[AIX Solaris HP-UX Linux Windows][z/OS]

Gestión de certificados de IBM HTTP Server

Para poder configurar IBM® HTTP Server para que acepte conexiones TLS (también denominado SSL), debe crear un certificado para el servidor web. Un certificado SSL autentica la identidad de los servidores web ante los clientes.

Herramientas e información en segundo plano

La herramienta principal para crear certificados con IBM HTTP Server es iKeyman, una herramienta gráfica de gestión de claves Java.

[z/OS] En sistemas operativos z/os, toda la gestión de certificados se realiza con la herramienta de gestión de certificados nativa gskkyman.

[AIX Solaris HP-UX Linux Windows] En Microsoft Windows, puede iniciar iKeyman utilizando el menú Inicio. En otras plataformas, inicie la herramienta desde el directorio bin/ de IBM HTTP Server, como todos los archivos ejecutables de IBM HTTP Server.

También se proporcionan herramientas de gestión de certificados de línea de mandatos suplementarias nativas y Java en el directorio bin/ de IBM HTTP Server como gskcmd (también denominado iKeycmd) y gskcapicmd (también denominado gsk8capicmd). Ambos comparten una sintaxis similar y contienen amplia información de uso.

Limitaciones de certificados en IBM HTTP Server

  • Sólo se da soporte a los certificados RSA (claves) con IBM HTTP Server. No se da soporte a los certificados DSA ni ECC.
  • Se da soporte a los certificados con una longitud de clave de hasta 4.096 bits en tiempo de ejecución con IBM HTTP Server.
  • Ikeyman y gskcmd (ikeycmd) dan soporte a la creación de certificados de una longitud máxima de 4096 bits. El mandato gskcapicmd da soporte a la creación de certificados de una longitud máxima de 4.096 bits.
  • Pueden utilizarse varios archivos de base de datos de claves con cada instancia de IBM HTTP Server, pero sólo se puede utilizar uno, que puede contener varios certificados personales, por host virtual habilitado para TLS.

Documentación completa de las herramientas de gestión de certificados

  • La documentación completa de gskkyman está disponible en el documento "Cryptographic Services PKI Services Guide and Reference" (sa22-7693) en la biblioteca de internet de z/OS.
  • La documentación completa de iKeyman y gskcmd (Ikeycmd) están disponibles en la publicación iKeyman v8 Users Guide.
  • La documentación completa de gskcapicmd (gsk8capicmd), la herramienta de gestión de certificados de línea de mandatos nativa, está disponible en la página de la biblioteca de IBM HTTP Server.

Configuración del sistema

  • A diferencia de los releases anteriores de IBM HTTP Server, no mueva ni modifique el archivo java/jre/lib/ext/gskikm.jar .
  • Opcionalmente, instale los archivos de políticas JCE sin restricciones desde DeveloperWorks para utilizar la criptografía de potencia ilimitada en iKeyman y gskcmd (ikeycmd). A menudo, este paso es necesario para manipular los almacenes de claves PKCS12.
[z/OS]

Tareas de gestión de certificados

En la documentación completa de iKeyman (sistemas operativos distribuidos) y gskkyman (sistemas operativos z/OS) se documentan escenarios detallados de ejemplo para la gestión de certificados.

[AIX Solaris HP-UX Linux Windows]

Tareas de gestión de certificados

En la documentación completa de iKeyman (sistemas operativos distribuidos) y gskkyman (sistemas operativos z/OS) se documentan escenarios detallados de ejemplo para la gestión de certificados.

[AIX Solaris HP-UX Linux Windows] Consulte los siguientes ejemplos de línea de mandatos de tareas comunes. Puede ver la sintaxis completa de uso especificando los mandatos siguientes con sólo los dos primeros parámetros, o puede consultar la documentación completa del mandato. La siguiente tabla enumera las operaciones que puede realizar en los certificados CA, el objeto AdminTask que puede utilizar para realizar esa operación y cómo desplazarse hasta el certificado en la consola.

Crear un almacén de claves CMS

Al crear un almacén de claves para utilizarlo con IBM HTTP Server, especifique la opción para ocultar la contraseña en un archivo, independientemente de la herramienta que se utiliza.

# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database>
-pw <password> -stash
<raízihs>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash

Llenar un almacén de claves con un conjunto de certificados de CA de confianza predeterminados

De forma predeterminada, los nuevos almacenes de claves no contienen certificados de CA de confianza.

# La operación de llenado está soportada con Ikeyman y gskcmd (ikeycmd) solamente, no con gskcapicmd.
# Sintaxis: <raízihs>/bin/gskcmd -cert -populate -db <basedatos> -pw <contraseña>
<raízihs>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password

Añadir certificados de CA adicionales, si lo desea (opcional)

# Sintaxis: <raízihs>/bin/gskcapicmd -cert -add -db <basedatos> -pw <contraseña> -file <certentrada> -label <nombreetiqueta>
<raízihs>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"   

Crear un certificado autofirmado para realizar pruebas(opcional)

#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password>  \
     -dn <nombre distinguido> -label <nombre etiqueta> -size <tamaño>
<raízihs>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password \
     -dn "cn=www.example.com" -label "example.com" -size 2048

Crear una petición de certificado

La mayoría de los campos y las opciones son opcionales, incluida la selección de un algoritmo de firma (esta firma sólo la utiliza la entidad emisora de certificados, no en tiempo de ejecución). También puede especificar otros nombres de host para el servidor web.

# Sintaxis: <raízihs>/bin/gskcapicmd -certreq -create -db <basedatos> -pw <contraseña>  \
     -dn <nombre distinguido> -label <nombre etiqueta> -size  <tamaño> -file <nombre archivo salida>
<raízihs>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password \
   -dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr 

Someter la solicitud de certificado a una entidad emisora de certificados de confianza

Esta tarea no incluye la utilización de herramientas locales. Normalmente, la solicitud de certificado (example.csr) se envía en un correo electrónico o se sube a una entidad emisora de certificados de confianza.

Recibir el certificado emitido

La recepción de un certificado asocia un certificado firmado de la CA con la clave privada (certificado personal) en el archivo KDB. Un certificado sólo se puede recibir en el KDB que ha generado la solicitud de certificado.

# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db
<database> -pw <password> -file <inputcertificate>
<raízihs>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm

Listar certificados en un almacén de claves.

# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw
<password>
<raízihs>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password 

Importar certificados desde JKS o PKCS12 a un archivo de claves que IBM HTTP Server pueda utilizar (opcional)

En lugar de crear una nueva clave privada (certificado personal), puede importar una clave privada y un certificado existentes, mediante otra herramienta, en un archivo de claves existente.

# Sintaxis: <raízihs>/bin/gskcapicmd -cert -import -db <archp12entrada> -pw <contraseñapkcs12>\
      -target <archkdbexistente>  -target_pw <contraseñakdbexistente>
<raízihs>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password  \
     -target key.kdb -target_pw password 

Ver los datos de caducidad del certificado (opcional)

El distintivo -expiry hace que se visualicen los certificados que se considerarán caducados transcurridos unos días. Utilice "0" para visualizar los certificados ya caducado o números grandes para visualizar las fechas de caducidad de todos los certificados.

# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw
<password> -expiry <numdays>
<raíz>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365
Tema de conceptos    

Términos y condiciones para centros de información | Comentarios

Última actualización: October 10, 2014 03:11 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=cihs_certmgmt
Nombre de archivo: cihs_certmgmt.html