MobiLink - Guide d'administration
L'utilitaire gencert permet de créer des certificats RSA et à courbe elliptique ou de signer des demandes de certificats prégénérés.
gencert [ -c | -s ] [ -r | -q ]
| Option | Description |
|---|---|
| -c | Spécifie un certificat que vous pouvez utiliser pour signer d'autres certificats. Associée à l'option -r, cette option permet de générer un certificat d'origine d'entreprise. |
| -s | Spécifie le certificat d'identité d'un serveur. L'identité d'un serveur s'obtient en associant sa clé privée à son certificat public. Vous indiquez le certificat d'identité du serveur lorsque vous démarrez le serveur de synchronisation MobiLink (pour la sécurité de la couche de transport MobiLink) ou le serveur de base de données (pour la sécurité de la couche de transport client-serveur Adaptive Server Anywhere). Associée à l'option -r, cette option permet de générer un certificat de serveur autosigné. |
| -r | Spécifie un certificat d'origine autosigné. Cette option associée à l'option -s permet de créer un certificat de serveur autosigné. Associée à l'option -c, elle permet de créer un certificat d'origine d'entreprise que vous pouvez utiliser pour signer d'autres certificats. Si vous spécifiez gencert -r sans autre option, gencert crée un certificat que vous pouvez utiliser en tant que certificat de serveur ou certificat d'origine d'entreprise. Cette option n'est pas compatible avec -q. |
| -q fichier_demande | Signe une demande de certificat pré-générée. Cette option associée à l'option -s permet de créer un certificat de serveur. Associée à l'option -c, elle permet de créer un certificat d'origine d'entreprise que vous pouvez utiliser pour signer d'autres certificats. Si vous spécifiez gencert -q sans autre option, gencert crée un certificat que vous pouvez utiliser en tant que certificat de serveur ou certificat d'origine d'entreprise. L'option -q n'est pas compatible avec l'option -r. |
Si vous ne spécifiez pas -s ou -c , le certificat contient la fonctionnalité fournie par les deux options. Par conséquent, vous pouvez l'utiliser pour signer d'autres certificats ou vous en servir directement comme certificat de serveur.
A l'aide de l'utilitaire gencert, vous pouvez générer des certificats publics sécurisés, des clés privées et des certificats de serveur pour sécuriser les synchronisations MobiLink ou la communication client-serveur Adaptive Server Anywhere. Cet utilitaire crée des certificats X509 (format de certificat standard) pour diverses configurations de sécurité.
Gencert vous demande les informations suivantes :
Chiffrement Choisissez le chiffrement à courbe elliptique ou RSA. Si vous choisissez de générer un certificat à courbe elliptique, gencert génère une paire de clés à courbe elliptique. Si vous choisissez le certificat RSA, Gencert vous demande d'indiquer une clé comprise entre 512 et 2048, puis crée un certificat à l'aide du chiffrement RSA. En général, plus les clés sont longues, plus le cryptage est fort, mais plus le traitement est lent.
Quel que soit le chiffrement choisi, vous devez l'indiquer lorsque vous démarrez le serveur et le client. Pour les certificats ECC, spécifiez ecc_tls et, pour les certificats RSA, vous pouvez spécifier rsa_tls ou rsa_tls_fips.
Pays, Etat/Province/Code postal et Ville Ces champs définissent l'identité générale du certificat. Les champs Ville sont également requis par les autorités de certification tierces si vous envisagez d'utiliser des certificats signés globalement.
Pour plus d'informations sur l'utilisation d'autorités de certification, reportez-vous à la section Certificats signés globalement.
Société, Service et Nom commun Ces champs renforcent la sécurité en demandant au client d'authentifier le certificat correct. Côté client, ils correspondent respectivement aux options de protocole certificate_company, certificate_unit et certificate_name.
Pour plus d'informations, reportez-vous à la section Vérification des champs d'un certificat.
Numéro de série Choisissez un numéro de série pour le certificat. Ce numéro doit être composé de caractères alphanumériques.
Nombre d'années de validité du certificat Indiquez la période de validité (en années) du certificat d'origine d'entreprise. Si le certificat d'origine d'entreprise est arrivé à expiration, tous les certificats de serveur signés sont également périmés. A l'issue de la période indiquée, vous devez recréer le certificat d'origine d'entreprise, chaque certificat de serveur et les certificats publics distribués aux clients.
Saisissez le mot de passe pour protéger la clé privée Il s'agit du mot de passe que vous indiquez dans l'option de protocole certificate_password.
