Bevor Sie IBM® HTTP Server für das Akzeptieren von TLS-Verbindungen (oder auch SSL-Verbindungen) konfigurieren können, müssen Sie ein Zertifikat für Ihren Web-Server erstellen. Ein SSL-Zertifikat authentifiziert die Identität Ihres Web-Servers bei Clients.
Das primäre Tool für das Erstellen von Zertifikaten mit IBM HTTP Server ist iKeyman, ein reines grafisch orientiertes Java-Tool für das Schlüsselmanagement.
Auf z/OS-Betriebssystemen wird das gesamte Zertifikatsmanagement
mit dem nativen Zertifikatsmanagementtool gskkyman statt.
Unter Microsoft Windows können Sie iKeyman über das Menü "Start" starten.
Auf anderen Plattformen starten Sie das Tool wie alle anderen ausführbaren Dateien von
IBM HTTP Server über das Verzeichnis bin/ von IBM HTTP Server.
Native und ergänzende Java-Befehlszeilentools für das Zertifikatsmanagement werden auch im Verzeichnis bin/ von IBM HTTP Server in Form der Dateien gskcmd (auch iKeycmd) und gskcapicmd (auch gsk8capicmd) bereitgestellt. Beide Tools haben eine ähnliche Syntax und enthalten umfassende integrierte Verwendungsinformationen.
Ausführliche Beispielszenarien für das Zertifikatsmanagement sind in der vollständigen Dokumentation von iKeyman (verteilte Betriebssysteme) und gskkyman (Betriebssystem z/OS) dokumentiert.
Ausführliche Beispielszenarien für das Zertifikatsmanagement sind in der vollständigen Dokumentation von iKeyman (verteilte Betriebssysteme) und gskkyman (Betriebssystem z/OS) dokumentiert.
Sehen Sie sich die folgenden Befehlszeilenbeispiele für allgemeine Tasks an.
Sie können die vollständige Syntax anzeigen, indem Sie die folgenden Befehle nur mit den ersten beiden
Parametern eingeben. Alternativ können Sie die umfassende Dokumentation für den Befehl zu Rate ziehen.
In der folgenden Tabelle sind die Operationen aufgelistet, die Sie für
CA-Zertifikate ausführen können. Die Tabelle gibt außerdem das AdminTask-Objekt an, mit dem die Operation ausgeführt wird, und beschreibt die
Konsolnavigation.
CMS-Keystore erstellen
Wenn Sie einen Keystore für IBM HTTP Server erstellen, geben Sie unabhängig vom verwendeten Tool die Option zum verdeckten Speichern des Kennworts in einer Datei an.
# Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -keydb -create -db <Datenbank> -pw <Kennwort> -stash
<IHS-Stammverzeichnis>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw Kennwort -stash
Keystore mit einer Gruppe von anerkannten CA-Standardzertifikaten füllen
Standardmäßig enthalten neue Keystores keine anerkannten CA-Zertifikate.
# Die Operation zum Füllen des Keystores wird nur mit Ikeyman und gskcmd (ikeycmd) unterstützt, aber nicht mit gskcapicmd.
# Syntax: <IHS-Stammverzeichnis>/bin/gskcmd -cert -populate -db <Datenbank> -pw <Kennwort>
<IHS-Stammverzeichnis>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw Kennwort
Weitere CA-Zertifikate hinzufügen (optional)
# Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -cert -add -db <Datenbank> -pw <Kennwort >-file <Eingabezertifikat> -label <Kennsatzname>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw Kennwort -file cacert.cer -label "CA certificate from example.com"
Selbst signiertes Zertifikat für Testzwecke erstellen (optional)
#Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -cert -create -db <Datenbank> -pw <Kennwort> \
-dn <definierter_Name> -label <Kennsatzname> -size <Größe>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw Kennwort \
-dn "cn=www.example.com" -label "example.com" -size 2048
Erstellt eine Zertifikatanforderung.
Die meisten Felder und Optionen sind optional, einschließlich der Auswahl eines Signaturalgorithmus (diese Signatur wird nur von der Zertifizierungsstelle (CA, Certificate Authority), nicht von der Laufzeitumgebung verwendet). Sie können auch weitere Hostnamen für Ihren Web-Server angeben.
# Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -certreq -create -db <Datenbank> -pw <Kennwort> \
-dn <definierter_Name> -label <Kennsatzname> -size <size> -file <Name_der_Ausgabedatei>
<IHS-Stammverzeichnis>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw Kennwort \
-dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr
Zertifikatsanforderung an eine anerkannte Zertifizierungsstelle übergeben
Für diese Task werden keine lokalen Tools verwendet. Gewöhnlich wird die Zertifikatsanforderung (example.csr) in einer E-Mail gesendet oder in eine anerkannte Zertifizierungsstelle hochgeladen.
Ausgestelltes Zertifikat empfangen
Beim Empfang eines Zertifikats wird ein signiertes Zertifikat Ihrer Zertifizierungsstelle dem privaten Schlüssel (persönlichen Zertifikat) in Ihrer KDB-Datei zugeordnet. Ein Zertifikat kann nur in der KDB empfangen werden, die die Zertifikatsanforderung generiert hat.
# Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -cert -receive -db db <Datenbank> -pw <Kennwort> -file <Eingabezertifikat>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw Kennwort -file certificate.arm
Zertifikate in einem Keystore auflisten
# Syntax <IHS-Stammverzeichnis>/bin/gskcapicmd -cert -list -db <Datenbank> -pw <Kennwort>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw Kennwort
Zertifikate aus JKS oder PKCS12 in eine Schlüsseldatei importieren, die von IBM HTTP Server verwendet werden kann (optional)
Anstatt einen neuen privaten Schlüssel (persönliches Zertifikat) zu erstellen, können Sie einen vorhandenen privaten Schlüssel und ein Zertifikat, das von einem anderen Tool erstellt wurde, in eine vorhandene Schlüsseldatei importieren.
# Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -cert -import -db <p12-Eingabedatei> -pw <pkcs12-Kennwort>\
-target <vorhandene_KDB-Datei> -target_pw <vorhandenes_KDB-Kennwort>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12-Kennwort \
-target key.kdb -target_pw Kennwort
Ablaufdaten des Zertifikats anzeigen (optional)
Das Flag "-expiry" bewirkt, dass Zertifikate, die nach der angegebenen Anzahl von Tagen ablaufen, angezeigt werden. Verwenden Sie "0", wenn bereits abgelaufene Zertifikate angezeigt werden sollen, oder große Zahlen, wenn die Ablaufdaten aller Zertifikate angezeigt werden sollen.
# Syntax:<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -list -db <Datenbank> -pw <Kennwort> -expiry <Anzahl_Tage>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -list -db key.kdb -Kennwort -expiry 365