IBM® HTTP Server を TLS (SSL とも呼ぶ) 接続を許可するように構成する前に、Web サーバー の証明書を作成する必要があります。SSL 証明書は、クライアント に対して Web サーバー ID の認証を行います。
IBM HTTP Server の証明書 を作成するための主なツールは、iKeyman で、 これは、グラフィカル表示の純粋な Java をベースとした 鍵管理ツールです。
z/OS® オペレーティング・システム上では、すべての証明書管理
は、ネイティブ証明書管理ツール gskkyman を用いて行われ
ます。
Microsoft Windows では、「スタート (Start)」メニューから、
iKeyman を起動できます。他のプラットフォームでのツールの起動は、すべての
IBM HTTP Server の実行可能ファイルと同様に、
IBM HTTP Server の bin/ ディレクトリー
から行います。
また、ネイティブおよび Java の補助的なコマンド行の証明書管理ツールも gskcmd (iKeycmd とも呼ぶ) および gskcapicmd (gsk8capicmd とも呼ぶ) として IBM HTTP Server の bin/ ディレクトリー 内で提供されています。両方とも類似した構文が使われ、広範な組み込み 使用情報が含まれています。
証明書管理 の詳細なシナリオの例は、iKeyman (分散オペレーティング・システム) および gskkyman (z/OS オペレーティング・ システム) の詳細な資料に文書化されて います。
証明書管理の詳細なシナリオの例は、iKeyman (分散オペレーティング ・システム) および gskkyman (z/OS オペレーティング・ システム) の詳細な資料に文書化されて います。
以下の共通タスクのコマンド行の例を参照してください。最初の 2 つのパラメーターのみを使い以下のコマンドを入力することで
使用構文全体を表示させることができます。または、コマンドの包括的な資料を参照する
こともできます。以下の表では、CA 証明書に対して行うことのできる操作、その操作を実行するために使用することができる AdminTask オブジェクト、およびコンソール上で証明書にナビゲートする方法をリストしています。
CMS 鍵ストアを 作成します。
IBM HTTP Server で使用する鍵ストアの作成時には、 使用するツールに関係なくパスワードをファイルに隠しておくオプションを指定します。
# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash
鍵ストアに一連のデフォルト・トラステッド CA 証明書 を格納します。
デフォルトでは、新しい鍵ストアにはトラステッド CA 証明書 が格納されていません。
# 格納操作がサポートされているのは Ikeyman および gskcmd (ikeycmd) のみで、gskcapicmd はサポートされていません。
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password>
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password
必要な場合は、さらに CA 証明書 を追加します (オプション)。
# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname>
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"
テスト目的で、自己署名証明書を 作成します (オプション)。
#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password> ¥
-dn <distinguished name> -label <labelname> -size <size>
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password ¥
-dn "cn=www.example.com" -label "example.com" -size 2048
証明書要求を作成します。
ほとんどの フィールドおよびオプションは任意指定です。これには、署名アルゴリズムの選択も含まれます (この 署名は認証局によってのみ使用され、実行時には使用されません)。Web サーバーの他のホスト名を 指定することもできます。
# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password> ¥
-dn <distinguished name> -label <labelname> -size <size> -file <outputfilename>
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password ¥
-dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr
認証要求を信頼された認証局に サブミットします。
このタスクでは、ローカル・ツールを使用 しません。通常、認証要求 (example.csr) は、E メールで送信されるか、 信頼された認証局にアップロードされます。
発行された証明書を受信します。
証明書の受信により、CA から の署名証明書と秘密鍵 (個人証明書) が KDB ファイル内で関連付け られます。証明書は、認証要求を生成した KDB にのみ 受信することができます。
# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate>
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm
鍵ストアにある証明書をリストします。
# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password>
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password
証明書を JKS または PKCS12 から IBM HTTP Server で使用可能な鍵ファイルにインポートします (オプション)。
秘密鍵 (個人証明書) を新しく作成する代わりに、 別のツールで作成された既存の秘密鍵および証明書を既存の鍵ファイル にインポートすることが できます。
# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>¥
-target <existingkdbfile> -target_pw <existingkdbpassword>
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password ¥
-target key.kdb -target_pw password
証明書の有効期限 を表示します (オプション)。
-expiry フラグにより、 「numdays」の日数で今後有効期限が切れる証明書が 表示されます。既に有効期限が切れた証明書を表示するには「0」を指定し、 すべての証明書の有効期限を表示するには大きい値を指定します。
# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays>
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365