[AIX Solaris HP-UX Linux Windows][z/OS]

IBM HTTP Server 证书管理

在您可以将 IBM® HTTP Server 配置为接受 TLS(也称为 SSL)连接之前,必须为 Web 服务器创建证书。SSL 证书用于向客户机认证 Web 服务器身份。

背景信息和工具

IBM HTTP Server 随附的用于创建证书的主要工具是 iKeyman,这是一个纯图形 Java™ 密钥管理工具。

[z/OS]在 z/OS® 操作系统上,所有证书管理都是使用本机 gskkyman 证书管理工具完成的。

[AIX Solaris HP-UX Linux Windows]在 Microsoft Windows 上,您可以使用“开始”菜单来启动 iKeyman。在其他平台上,可以从 IBM HTTP Server bin/ 目录启动该工具,就像启动所有 IBM HTTP Server 可执行文件一样。

在 IBM HTTP Server bin/ 目录中,还提供了 gskcmd(也称为 iKeycmd)和 gskcapicmd(也称为 gsk8capicmd)形式的本机及 Java 补充命令行证书管理工具。这两种工具共享相似的语法,并包含大量嵌入式用法信息。

IBM HTTP Server 中的证书局限性

  • IBM HTTP Server 仅支持 RSA 证书(密钥)。DSA 和 ECC 证书不受支持。
  • IBM HTTP Server 在运行时支持密钥长度长达 4096 位的证书。
  • Ikeyman 和 gskcmd (ikeycmd) 支持创建长度长达 4096 位的证书。gskcapicmd 命令支持长度长达 4096 位的证书。
  • 可以对每个 IBM HTTP Server 实例使用多个密钥数据库文件,但是,对于每个启用 TLS 的虚拟主机,只能使用一个密钥数据库文件(此文件仍可以包含多个个人证书)。

有关证书管理工具的完整文档

  • 在 z/OS 因特网资料库的“Cryptographic Services PKI Services Guide and Reference”文档 (SA22-7693) 中提供了 gskkyman 的完整文档。
  • iKeyman v8 User's Guide 中提供了 iKeymangskcmd (Ikeycmd) 的完整文档。
  • IBM HTTP Server 资料库页面上提供了本机命令行证书管理工具 gskcapicmd (gsk8capicmd) 的完整文档。

系统设置

  • 与 IBM HTTP Server 的先前版本不同,请勿移动或修改 java/jre/lib/ext/gskikm.jar 文件。
  • (可选)安装 DeveloperWorks 中的无限制 JCE 策略文件,以便在 iKeyman 和 gskcmd (ikeycmd) 中使用强度不受限的密码术。处理 PKCS12 密钥库通常需要执行此步骤。
[z/OS]

证书管理任务

在 iKeyman(分布式操作系统)和 gskkyman(z/OS 操作系统)的完整文档中记载了证书管理的详细示例方案。

[AIX Solaris HP-UX Linux Windows]

证书管理任务

在 iKeyman(分布式操作系统)和 gskkyman(z/OS 操作系统)的完整文档中记载了证书管理的详细示例方案。

[AIX Solaris HP-UX Linux Windows]请参阅常见任务的下列命令行示例。您可以输入仅包含前两个参数的下列命令来查看完整的用法语法,也可以参阅命令的综合文档。下表列示了可以对 CA 证书执行的操作、可以用来执行该操作的 AdminTask 对象以及如何在控制台上浏览至该证书:

创建 CMS 密钥库

创建要与 IBM HTTP Server 配合使用的密钥库时,请指定用于将密码隐藏在文件中的选项,这与使用的工具无关。

# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash 
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash

使用一组缺省可信 CA 证书来填充密钥库

缺省情况下,新的密钥库不包含任何可信 CA 证书。

# The populate operation is supported with Ikeyman and gskcmd (ikeycmd) only, not with gskcapicmd. 
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password> 
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password

需要时添加其他 CA 证书(可选)

# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname> 
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"   

创建自签名证书以用于测试目的(可选)

#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password>  \
     -dn <distinguished name> -label <labelname> -size <size> 
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password \
     -dn "cn=www.example.com" -label "example.com" -size 2048

创建证书请求

大多数字段和选项是可选的,其中包括选择签名算法(此签名仅由认证中心使用,而不在运行时使用)。您还可以为 Web 服务器指定其他主机名。

# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password> \
     -dn <distinguished name> -label <labelname> -size  <size> -file <outputfilename> 
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password \
   -dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr 

将证书请求提交至可信认证中心

此任务不包括使用任何本地工具。通常,证书请求 (example.csr) 通过电子邮件发送或上载到可信认证中心。

接收签发的证书

接收证书会将来自 CA 的签名证书与您的 KDB 文件中的专用密钥(个人证书)相关联。证书只能接收到生成相应证书请求的 KDB 中。

# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate> 
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm

列示密钥库中的证书。

# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> 
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password 

将证书从 JKS 或 PKCS12 导入到 IBM HTTP Server 可使用的密钥文件中(可选)

您可以将其他工具创建的现有专用密钥和证书导入到现有的密钥文件中,而不是创建新的专用密钥(个人证书)。

# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>\
      -target <existingkdbfile>  -target_pw <existingkdbpassword> 
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password  \
     -target key.kdb -target_pw password 

查看证书到期数据(可选)

-expiry 标志会导致显示未来“numdays”天后将视为到期的证书。使用 0 以显示已到期的证书,或者使用较大的数字以显示所有证书的到期日期。

# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays> 
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=cihs_certmgmt
文件名:cihs_certmgmt.html