生成证书请求文件
进入工具安装路径下,并执行证书请求文件生成的命令:
./tools/haf-tool cert --generate
主机节点产生的证书请求文件,保存在haf_user.conf配置文件中cert_path指定的路径下。卸载节点的证书保存在haf_offload.conf配置文件中cert_path指定的路径下。
上述步骤产生的证书请求文件名为service.csr,私钥为service.prvk(已加密)。
选项 |
内容 |
必选 |
|---|---|---|
--generate |
证书请求文件生成关键字 |
√ |
证书请求文件生成的内部脚本是csr_gen.sh,该脚本在安装目录下的“haf-tool/scripts”路径下,由haf_tool工具调用,内部调用的命令为:
cd tools/scripts
./csr_gen.sh -n haf -t <cert_path>
选项 |
内容 |
必选 |
|---|---|---|
-n haf |
证书请求文件中服务名,haf-tool工具调用csr_gen.sh时不支持修改,指定为haf。 |
√ |
-t <cert_path> |
证书请求文件存放路径,haf-tool工具调用csr_gen.sh时使用配置文件中的cert_path路径。 |
√ |
私钥加密口令由内部脚本util.sh中的函数(gen_random_passwd)生成,该脚本在安装目录下的“haf-tool/scripts”路径下,在csr_gen.sh脚本source该脚本,并调用函数gen_random_passwd,内部调用的命令为:
cd tools/scripts
source util.sh
gen_random_passwd <password_length>
选项 |
内容 |
必选 |
|---|---|---|
password_length |
私钥加密口令的长度,csr_gen.sh调用函数时指定的参数长度为32。 |
√ |
私钥加密口令使用kmc_tool_bin工具加密,该工具在安装目录下的“bin”路径下,由csr_gen.sh脚本调用,内部调用的命令为:
LD_LIBRARY_PATH=<haf_dir>/lib/ <haf_dir>/bin/kmc_tool_bin --encrypt_passwd stdin --ksfa <service_ksfa_path> --ksfb <service_ksfb_path> --output_passwd_file <service_pass_path> <<< <password>
选项 |
内容 |
必选 |
|---|---|---|
--encrypt_passwd stdin |
待加密字符串,通过重定向的方式,重新读入后续输入的<password>,长度为32位字符,需与csr_gen.sh中加密私钥的口令保持一致。 |
√ |
--ksfa <service_ksfa_path> |
KMC主密钥文件存放路径,csr_gen.sh调用加密命令时指定的参数<cert_path>/service.ksfa。 |
√ |
--ksfb <service_ksfb_path> |
KMC备份密钥文件存放路径,csr_gen.sh调用加密命令时指定的参数<cert_path>/service.ksfb。 |
√ |
--output_passwd_file <service_pass_path> |
经加密后的口令文件存放路径,csr_gen.sh调用加密命令时指定的参数<cert_path>/service.pw。 |
√ |
- haf_dir表示HAF安装之后的目录。
- 调用kmc_tool_bin时,需通过LD_LIBRARY_PATH指定需要依赖的动态库路径。
- csr_gen.sh和kmc_tool_bin均为软件内部工具,不建议用户单独调用。
