wHhcNMDEwMzE0MDEzMDM1WhcNMDUwMzE0MDEzMDM1WjAbMQsw
CQYDVQQGEwJVUzEMMAoGA1UEChMDU1VOMFowDQYJKoZIhvcNAQEBBQADSQAwRgJB
APDhqpKgjgRoRUr6twTMTtSuNsReEnFoReVer!ztpXpQK6ybYlRH18JIqU/uCV/r
26R/cVXTy5qc5NbMwA40KzcCASOjIDAeMAsGA1UdDwQEAwIFoDAPBgNVHREECDAG
hwQBAgMEMA0GCSqGSIb3DQEBBAUAA0EApTRD23KzN95GMvPD71hwwClukslKLVg8
f1xm9ZsHLPJLRxHFwsqqjAad4j4wwwriiUmGAHLTGB0lJMl8xsgxag==
-----END X509 CERTIFICATE-----
.fi
.in -2
.sp

.LP
\fB示例 2 \fR生成 CA 请求
.sp
.LP
生成 \fBCA\fR 请求的语法与生成自签名证书的基本相同。二者之间的唯一区别在于使用选项 \fB-c\fR 而非 \fB-s\fR，并且证书数据为 \fBCA\fR 请求。

.sp
.in +2
.nf
example# \fBikecert certlocal -kc -m 2048 -t rsa-sha256 \ 
   -D "C=US, O=SUN" -A IP=1.2.3.4\fR
.fi
.in -2
.sp

.LP
\fB示例 3 \fR使用硬件密钥存储的 CA 请求
.sp
.LP
下面的示例展示如何使用 \fB-T\fR 选项指定令牌。

.sp
.in +2
.nf
example# \fBikecert certlocal -kc -m 2048 -t rsa-sha256 \ 
-T vca0-keystore -D "C=US, O=SUN" -A IP=1.2.3.4\fR
.fi
.in -2
.sp

.SH 退出状态
.sp
.LP
将返回以下退出值：
.sp
.ne 2
.mk
.na
\fB\fB0\fR\fR
.ad
.sp .6
.RS 4n
成功完成。
.RE

.sp
.ne 2
.mk
.na
\fB\fB非零值\fR\fR
.ad
.sp .6
.RS 4n
出现错误。在标准错误中写入相应错误消息。
.RE

.SH 文件
.sp
.ne 2
.mk
.na
\fB\fB/etc/inet/secret/ike.privatekeys/*\fR\fR
.ad
.sp .6
.RS 4n
私钥。私钥\fB\fR必须在 \fB/etc/inet/ike/publickeys/\fR 中具有匹配的同名公钥证书。
.RE

.sp
.ne 2
.mk
.na
\fB\fB/etc/inet/ike/publickeys/*\fR\fR
.ad
.sp .6
.RS 4n
公钥证书。这些名称仅对匹配私钥名称至关重要。
.RE

.sp
.ne 2
.mk
.na
\fB\fB/etc/inet/ike/crls/*\fR\fR
.ad
.sp .6
.RS 4n
公钥证书撤销列表。
.RE

.sp
.ne 2
.mk
.na
\fB\fB/etc/inet/ike/config\fR\fR
.ad
.sp .6
.RS 4n
参考此文件以获取 PKCS#11 库的路径名。
.RE

.SH 属性
.sp
.LP
有关下列属性的说明，请参见 \fBattributes\fR(5)：
.sp

.sp
.TS
tab() box;
cw(2.75i) |cw(2.75i) 
lw(2.75i) |lw(2.75i) 
.
属性类型属性值
_
可用性system/core-os
_
接口稳定性Committed（已确定）
.TE

.SH 另请参见
.sp
.LP
\fBikeadm\fR(1M)、\fBin.iked\fR(1M)、\fBgetdate\fR(3C)、\fBike.config\fR(4)、\fBattributes\fR(5)、\fBpkcs11_softtoken\fR(5)
.sp
.LP
由 Bruce Schneier 编著的《\fIApplied Cryptography: Protocols, Algorithms, and Source Code in C\fR》第 2 版。John Wiley & Sons 出版。纽约。1996 年。
.sp
.LP
由 RSA Labs 编著的 PKCS#11 v2.11：《\fICryptographic Token Interface Standards\fR》，2001 年 11 月。
.SH 附注
.sp
.LP
下面提供了使用 \fB-F\fR 或 \fB-S\fR 标志时的有效日期和时间语法：
.sp
.LP
对于相对日期，此语法如下所示：
.sp
.in +2
.nf
{+,-}[Ns][Nm][Nh][Nd][Nw][NM][Ny]
.fi
.in -2
.sp

.sp
.LP
其中：
.sp
.ne 2
.mk
.na
\fBN\fR
.ad
.sp .6
.RS 4n
表示整数
.RE

.sp
.ne 2
.mk
.na
\fBs\fR
.ad
.sp .6
.RS 4n
表示秒
.RE

.sp
.ne 2
.mk
.na
\fBm\fR
.ad
.sp .6
.RS 4n
表示分钟
.RE

.sp
.ne 2
.mk
.na
\fBh\fR
.ad
.sp .6
.RS 4n
表示小时
.RE

.sp
.ne 2
.mk
.na
\fBd\fR
.ad
.sp .6
.RS 4n
表示天
.RE

.sp
.ne 2
.mk
.na
\fBw\fR
.ad
.sp .6
.RS 4n
表示星期
.RE

.sp
.ne 2
.mk
.na
\fBM\fR
.ad
.sp .6
.RS 4n
表示月
.RE

.sp
.ne 2
.mk
.na
\fBy\fR
.ad
.sp .6
.RS 4n
表示年
.RE

.sp
.LP
这些参数可按任意顺序指定。例如，“+3d12h”表示从现在开始的三天半后的时间，“-3y2M”表示三年两个月以前。
.sp
.LP
所有具有固定值的参数都可以以绝对秒数的形式相加。具有可变秒数的月和年使用日历时间计算。长度不固定的月和年定义为，加一年或一个月表示下一年或下个月的同一天。例如，如果现在为 2005 年 1 月 26 日，并且证书应在从今天起的 3 年零 1 个月后过期，那么到期日期（有效期结束时间）将为 2008 年 2 月 26 日。系统会相应地处理溢出。例如，从 2005 年 1 月 31 日起一个月后的时间为 2005 年 3 月 3 日，这是因为 2 月仅包含 28 天。
.sp
.LP
对于绝对日期，接受文件 \fB/etc/datemsk\fR 中包含的日期格式的语法（有关详细信息，请参见 \fBgetdate\fR(3C)）。前面带有“+”或“-”的任何日期字符串均被视为相对于当前时间的时间，而其他字符串则视为绝对日期。此外，系统还会执行合理性检查，确保有效期结束日期大于有效期开始日期。例如，下面的命令将创建一个证书，使其开始日期为 1 天零 2 小时以前，结束日期为当地时间 2007 年 1 月 22 日 12:00:00。
.sp
.in +2
.nf
# ikecert certlocal -ks -t rsa-sha256 -m 2048 \
    -D "CN=mycert, O=Sun, C=US" \e 
    -S -1d2h -F "01/22/2007 12:00:00"
.fi
.in -2
.sp

.sp
.LP
由于 \fBin.iked\fR(1M) 只能在全局区域、内核区域和独占 IP 区域中运行，因此该命令在共享 IP 区域中不起作用。