[AIX Solaris HP-UX Linux Windows][z/OS]

Gestion des certificats IBM HTTP Server

Pour pouvoir configurer IBM® HTTP Server de manière à ce qu'il accepte des connexions TLS (également appelées SSL), vous devez créer un certificat pour le serveur Web. Un certificat SSL authentifie l'identité des serveurs Web auprès des clients.

Informations d'arrière-plan et outils

L'outil principal de création de certificats avec IBM HTTP Server est iKeyman, qui est un outil de gestion de clés Java™ purement graphique.

[z/OS]Sur les systèmes d'exploitation z/OS, l'ensemble du processus de gestion des certificats s'effectue par le biais de l'outil de gestion de certificats gskkyman natif.

[AIX Solaris HP-UX Linux Windows]Sous Microsoft Windows, vous pouvez lancer iKeyman à partir du menu Démarrer. Sur les autres plateformes, le lancement s'effectue à partir du répertoire bin/ d'IBM HTTP Server, comme pour tous les fichiers exécutables IBM HTTP Server.

Des outils de gestion de certificats à partir de la ligne de commande supplémentaires Java et natifs sont également disponibles dans le répertoire bin/ d'IBM HTTP Server, gskcmd (également appelé iKeycmd) et gskcapicmd (également appelé gsk8capicmd). Ces deux outils ont la même syntaxe et contiennent des informations imbriquées détaillées relatives à la syntaxe.

Limitations des certificats dans IBM HTTP Server

  • Seuls les certificats (clés) RSA sont pris en charge avec IBM HTTP Server. Les certificats DSA et ECC ne le sont pas.
  • Les certificats dont la longueur de clé peut atteindre 4096 bits sont pris en charge lors de l'exécution avec IBM HTTP Server.
  • Ikeyman and gskcmd (ikeycmd) prennent en charge la création de certificats d'une longueur maximale de 4 096 bits. La commande gskcapicmd prend en charge la création de certificats d'une longueur maximale de 4096 bits.
  • Plusieurs fichiers de base de données de clés peuvent être utilisés avec chaque instance d'IBM HTTP Server, mais un seul, pouvant contenir plusieurs certificats personnels, peut être utilisé par hôte virtuel configuré pour TLS.

Documentation complète relative aux outils de gestion de certificats

  • La documentation complète de gskkyman est disponible dans le document "Cryptographic Services PKI Services Guide and Reference" (SA22-7693), accessible dans la bibliothèque Internet z/OS.
  • La documentation complète d'iKeyman et gskcmd (Ikeycmd) est disponible dans le document iKeyman v8 Users Guide.
  • La documentation complète d'gskcapicmd (gsk8capicmd), qui est l'outil de gestion de certificats à partir de la linge de commande natif, est disponible à partir de la page de la bibliothèque d'IBM HTTP Server.

Configuration du système

  • Contrairement aux éditions antérieures d'IBM HTTP Server, vous ne devez ni déplacer ni modifier le fichier java/jre/lib/ext/gskikm.jar.
  • Installez, en option, les fichiers de règles sans restriction JCE de DeveloperWorks pour utiliser la cryptographie d'une puissance illimitée dans les outils iKeyman et gskcmd (ikeycmd). Cette étape est souvent obligatoire pour manipuler les fichiers de clés PKCS12.
[z/OS]

Tâches de gestion de certificats

Des scénarios exemple détaillés relatifs à la gestion des certificats sont fournis dans la documentation complète d'iKeyman (systèmes d'exploitation répartis) et gskkyman (systèmes d'exploitation z/OS).

[AIX Solaris HP-UX Linux Windows]

Tâches de gestion de certificats

Des scénarios exemple détaillés relatifs à la gestion des certificats sont fournis dans la documentation complète d'iKeyman (systèmes d'exploitation répartis) et gskkyman (systèmes d'exploitation z/OS).

[AIX Solaris HP-UX Linux Windows]Consultez les exemples suivants de tâches communes réalisées à partir de la ligne de commande. Pour afficher la syntaxe complète, entrez les commandes suivantes associées aux deux premiers paramètres seulement, ou consultez les informations relatives à la commande voulue dans la documentation. Le tableau suivant répertorie les opérations pouvant être exécutées sur des certificats de CA, l'objet AdminTask pouvant être utilisé pour exécuter cette opération et indique comment accéder au certificat à partir de la console :

Création d'un fichier de clés CMS

Lors de la création d'un fichier de clés devant être utilisé avec IBM HTTP Server, spécifiez l'option de stockage du mot de passe dans un fichier, quel que soit l'outil utilisé.

# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash 
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash

Remplissage d'un fichier de clés avec un ensemble de certificats de CA digne de confiance par défaut

Par défaut, les nouveaux fichiers de clés ne contiennent aucun certificat de CA digne de confiance.

# The populate operation is supported with Ikeyman and gskcmd (ikeycmd) only, not with gskcapicmd. 
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password> 
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password

Ajout de certificats de CA supplémentaires (facultatif)

# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname> 
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"   

Création d'un certificat autosigné à des fins de test (facultatif)

#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password>  \
     -dn <distinguished name> -label <labelname> -size <size> 
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password \
     -dn "cn=www.example.com" -label "example.com" -size 2048

Crée une demande de certificat

La plupart des zones et options sont facultatives, y compris la sélection d'un algorithme de signature (cette signature est utilisée uniquement par l'autorité de certification et non lors de l'exécution). Vous pouvez également spécifier d'autres noms d'hôte pour le serveur Web.

# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password> \
     -dn <distinguished name> -label <labelname> -size  <size> -file <outputfilename> 
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password \
   -dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr 

Soumission de la demande de certificat à une autorité de certification digne de confiance

Cette tâche n'inclut pas l'utilisation d'outils locaux. Généralement, la demande de certificat (example.csr) est envoyée dans un message électronique ou téléchargé vers une autorité de certification digne de confiance.

Réception du certificat émis

La réception d'un certificat associe un certificat signé émis par l'autorité de certification à la clé privée (certificat personnel) dans le fichier KDB. Un certificat ne peut être reçu que dans le fichier KDB qui a généré la demande de certificat.

# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate> 
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm

Affichage de la liste des certificats dans un fichier de clés.

# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> 
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password 

Importation des certificats depuis JKS ou PKCS12 dans un fichier de clés utilisable par IBM HTTP Server (facultatif)

Au lieu de créer une clé privée (certificat personnel), vous pouvez importer une clé privé et un certificat existants créés par un autre outil dans un fichier de clés existant.

# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>\
      -target <existingkdbfile>  -target_pw <existingkdbpassword> 
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password  \
     -target key.kdb -target_pw password 

Affichage des données d'expiration des certificats (facultatif)

L'indicateur -expiry permet d'afficher les certificats considérés comme arrivant à expiration dans les "nb de jours" à venir. Utilisez 0 pour afficher les certificats ayant déjà expiré ou une valeur élevée pour afficher les dates d'expiration de tous les certificats.

# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays> 
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=cihs_certmgmt
Nom du fichier : cihs_certmgmt.html