Liberty: Befehl "securityUtility"
Der Befehl securityUtility unterstützt die Klartextverschlüsselung und die Erstellung von SSL-Zertifikaten für Liberty.
Syntax
Die Befehlssyntax ist wie folgt:
securityUtility Task [Optionen]
Dabei richten sich die Optionen nach dem Wert von Task.
Parameter
Für den Befehl
securityUtility sind folgende Tasks verfügbar:
- encode
- Codiert den bereitgestellten Text in der Base64-Verschlüsselung. Werden keine Optionen angegeben, wechselt der Befehl in den interaktiven Modus. Andernfalls wird der
angegebene Text codiert. Text, der Leerzeichen enthält, muss in Anführungszeichen gesetzt werden. Die folgenden Optionen sind verfügbar:
- --encoding=Codierungstyp
- Gibt an, wie das Kennwort codiert werden soll. Unterstützt werden die Codierungen xor, aes
und hash. Wird diese Option nicht angegeben, wird die
Standardcodierung xor verwendet. Anmerkung: Die Verschlüsselungsoption hash wird nur für die Verschlüsselung von Kennwörtern für die Basisbenutzerregistry verwendet.
- --key=Chiffrierschlüssel
- Gibt den Schlüssel an, der bei der Codierung mit AES-Verschlüsselung verwendet werden soll. Diese Zeichenfolge wird hashverschlüsselt, um einen Chiffrierschlüssel zu erzeugen, der zur Verschlüsselung und Entschlüsselung des Kennworts verwendet wird. Der Schlüssel kann durch Definition der Variablen wlp.password.encryption.key, deren Wert der Schlüssel ist, an den Server übergeben werden. Wird diese Option nicht angegeben, wird ein Standardschlüssel verwendet.
- --listCustom
- Zeigt die Informationen zur angepassten Kennwortverschlüsselung im
Format JavaScript Object Notation (JSON) an. Die Informationen setzen sich wie folgt zusammen:
- name: Der Name des angepassten Algorithmus für die Kennwortverschlüsselung.
- featurename: Der Featurename.
- description: Die Beschreibung der angepassten Kennwortverschlüsselung.
- --notrim
- Gibt an, ob Leerzeichen vom Anfang und Ende des angegebenen Textes entfernt werden. Wenn Sie diese Option angeben, wird der bereitgestellte Text so codiert, wie er ist. Wenn Sie diese Option nicht angeben, werden die Leerzeichen am Anfang und am Ende des angegebenen Texts entfernt.
- Text
- Der zu codierende Text.
- createSSLCertificate
- Erstellt einen Standard-Keystore einschließlich eines SSL-Zertifikats für die Verwendung in einer Server- oder Clientkonfiguration.
- Keystore-Details:
- Position: Im Server- oder Clientverzeichnis unter resource/security/key.jks.
- Typ: JKS
- Kennwort: Das mit der Option --password angegebene Kennwort. Das Kennwort wird benötigt, um die Keystore-Datei zu öffnen und den Schlüssel von der Keystore-Datei abzurufen.
- Zertifikatsdetails:
- Typ: Selbstsigniertes Zertifikat
- Größe: Standardmäßig 2048, alternative Größe kann mit der Option --keySize angegeben werden.
- Signaturalgorithmus: SHA256withRSA, kann mit der Option --sigAlg angepasst werden.
- Gültigkeit: Standardmäßig 365 Tage, Wert kann mit der Option --validity angepasst werden.
- Registrierter Name des Zertifikatsinhabers: Standardmäßig CN=<Hostname>,OU=<Client- oder Servername>,O=ibm,C=us, Wert kann mit der Option --subject angepasst werden.
Die folgenden Optionen sind verfügbar:
- --server=Name
- Gibt den Namen des Liberty-Servers an, für den der Keystore und das Zertifikat erstellt werden. Diese Option kann nicht verwendet werden, wenn die Option --client angegeben ist.
- --client=Name
- Gibt den Namen des Liberty-Clients an, für den der Keystore und das Zertifikat erstellt werden. Diese Option kann nicht verwendet werden, wenn die Option --server angegeben ist.
