![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
使用 IKEYMAN 图形界面管理密钥(分布式系统)
此部分描述有关如何设置密钥管理实用程序 (IKEYMAN) 并将它与 IBM® HTTP Server 配合使用的主题。建议使用图形用户界面而不是命令行界面。
![[Linux]](../images/linux.gif)
开始之前
关于此任务
Global Security Kit (GSKit) 证书管理工具安装在
<ihsinst>/bin/ 目录中。这些工具只应从该安装目录运行。下列命令的示例应该包括完整目录路径,例如
<ihsinst>/bin/gskcmd。
- gskver
- ikeyman
- gskcapicmd
- gskcmd
<ihsinst>/bin/ikeyman -x
为了建立安全网络连接,请创建用于安全网络通信的密钥,并接收由在您的服务器上指定为可信认证中心 (CA) 的 CA 签发的证书。
过程
- 启动密钥管理实用程序用户界面。 使用 IKEYMAN 来创建密钥数据库、公用和专用密钥对以及证书请求。
- 处理密钥数据库。 您可以将一个密钥数据库用于所有的密钥对和证书,也可以创建多个数据库。
- 更改数据库密码。 您在创建新的密钥数据库时,需要指定用于保护专用密钥的密钥数据库密码。专用密钥是可以对文档进行签名或解密消息(这些消息已使用公用密钥进行加密)的唯一密钥。经常更改密钥数据库密码是一个好习惯。
- 创建新的密钥对和证书请求。 密钥对和证书请求存储在密钥数据库中。
- 将密钥导入和导出到另一个数据库或 PKCS12 文件中。 PKCS12 是用于安全地存储专用密钥和证书的标准。
- 列示密钥数据库中的认证中心。
- 通过使用 IKEYMAN 密钥管理实用程序 GUI 或 gskcmd 命令来查看证书信息,显示密钥数据库中的证书的到期日期。
- 如果您充当自己的 CA,那么可以使用 IKEYMAN 来创建自签名证书。
- 从认证中心接收签名证书。 如果您在专用 Web 网络中充当自己的 CA,那么可以选择使用服务器 CA 实用程序来生成签名证书并向专用网络中的客户机和服务器签发这些证书。
- 显示密钥数据库中的缺省密钥和认证中心。
- 存储来自非可信认证中心 (CA) 的证书。
- 将已加密的数据库密码存储在隐藏文件中。
- 使用 IKEYMAN 来创建密钥数据库、公用和专用密钥对以及证书请求。
- 如果您充当自己的 CA,那么可以使用 IKEYMAN 来创建自签名证书。
- 如果您在专用 Web 网络中充当自己的 CA,那么可以选择使用服务器 CA 实用程序来生成签名证书并向专用网络中的客户机和服务器签发这些证书。
下一步做什么
如果所打开证书具有的密钥的密码术级别高于策略文件所允许的密码术级别,那么可能会出现证书问题。您可以选择安装强度不受限的 JCE 策略文件。
- 从以下 Web 站点下载并安装这些文件。https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=jcesdk.
有关 IKEYMAN 实用程序的更多信息,请参阅 IHS 资料库页面上的 IKEYMAN User's Guide。