Spécifiez le chemin d'accès au fichier pour enregistrer le certificat Choisissez un nom de fichier et un emplacement pour le certificat.
Spécifiez le chemin d'accès au fichier pour enregistrer la clé privée Choisissez un nom de fichier et un emplacement pour la clé privée.
Spécifiez le chemin d'accès au fichier pour enregistrer l'identité du serveur Cette information ne vous est demandée que si vous créez un certificat d'origine autosigné. Choisissez un nom de fichier et un emplacement pour le certificat du serveur.
Pour plus d'informations sur l'utilisation de certificats en vue de sécuriser les synchronisations MobiLink, reportez-vous à la section Sécurité de la couche de transport MobiLink.
Pour plus d'informations sur l'utilisation de certificats en vue de sécuriser les SGBDR Adaptive Server Anywhere, reportez-vous à la section Sécurité de la couche de transport Adaptive Server Anywhere.
L'exemple suivant utilise l'option -r de gencert pour générer un certificat de serveur autosigné RSA :
> gencert -r Certificate Generation Tool Choose certificate type ((R)SA or (E)CC): R Enter key length (512-2048): 1024 Generating key pair... Country: CA State/Province: ON Locality: Waterloo Organization: Sybase, Inc. Organizational Unit: IAS Common Name: MobiLink Serial Number: 123 Certificate valid for how many years: 12 Enter password to protect private key: mypwd123 Enter file path to save certificate: public_cert.crt Enter file path to save private key: server_key.pri Enter file path to save server identity: server_cert.crt
Vous distribuez aux clients le certificat public autosigné public_cert.crt. Le certificat de serveur server_cert.crt composé du certificat de serveur et de la clé privée est stocké sur le serveur de synchronisation MobiLink (pour la sécurité de la couche de transport MobiLink) ou sur le serveur de base de données (pour la sécurité de la couche de transport client-serveur Adaptive Server Anywhere).
L'exemple suivant utilise les options -r et -c de gencert pour générer un certificat d'origine d'entreprise :
> gencert -r -c Certificate Generation Tool Choose certificate type ((R)SA or (E)CC): E Generating key pair... Country: CA State/Province: ON Locality: Waterloo Organization: Sybase, Inc. Organizational Unit: IAS Common Name: MobiLink Serial Number: 123 Certificate valid for how many years: 15 Enter password to protect private key: mypwd123 Enter file path to save certificate: public_root_cert.crt Enter file path to save private key: root_key.pri
Le certificat d'origine d'entreprise public public_root_cert.crt est distribué aux clients. Conservez la clé privée d'entreprise root_key.pri en lieu sûr. Vous pouvez utiliser les fichiers générés pour signer des certificats de serveur.
L'exemple suivant utilise l'option -s de gencert pour créer un certificat de serveur signé.
> gencert -s Certificate Generation Tool Choose certificate type ((R)SA or (E)CC): E Generating key pair... Country: CA State/Province: ON Locality: Waterloo Organization: Sybase, Inc. Organizational Unit: IAS Common Name: MobiLink Serial Number: 123 Certificate valid for how many years: 7 Enter file path of signer's certificate: public_root_cert.crt Enter file path of signer's private key: root_key.pri Enter password for signer's private key: mypwd123 Enter password to protect private key: SERV1privatekeypwd Enter file path to save server identity: serv1_cert.crt
Le certificat d'origine d'entreprise créé dans l'exemple précédent est utilisé en tant que certificat signataire. Vous indiquez l'identité du serveur serv1_cert.crt et le mot de passe SERV1privatekeypwd lorsque vous démarrez le serveur de synchronisation MobiLink ou votre serveur de base de données.
L'exemple suivant utilise l'option -q de gencert pour signer la demande de certificat certreq.txt :
>gencert -s -q certreq.txt Certificate Generation Tool Serial Number: 01 Certificate valid for how many years: 10 Enter file path of signer's certificate: rsaroot.crt Enter file path of signer's private key: rsaroot.key Enter password for signer's private key: test Enter file path to save certificate: testcert.crt Save entire chain (y/n): y
La demande de certificat est créée à l'aide de reqtool. Pour plus d'informations, reportez-vous aux sections suivantes :
Certificats signés globalement pour la sécurité de la couche de transport MobiLink.
Certificats signés globalement pour la sécurité de la couche de transport Adaptive Server Anywhere.
SQL Anywhere Studio 9.0.2
Copyright © 1989–2004 Sybase, Inc. Copyright partiel © 2001–2004 iAnywhere Solutions, Inc. Tous droits réservés.