commande securityUtility
La commande securityUtility permet de chiffrer une chaîne de texte ou de créer un certificat SSL pour Liberty.
Syntaxe
La syntaxe de la commande est la suivante :
securityUtility task [options]
Où les options diffèrent en fonction de la valeur de tâche.
Paramètres
Les tâches suivantes
sont disponibles pour la commande securityUtility :
- encode
- Code le texte fourni avec Base64. Si aucune option n'est spécifiée, la commande passe en mode interactif. Sinon, le texte fourni est codé. Le texte
doit être placé entre guillemets s'il comporte des espaces.Les options sont les suivantes :
- --encoding=type_codage
- Spécifie le codage du mot de passe. Les codages pris en charge sont xor, aes et hash. Si cette option n'est
pas spécifiée, le codage par défaut xor est utilisé.Remarque : L'option de codage hash est utilisée pour coder les mots de passe du registre utilisateur de base uniquement.
- --key=clé_chiffrement
- Spécifie la clé à utiliser lorsque vous codez à l'aide du chiffrement AES. Cette chaîne est hachée afin de générer une clé de chiffrement qui est utilisée pour chiffrer et déchiffrer le mot de passe. Vous pouvez fournir la clé au serveur en définissant la variable wlp.password.encryption.key, dont la valeur est la clé. Si elle n'est pas fournie, une clé par défaut est utilisée.
- --listCustom
- Affiche les informations de chiffrement de mot de passe personnalisé au format JSON
(JavaScript Object Notation). Ces informations comprennent :
- Le nom de l'algorithme de chiffrement de mot de passe personnalisé.
- Le nom de la fonction.
- La description du chiffrement de mot de passe personnalisé.
Pour en savoir plus sur le chiffrement de mot de passe personnalisé, voir Développement d'un fournisseur customPasswordEncryption.
- --notrim
- Indique si des caractères espace sont retirés en début et en fin du texte spécifié. Si cette option est indiquée, le texte fourni est codé tel quel. Si cette option n'est pas spécifiée, les espaces sont retirés au début et à la fin du texte spécifié.
- texte
- Texte à coder.
- createSSLCertificate
- Crée un magasin de clés par défaut incluant un certificat SSL à utiliser dans une configuration serveur ou client.
- Détails du fichier de clés :
- Emplacement : dans le répertoire client ou serveur sous resource/security/key.jks.
- Type : JKS
- Mot de passe : mot de passe fourni avec l'option --password. Le mot de passe est nécessaire pour ouvrir le fichier de clés et en extraire la clé.
- Détails du certificat :
- Type : certificat auto-signé.
- Taille : 2048 par défaut. Une autre taille peut être spécifiée avec l'option --keySize.
- Algorithme de signature : SHA256withRSA, peut être personnalisé avec l'option --sigAlg.
- Validité : 365 jours par défaut, peut être personnalisé avec l'option --validity.
- SubjectDN : CN=<hostname>,OU=<client or server name>,O=ibm,C=us par défaut, peut être personnalisé avec l'option --subject.
Les options sont les suivantes :
- --server=nom
- Spécifie le nom du serveur Liberty pour lequel le fichier de clés et le certificat sont créés. Cette option ne peut pas être utilisée si l'option --client est spécifiée.
- --client=name
- Spécifie le nom du client Liberty pour lequel le fichier de clés et le certificat vont être créés. Cette option ne peut pas être utilisée si l'option --server est spécifiée.
- --keySize=size
- Indique la taille en bits de la clé de certificat. La valeur par défaut est 2048.
- --password=password
- Spécifie le mot de passe à utiliser dans le fichier de clés. Il doit comporter six caractères au moins. Cette option est obligatoire.
- --passwordEncoding=type_codage_mot_de_passe
- Spécifie le mode de codage du mot de passe du fichier de clés. Les valeurs de codage prises en charge sont xor et aes. Si cette option n'est pas spécifiée, la valeur par défaut xor est utilisée.
- --passwordkey=type_chiffrement_mot_de_passe
- Spécifie la clé à utiliser pour coder le mot de passe du magasin de clés avec le chiffrement AES. Cette chaîne est hachée afin de générer une clé de chiffrement qui est utilisée pour chiffrer et déchiffrer le mot de passe. Vous pouvez fournir la clé au serveur en définissant la variable wlp.password.encryption.key, dont la valeur est la clé. Si elle n'est pas fournie, une clé par défaut est utilisée.
- --validity=jours
- Indique le nombre de jours de validité du certificat (il doit être égal ou supérieur à 365). Si cette option n'est pas spécifiée, la valeur par défaut 365 est utilisée.
- --subject=nom de domaine
- Indique le nom distinctif du sujet du certificat et de l'émetteur. Si cette option n'est pas spécifiée, la valeur par défaut CN=<hostname>,OU=<server or client name>,O=ibm,C=us est utilisée. La valeur CN est extraite à l'aide d'une méthode Java permettant d'obtenir le nom d'hôte local de la machine. Si le nom d'hôte ne peut pas être résolu, l'adresse IP est renvoyée.
- --sigAlg
- Indique l'algorithme de signature qui est utilisé pour signer le certificat autosigné. L'algorithme de signature qui est pris en charge dépend de ce qui est pris en charge par l'environnement d'exécution Java sous-jacent. Des algorithmes de signature plus forts peuvent exiger que l'environnement d'exécution Java ait un fichier de règles sans restriction en place.
- La commande accepte SHA256withRSA (par défaut),
SHA1withRSA, SHA384withRSA,
SHA512withRSA, SHA1withECDSA, SHA256withECDSA, SHA384withECDSA et
SHA512withECDSA. Les algorithmes de signature qui se terminent par RSA créent des certificats avec des clés RSA et ceux qui se terminent par ECDSA créent des certificats avec des clés EC (Elliptical Curve).Remarque : Si vous utilisez des certificats qui sont créés avec des clés EC, votre serveur a besoin d'une liste de chiffrements personnalisée dans la configuration SSL pour inclure des chiffrements EC.
- help
- Affiche les informations d'aide pour la tâche spécifiée.
Utilisation
Les exemples suivants montrent la syntaxe correcte :
securityUtility encode --encoding=aes GiveMeLiberty
securityUtility createSSLCertificate --server=myserver --password=mypassword --validity=365
--subject=CN=mycompany,O=myOrg,C=myCountry
securityUtility help createSSLCertificate
ATTENTION :
Un système d'exploitation différent pourra traiter certains caractères
différemment. Dans l'environnement Windows, si votre chaîne
d'entrée comporte le caractère ! , celui-ci doit
être associé au caractère d'échappement ^. Par exemple,
D:\Liberty\images\855\Liberty855\wlp\bin>securityUtility encode "a^!"