mksecpki 配置 AIX PKI 服务器组件。AIX PKI 的组件为“认证中心”、“注册中心”和“审计”子系统。
mksecpki {-u username -f reference_file [-p CA_port] [-H ldap_host] [-D dn -w password] [-i certificate_issuer_dn] | -U username}
mksecpki 命令配置 AIX PKI 服务器组件。mksecpki 必须在配置 LDAP 服务器后运行以发布证书。选项 -H、-D、-w 和 -i 的值必须与在 LDAP 配置过程中指定的值相同。否则,CA 将无法把证书发布给 LDAP。
-u 选项指定了主管 AIX PKI 的 AIX 用户名。用户名必须遵守 AIX 用户名规则。请不要把 -u 和 -U 一起使用。将要求该命令的调用者提供用户名的密码。mksecpki 将创建一个带有相同名称的数据库实例。
-f 选项指定包含引用号和通行码的文件。与 CA 通信时,客户证书请求将使用这些完全相同的值。引用号和通行码分别在单独的行中指定。以下是示例 iafile 的内容:
11122233 temppwd1234
-p 选项指定了“认证中心”接受证书请求的端口。如果未给定端口号,其将假定为 1077。
-H 选项指定了要把证书发布到的 LDAP 服务器的主机名。在调用 mksecpki 命令前,必须设置 LDAP 服务器以发布证书。否则,证书将不会发布到 LDAP,然而,当使用证书管理命令时,证书将返回给请求者。如果未给定 -H 选项,将使用本地主机作为主机名。
使用 -D 选项来指定目录管理员专有名称。它必须同在配置 LDAP 服务器过程中指定的名称相同。
-w 选项指定对应于管理员 DN 的密码。不同时指定管理员 DN 和密码是错误的。
-i 选项指定发出证书的“认证中心”的专有名称。它必须与设置 LDAP 服务器以发布证书时给定的值相同。
-U 选项指定主管将被取消配置的 AIX PKI 的用户名。在开始操作前,该命令将确认取消配置。这个选项从系统中删除该用户名。将询问该命令的调用者是否要删除用户名的主目录。当该命令运行没有出错时,它显示一条消息表示成功完成。建议该命令的调用者等待这条消息。
该命令应该把执行(x)权限只授权给 root 用户和安全组成员。
要使用 pkitest.ibm.com 作为 LDAP 主机名来发布证书并且使用 o = aix,c = us 作为发行商名称来配置 AIX PKI 服务器端,请输入:
$ mksecpki -u pkiuser -f iafile -p 829 -H pkitest.ibm.com -D cn=admin -w password -i o=aix,c=us
其中 iafile 包含引用号和通行码。
要取消配置服务器,请输入:
$ mksecpki -U pkiuser
/usr/lib/security/pki/ca.cfg
certadd、certcreate、 certdelete、certget、 certlink、certlist、 certrevoke、certverify、 keyadd、keydelete、 keylist 和 keypasswd 命令。