第五章 设置和其他常见活动 - 创建 IRIS 凭证集

创建 IRIS 凭证集

要创建 IRIS 凭证集：

1. 获取以下文件：

- 个人 X.509 证书，采用 PEM 编码的 X.509 格式。

这可以是自己的证书，也可以是从希望与之交换 SOAP 消息的实体获取的证书。

• （可选）关联的私钥，采用 PEM 编码的 PKCS#1 格式。

这仅适用于拥有证书的情况。如果不想签署出站消息，则无需加载私钥文件。

• （可选）包含根证书的文件，即 PEM 编码格式的受信任的 CA X.509 证书，可与此凭证集一起使用。

有关创建这些文件的信息超出了本文档的范围。

2. 在管理门户中，选择系统管理 > 安全 > X.509 凭证。
3. 单击“创建新凭证”。
4. 指定以下值：

- Alias — 指定一个唯一的、区分大小写的字符串来标识此凭证集。此属性是必需的。
- 包含 X.509 证书的文件 — 单击浏览...并导航到证书文件。此属性是必需的。
- 包含相关私钥的文件 — 单击浏览...并导航到该文件。
- 私钥密码和私钥密码（确认）— 指定私钥的密码。如果不指定密码，则在检索凭证集时必须提供密码。

仅当为包含关联私钥的文件指定值时才会显示这些字段。

• 包含受信任的证书颁发机构 X.509 证书的文件 — 此凭证集信任的任何 CA 的 X.509 证书的路径和文件名。证书必须采用 PEM 格式。路径可以指定为绝对路径或相对于管理器目录的路径。

除了一个例外，当使用此凭证集时，IRIS 会使用此受信任证书，而不是前面讨论过的 iris.cer。例外情况是当数字签名包含对消息中的二进制安全令牌的直接引用时；在这种情况下，由于消息包含验证签名所需的公钥，因此 IRIS 不会查找凭证集。IRIS 反而会使用 iris.cer 中包含的受信任证书。

• 授权用户 — 指定可以使用此凭证集的 IRIS 用户的逗号分隔列表。如果此属性为空，则任何用户都可以使用此凭证集。
• Intended peer(s) — 指定可使用凭证集的系统的 DNS 名称的逗号分隔列表。您的代码必须使用凭证对象的 CheckPeerName() 方法来检查对等体对于此凭证集是否有效。

5. 单击保存。

执行此操作时，证书文件和私钥文件（如果有）都会复制到数据库中。如果指定了包含受信任的证书颁发机构 X.509 证书的文件，则该文件不会复制到数据库中。

除了使用管理门户，还可以类中使用 %SYS.X509Credentials 的方法。例如：

 Set credset=##class(%SYS.X509Credentials).%New()
 Set credset.Alias="MyCred"
 Do credset.LoadCertificate("c:\mycertbase64.cer")
 Do credset.LoadPrivateKey("c:\mycertbase64.key")
 Set sc=credset.Save()
 If sc Do $system.Status.DisplayError(sc)

注意：不要使用常规对象和 SQL 方法访问此数据。使用 Save()、Delete() 和 LoadPrivateKey() 方法需要 %Admin_Secure:USE 权限。