Para poder configurar IBM® HTTP Server para que acepte conexiones TLS (también denominado SSL), debe crear un certificado para el servidor web. Un certificado SSL autentica la identidad de los servidores web ante los clientes.
La herramienta principal para crear certificados con IBM HTTP Server es iKeyman, una herramienta gráfica de gestión de claves Java.
En sistemas operativos z/os, toda
la gestión de certificados se realiza con la herramienta de gestión de
certificados nativa gskkyman.
En Microsoft
Windows, puede iniciar iKeyman
utilizando el menú Inicio. En otras plataformas, inicie la herramienta
desde el directorio bin/
de IBM HTTP Server, como todos los
archivos ejecutables de IBM HTTP
Server.
También se proporcionan herramientas de gestión de certificados de línea de mandatos suplementarias nativas y Java en el directorio bin/ de IBM HTTP Server como gskcmd (también denominado iKeycmd) y gskcapicmd (también denominado gsk8capicmd). Ambos comparten una sintaxis similar y contienen amplia información de uso.
En la documentación completa de iKeyman (sistemas operativos distribuidos) y gskkyman (sistemas operativos z/OS) se documentan escenarios detallados de ejemplo para la gestión de certificados.
En la documentación completa de iKeyman (sistemas operativos distribuidos) y gskkyman (sistemas operativos z/OS) se documentan escenarios detallados de ejemplo para la gestión de certificados.
Consulte los siguientes ejemplos de línea de mandatos de tareas
comunes. Puede ver la sintaxis completa de uso especificando los
mandatos siguientes con sólo los dos primeros parámetros, o puede
consultar la documentación completa del mandato. La siguiente tabla
enumera las operaciones que puede realizar en los certificados CA,
el objeto AdminTask que puede utilizar para realizar esa operación y cómo
desplazarse hasta el certificado en la consola.
Crear un almacén de claves CMS
Al crear un almacén de claves para utilizarlo con IBM HTTP Server, especifique la opción para ocultar la contraseña en un archivo, independientemente de la herramienta que se utiliza.
# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database>
-pw <password> -stash
<raízihs>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash
Llenar un almacén de claves con un conjunto de certificados de CA de confianza predeterminados
De forma predeterminada, los nuevos almacenes de claves no contienen certificados de CA de confianza.
# La operación de llenado está soportada con Ikeyman y gskcmd (ikeycmd) solamente, no con gskcapicmd.
# Sintaxis: <raízihs>/bin/gskcmd -cert -populate -db <basedatos> -pw <contraseña>
<raízihs>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password
Añadir certificados de CA adicionales, si lo desea (opcional)
# Sintaxis: <raízihs>/bin/gskcapicmd -cert -add -db <basedatos> -pw <contraseña> -file <certentrada> -label <nombreetiqueta>
<raízihs>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"
Crear un certificado autofirmado para realizar pruebas(opcional)
#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password> \
-dn <nombre distinguido> -label <nombre etiqueta> -size <tamaño>
<raízihs>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password \
-dn "cn=www.example.com" -label "example.com" -size 2048
Crear una petición de certificado
La mayoría de los campos y las opciones son opcionales, incluida la selección de un algoritmo de firma (esta firma sólo la utiliza la entidad emisora de certificados, no en tiempo de ejecución). También puede especificar otros nombres de host para el servidor web.
# Sintaxis: <raízihs>/bin/gskcapicmd -certreq -create -db <basedatos> -pw <contraseña> \
-dn <nombre distinguido> -label <nombre etiqueta> -size <tamaño> -file <nombre archivo salida>
<raízihs>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password \
-dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr
Someter la solicitud de certificado a una entidad emisora de certificados de confianza
Esta tarea no incluye la utilización de herramientas locales. Normalmente, la solicitud de certificado (example.csr) se envía en un correo electrónico o se sube a una entidad emisora de certificados de confianza.
Recibir el certificado emitido
La recepción de un certificado asocia un certificado firmado de la CA con la clave privada (certificado personal) en el archivo KDB. Un certificado sólo se puede recibir en el KDB que ha generado la solicitud de certificado.
# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db
<database> -pw <password> -file <inputcertificate>
<raízihs>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm
Listar certificados en un almacén de claves.
# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw
<password>
<raízihs>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password
Importar certificados desde JKS o PKCS12 a un archivo de claves que IBM HTTP Server pueda utilizar (opcional)
En lugar de crear una nueva clave privada (certificado personal), puede importar una clave privada y un certificado existentes, mediante otra herramienta, en un archivo de claves existente.
# Sintaxis: <raízihs>/bin/gskcapicmd -cert -import -db <archp12entrada> -pw <contraseñapkcs12>\
-target <archkdbexistente> -target_pw <contraseñakdbexistente>
<raízihs>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password \
-target key.kdb -target_pw password
Ver los datos de caducidad del certificado (opcional)
El distintivo -expiry hace que se visualicen los certificados que se considerarán caducados transcurridos unos días. Utilice "0" para visualizar los certificados ya caducado o números grandes para visualizar las fechas de caducidad de todos los certificados.
# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw
<password> -expiry <numdays>
<raíz>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365