Antes de poder configurar o IBM® HTTP Server para aceitar conexões de TLS (também conhecido como SSL), você deve criar um certificado para seu servidor da Web. Um certificado SSL autentica sua identidade de servidores da Web para clientes.
A ferramenta principal para criar certificados com o IBM HTTP Server é iKeyman, uma ferramenta de gerenciamento de chaves Java gráfica pura.
Nos sistemas operacionais z/OS, todo gerenciamento de certificado
é feito com a ferramenta de gerenciamento de certificado gskkyman
nativa.
No Microsoft Windows, é possível iniciar o iKeyman usando o
Menu Iniciar. Em outras plataformas, inicie a ferramenta a partir do diretório bin/ do IBM HTTP Server,
como todos os arquivos executáveis do IBM HTTP
Server.
Ferramentas de gerenciamento de certificado de linha de comandos complementares Java e nativas também são fornecidas no diretório bin/ do IBM HTTP Server como gskcmd (também conhecido como iKeycmd) e gskcapicmd (também conhecido como gsk8capicmd). Ambos compartilham sintaxe semelhante e contêm informações de uso integradas extensivas.
Cenários de exemplo detalhados para gerenciamento de certificado são documentados na documentação completa para o iKeyman (sistemas operacionais distribuídos) e gskkyman (sistemas operacionais z/OS).
Cenários de exemplo detalhados para gerenciamento de certificado são documentados na documentação completa para o iKeyman (sistemas operacionais distribuídos) e gskkyman (sistemas operacionais z/OS).
Consulte os exemplos
de linha de comandos a seguir de tarefas comuns. É possível visualizar a sintaxe de uso integral inserindo os
comandos a seguir com apenas os dois primeiros parâmetros ou você pode consultar a
documentação abrangente para o comando. A tabela a seguir lista
as operações que podem ser executadas em certificados de CA, o objeto
AdminTask que pode ser usado para executar essa operação e como navegar
para o certificado no console:
Crie um keystore CMS
Quando criar um keystore a ser usado com o IBM HTTP Server, especifique a opção para stash da senha em um arquivo, independentemente da ferramenta usada.
# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash
Preencha um keystore com um conjunto de certificados de CA confiável padrão
Por padrão, novos keystores não contêm nenhum certificado de CA confiável.
# The populate operation is supported with Ikeyman and gskcmd (ikeycmd) only, not with gskcapicmd.
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password>
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password
Inclua certificados de CA adicionais, se desejado (opcional)
# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname>
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"
Crie um certificado autoassinado para propósitos de teste (opcional)
#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password> \
-dn <distinguished name> -label <labelname> -size <size>
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password \
-dn "cn=www.example.com" -label "example.com" -size 2048
Criar um pedido de certificado
A maioria dos campos e das opções é opcional, incluindo a seleção de um Algoritmo de Assinatura (esta assinatura é usada apenas por sua autoridade de certificação, não no tempo de execução). Também é possível especificar outros nomes do host para seu servidor da Web.
# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password> \
-dn <distinguished name> -label <labelname> -size <size> -file <outputfilename>
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password \
-dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr
Envie a solicitação de certificado para uma autoridade de certificação confiável
Esta tarefa não inclui o uso de nenhuma ferramenta local. Geralmente, a solicitação de certificado (example.csr) é enviada em um email ou transferida por upload para uma autoridade de certificação confiável.
Receba o certificado emitido
O recebimento de um certificado associa um certificado assinado de sua CA à chave privada (certificado pessoal) em seu arquivo KDB. Um certificado pode ser recebido apenas no KDB que gerou a solicitação de certificado.
# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate>
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm
Liste certificados em um keystore.
# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password>
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password
Importe certificados de JKS ou PKCS12 em um arquivo-chave utilizável pelo IBM HTTP Server (opcional)
Em vez de criar uma nova chave privada (certificados pessoais), é possível importar uma chave privada e um certificado existentes criados por uma outra ferramenta em um arquivo-chave existente.
# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>\
-target <existingkdbfile> -target_pw <existingkdbpassword>
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password \
-target key.kdb -target_pw password
Visualize dados de expiração do certificado (opcional)
O sinalizador -expiry faz com que certificados que serão considerados expirados "numdays" no futuro sejam exibidos. Use "0" para exibir certificados já expirados ou números grandes para exibir todas as datas de expiração do certificado.
# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays>
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365