- --keySize=Größe
- Gibt die Bitgröße des Zertifikatsschlüssels an. Der Standardwert ist 2048.
- --password=Kennwort
- Gibt das Kennwort an, das im Keystore verwendet werden soll. Das Kennwort muss mindestens sechs Zeichen lang sein. Diese Option ist erforderlich.
- --passwordEncoding=Typ_der_Kennwortcodierung
- Gibt an, wie das Keystore-Kennwort codiert werden soll. Unterstützt wird der Codierungswert xor oder aes. Wird diese Option nicht angegeben, wird der Standardwert xor verwendet.
- --passwordkey=Schlüssel_für_Kennwortverschlüsselung
- Gibt den Schlüssel an, der bei der Codierung des Keystore-Kennworts mit der AES-Verschlüsselung verwendet werden soll. Diese Zeichenfolge wird hashverschlüsselt, um einen Chiffrierschlüssel zu erzeugen, der zur Verschlüsselung und Entschlüsselung des Kennworts verwendet wird. Der Schlüssel kann durch Definition der Variablen wlp.password.encryption.key, deren Wert der Schlüssel ist, an den Server übergeben werden. Wird diese Option nicht angegeben, wird ein Standardschlüssel verwendet.
- --validity=Tage
- Gibt die Gültigkeitsdauer des Zertifikats in Tagen an. Dieser Wert muss größer-gleich 365 sein. Wird diese Option nicht angegeben, wird der Standardwert "365" verwendet.
- --subject=DN
- Gibt den definierten Namen (DN) für das Zertifikatsubjekt und den Aussteller an. Wird diese Option nicht angegeben, wird der Standardwert CN=<Hostname>,OU=<Server- oder Clientname>,O=ibm,C=us verwendet. Über den CN-Wert wird mit einer Java-Methode der lokale Hostname der Maschine abgerufen. Wenn der Hostname nicht aufgelöst werden kann, wird die IP-Adresse zurückgegeben.
- --sigAlg
- Gibt den Signaturalgorithmus an, der zum Signieren des selbst signierten Zertifikats verwendet wird. Welcher Signaturalgorithmus unterstützt wird, hängt davon ab, was von der zugrundeliegenden JRE unterstützt wird. Stärkere Signaturalgorithmen setzen möglicherweise voraus, dass für die JRE eine uneingeschränkte Richtliniendatei vorhanden ist.
- Der Befehl akzeptiert die Angaben SHA256withRSA (Standardwert), SHA1withRSA, SHA384withRSA,
SHA512withRSA, SHA1withECDSA, SHA256withECDSA, SHA384withECDSA und SHA512withECDSA. Die Signaturalgorithmen, die auf RSA enden, erstellen Zertifikate mit RSA-Schlüsseln und die Signaturalgorithmen mit der Endung ECDSA erstellen Zertifikate mit EC-Schlüsseln (Elliptical Curve).Anmerkung: Wenn Sie Zertifikate verwenden, die mit EC-Schlüsseln erstellt wurden, muss die SSL-Konfiguration Ihres Servers eine angepasste Liste mit Chiffrierwerten enthalten, in der die EC-Chriffrierwerte eingeschlossen sind.
- help
- Gibt Hilfeinformationen für eine bestimmte Task aus.
Verwendung
In den folgenden Beispielen wird die richtige Syntax veranschaulicht:
securityUtility encode --encoding=aes GiveMeLiberty
securityUtility createSSLCertificate --server=myserver --password=mypassword --validity=365
--subject=CN=mycompany,O=myOrg,C=myCountry
securityUtility help createSSLCertificate
Vorsicht:
Die verschiedenen Betriebssysteme behandeln einige Zeichen möglicherweise
unterschiedlich. Wenn Ihre Eingabezeichenfolge in einer Windows-Umgebung das Zeichen ! enthält,
muss es mit dem Escapezeichen ^ versehen werden.
Beispiel:
D:\Liberty\images\855\Liberty855\wlp\bin>securityUtility encode "a^!"