[AIX Solaris HP-UX Linux Windows][z/OS]

Gerenciamento de Certificado do IBM HTTP Server

Antes de poder configurar o IBM® HTTP Server para aceitar conexões de TLS (também conhecido como SSL), você deve criar um certificado para seu servidor da Web. Um certificado SSL autentica sua identidade de servidores da Web para clientes.

Informações e Ferramentas de Suporte

A ferramenta principal para criar certificados com o IBM HTTP Server é iKeyman, uma ferramenta de gerenciamento de chaves Java™ gráfica pura.

[z/OS]Nos sistemas operacionais z/OS, todo gerenciamento de certificado é feito com a ferramenta de gerenciamento de certificado gskkyman nativa.

[AIX Solaris HP-UX Linux Windows]No Microsoft Windows, é possível iniciar o iKeyman usando o Menu Iniciar. Em outras plataformas, inicie a ferramenta a partir do diretório bin/ do IBM HTTP Server, como todos os arquivos executáveis do IBM HTTP Server.

Ferramentas de gerenciamento de certificado de linha de comandos complementares Java e nativas também são fornecidas no diretório bin/ do IBM HTTP Server como gskcmd (também conhecido como iKeycmd) e gskcapicmd (também conhecido como gsk8capicmd). Ambos compartilham sintaxe semelhante e contêm informações de uso integradas extensivas.

Limitações de Certificado no IBM HTTP Server

  • Apenas certificados RSA (chaves) são suportados com o IBM HTTP Server. Certificados DSA e ECC não são suportados.
  • Certificados com um comprimento de chave de até 4096 bits são suportados no tempo de execução com o IBM HTTP Server.
  • Ikeyman e gskcmd (ikeycmd) suportam a criação de certificados com até 4096 bits de comprimento. O comando gskcapicmd suporta a criação de certificados de comprimentos de até 4096 bits.
  • Diversos Arquivos do banco de dados de chave podem ser usados com cada instância do IBM HTTP Server, mas apenas um, que ainda pode conter diversos certificados pessoais, pode ser usado por host virtual ativado por TLS.

Documentação Completa para Ferramentas de Gerenciamento de Certificado

  • A documentação completa do gskkyman está disponível no documento "Cryptographic Services PKI Services Guide and Reference" (SA22-7693) no z/OS Internet Library.
  • A documentação completa para iKeyman e gskcmd (Ikeycmd) está disponível no Guia do Usuário do iKeyman v8.
  • A documentação completa para gskcapicmd (gsk8capicmd), a ferramenta de gerenciamento de certificado de linha de comandos nativa, está disponível na página da biblioteca do IBM HTTP Server.

Configuração do Sistema

  • Diferente das liberações anteriores do IBM HTTP Server, não mova ou modifique o arquivo java/jre/lib/ext/gskikm.jar.
  • Opcionalmente, instale os arquivos de políticas JCE Irrestritos a partir do DeveloperWorks para usar criptografia de força ilimitada no iKeyman e gskcmd (ikeycmd). Esta etapa geralmente é necessária para manipular keystores PKCS12.
[z/OS]

Tarefas de Gerenciamento de Certificado

Cenários de exemplo detalhados para gerenciamento de certificado são documentados na documentação completa para o iKeyman (sistemas operacionais distribuídos) e gskkyman (sistemas operacionais z/OS).

[AIX Solaris HP-UX Linux Windows]

Tarefas de Gerenciamento de Certificado

Cenários de exemplo detalhados para gerenciamento de certificado são documentados na documentação completa para o iKeyman (sistemas operacionais distribuídos) e gskkyman (sistemas operacionais z/OS).

[AIX Solaris HP-UX Linux Windows]Consulte os exemplos de linha de comandos a seguir de tarefas comuns. É possível visualizar a sintaxe de uso integral inserindo os comandos a seguir com apenas os dois primeiros parâmetros ou você pode consultar a documentação abrangente para o comando. A tabela a seguir lista as operações que podem ser executadas em certificados de CA, o objeto AdminTask que pode ser usado para executar essa operação e como navegar para o certificado no console:

Crie um keystore CMS

Quando criar um keystore a ser usado com o IBM HTTP Server, especifique a opção para stash da senha em um arquivo, independentemente da ferramenta usada.

# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash 
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash

Preencha um keystore com um conjunto de certificados de CA confiável padrão

Por padrão, novos keystores não contêm nenhum certificado de CA confiável.

# The populate operation is supported with Ikeyman and gskcmd (ikeycmd) only, not with gskcapicmd. 
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password> 
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password

Inclua certificados de CA adicionais, se desejado (opcional)

# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname> 
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"   

Crie um certificado autoassinado para propósitos de teste (opcional)

#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password>  \
     -dn <distinguished name> -label <labelname> -size <size> 
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password \
     -dn "cn=www.example.com" -label "example.com" -size 2048

Criar um pedido de certificado

A maioria dos campos e das opções é opcional, incluindo a seleção de um Algoritmo de Assinatura (esta assinatura é usada apenas por sua autoridade de certificação, não no tempo de execução). Também é possível especificar outros nomes do host para seu servidor da Web.

# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password> \
     -dn <distinguished name> -label <labelname> -size  <size> -file <outputfilename> 
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password \
   -dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr 

Envie a solicitação de certificado para uma autoridade de certificação confiável

Esta tarefa não inclui o uso de nenhuma ferramenta local. Normalmente a solicitação de certificado (example.csr) é enviada em um e-mail ou transferida por upload para uma autoridade de certificação confiável.

Receba o certificado emitido

O recebimento de um certificado associa um certificado assinado de sua CA à chave privada (certificado pessoal) em seu arquivo KDB. Um certificado pode ser recebido apenas no KDB que gerou a solicitação de certificado.

# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate> 
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm

Liste certificados em um keystore.

# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> 
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password 

Importe certificados de JKS ou PKCS12 em um arquivo-chave utilizável pelo IBM HTTP Server (opcional)

Em vez de criar uma nova chave privada (certificados pessoais), é possível importar uma chave privada e um certificado existentes criados por uma outra ferramenta em um arquivo-chave existente.

# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>\
      -target <existingkdbfile>  -target_pw <existingkdbpassword> 
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password  \
     -target key.kdb -target_pw password 

Visualize dados de expiração do certificado (opcional)

A sinalização -expiry faz com que os certificados sejam considerados expirados há "numdays" no futuro para serem exibidos. Use 0 para exibir certificados já expirados ou grandes números para exibir todas as datas de expiração de certificado.

# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays> 
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365

Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=cihs_certmgmt
Nome do arquivo: cihs_certmgmt.html