How do you do a GENCERT with a Subject Altname of an IP Address, Domain name, EMAIL, or URI?

Document ID : KB000028454
Last Modified Date : 27/04/2018
Show Technical Document Details
Introduction:

Question:  

How do you do a GENCERT with a Subject Altname of an IP  Address or Domain name, EMAIL, or URI?    

Answer:  

The following examples shows how to do a GENCERT with a Subject Altname    
of an IP address or Domain name, EMAIL, or URI:                                                          

Example 1:

gencert certauth.altname Subj(CN='REDS Lock Company Certificate Authority'
OU='Auditing Department' O='REDS Lock Company' C=US) label(Audit CA)      
ALtname(IP=141.202.253.54)                                                 

 CERTDATA / CERTAUTH.ALTNAME LAST CHANGED BY USER002 ON 10/10/14-12:29    
            CERTNSER(0000000000000001) ISSUERDN(CN=REDS Lock Company      
            Certificate Authority.OU=Auditing Department.O=REDS Lock      
            Company.C=US) KEYSIZE(1,024) LABEL(Audit CA) SERIAL#(00)      
            SUBJDN(CN=REDS Lock Company Certificate Authority.OU=Audi      
           ting Department.O=REDS Lock Company.C=US) TRUST                

 Certificate is not connected to any key rings                             

PROFILE                                                                    
chkcert CERTAUTH.ALTNAME                                                   

Label:                                                                    
    Audit CA                                                              
Serial number:                                                            
    00                                                                    
Issuer's distinguished name:                                              
    CN=REDS Lock Company Certificate Authority
    OU=Auditing Department                                                
    O=REDS Lock Company                                                    
   C=US                                                                  
Subject's distinguished name:                                              
   CN=REDS Lock Company Certificate Authority                            
    OU=Auditing Department                                                
    O=REDS Lock Company                                                    
   C=US                                                                  
Subject's AltNames:                                                        
   IP: 141.202.253.54                                                    
Key Usage:                                                                
    CERTSIGN                                                              
Not valid before:                                                          
   2014/10/10  00:00:00 UTC                                              
Not valid after:                                                          
    2015/10/10  23:59:59 UTC                                              
Private Key Type:                                                          
    RSA                                                                    
Private key bit size:                                                      
    1024                                                                    
Signature Algorithm:                                                        
   sha-1WithRSAEncryption                                                  

This certificate is registered with CA ACF2                                 

The CERTDATA record key is CERTAUTH.ALTNAME                                 

 CERTDATA / CERTAUTH.ALTNAME LAST CHANGED BY USER002 ON 10/10/14-12:29      
           CERTNSER(0000000000000001) ISSUERDN(CN=REDS Lock Company        
           Certificate Authority.OU=Auditing Department.O=REDS Lock        
           Company.C=US) KEYSIZE(1,024) LABEL(Audit CA) SERIAL#(00)        
           SUBJDN(CN=REDS Lock Company Certificate Authority.OU=Audi      
            ting Department.O=REDS Lock Company.C=US) TRUST                 

 Certificate is not connected to any key rings          

Example 2:

gencert test01.cert Subj(CN='test01 altname no label' OU='test' C=US)
ALtname(DOMAIN=sysa.test.com ip=141.202.1.255 EMAIL=user1@test.com URI=http://test.com) 

Label:
   TEST01.CERT                                                            
Serial number:                                                            
    00                                                                    
Issuer's distinguished name:                                              
    CN=test01 altname no label                                            
    OU=test                                                                
   C=US                                                                  
Subject's distinguished name:                                              
   CN=test01 altname no label                                            
    OU=test                                                                
   C=US
Subject's AltNames:                                                        
   IP: 141.202.1.255                                                      
   E-mail: user1@test.com                                                
    Domain: sysa.test.com                                                  
   URI: http://test.com
Not valid before:                                                          
   2016/04/14  00:00:00 UTC                                              
Not valid after:                                                          
    2017/04/14  23:59:59 UTC
Private Key Type:                                                          
   RSA                                                                    
Private key bit size:                                                      
   1024                                                                  
Signature Algorithm:                                                      
    sha-1WithRSAEncryption                                                 

                                                                         
This certificate is registered with CA ACF2                                

                                                                           
The CERTDATA record key is TEST01.CERT                                     

                                                                           
CERTDATA / TEST01.CERT LAST CHANGED BY BLAMI02 ON 04/14/16-11:04          
                     CERTNSER(0000000000000001)                          
                      ISSUERDN(CN=test01 altname no label.OU=test.C=US)    
                     KEYSIZE(1,024) LABEL(TEST01.CERT) SERIAL#(00)        
                     SUBJDN(CN=test01 altname no label.OU=test.C=US) TRUST

NOTES:

  1. The ACF2 GENCERT command supports the ALtname parameter which specifies the IP, DOMAIN, EMAIL, or URI values for the subjectAltName extension. One or more of the values can be specified however multiple entries of the same type are not supported, for example two DOMAIN or two IP values cannot be specified but one DOMAIN, one IP, one EMAIL and one URI value can be specified in the ALTNAME parameter.
  2. The correct separator character to use within the ALTNAME parameters IP, DOMAIN, EMAIL, or URI of GENCERT is a blank.

Additional Information: 

Details on the ACF GENCERT command can be found in the CA ACF2™ for z/OS Administration Guide r15 in Chapter 26: Digital Certificate Support section 'Processing Digital Certifications with CA ACF2' sub-section 'GENCERT Subcommand'.                   

Instructions:
Please Update This Required Field