[AIX Solaris HP-UX Linux Windows][z/OS]

IBM HTTP Server の証明書 管理

IBM® HTTP Server を TLS (SSL とも呼ぶ) 接続を許可するように構成する前に、Web サーバー の証明書を作成する必要があります。SSL 証明書は、クライアント に対して Web サーバー ID の認証を行います。

背景情報およびツール

IBM HTTP Server の証明書 を作成するための主なツールは、iKeyman で、 これは、グラフィカル表示の純粋な Java™ をベースとした 鍵管理ツールです。

[z/OS]z/OS® オペレーティング・システム上では、すべての証明書管理 は、ネイティブ証明書管理ツール gskkyman を用いて行われ ます。

[AIX Solaris HP-UX Linux Windows]Microsoft Windows では、「スタート (Start)」メニューから、 iKeyman を起動できます。他のプラットフォームでのツールの起動は、すべての IBM HTTP Server の実行可能ファイルと同様に、 IBM HTTP Server の bin/ ディレクトリー から行います。

また、ネイティブおよび Java の補助的なコマンド行の証明書管理ツールも gskcmd (iKeycmd とも呼ぶ) および gskcapicmd (gsk8capicmd とも呼ぶ) として IBM HTTP Server の bin/ ディレクトリー 内で提供されています。両方とも類似した構文が使われ、広範な組み込み 使用情報が含まれています。

IBM HTTP Server の証明書の制限

  • IBM HTTP Server でサポートされているのは RSA 証明書 (鍵) のみです。DSA および ECC 証明書 はサポートされていません。
  • 最大 4096 ビットの鍵長を持つ証明書が、実行時に IBM HTTP Server でサポートされます。
  • Ikeyman および gskcmd (ikeycmd) は、最大 4096 ビットの長さの証明書の作成をサポートします。gskcapicmd コマンド は、最大 4096 ビットの長さの証明書の作成をサポートします。
  • IBM HTTP Server の各インスタンスには複数の鍵データベース・ファイル を使用することができますが、TLS が有効になっている仮想ホストについては、1 つの 鍵データベース・ファイルしか使うことができません。ただし、1 つの鍵データベース・ファイル には複数の個人証明書を含めることができます。

証明書管理ツールの 詳細な資料

  • gskkyman の詳細な資料については、z/OS Internet Library にある「Cryptographic Services PKI サービス ガイドおよび解説書」文書 (SA88-8691) をご利用ください。
  • iKeyman および gskcmd (Ikeycmd) の詳細な資料については、「iKeyman v8 Users Guide」をご利用ください。
  • ネイティブ・コマンド行証明書管理ツール gskcapicmd (gsk8capicmd) の詳細な資料については、IBM HTTP Server library page をご利用ください。

システムの設定

  • 前のリリースの IBM HTTP Server と違い、 java/jre/lib/ext/gskikm.jar ファイルを移動および変更しないでください。
  • オプションで、無制限 JCE ポリシー・ファイル を DeveloperWorks からインストールし、iKeyman および gskcmd (ikeycmd) で 無制限の強度暗号化を使用します。このステップは、多くの場合、PKCS12 鍵ストアを操作するために 必要になります。
[z/OS]

証明書管理タスク

証明書管理 の詳細なシナリオの例は、iKeyman (分散オペレーティング・システム) および gskkyman (z/OS オペレーティング・ システム) の詳細な資料に文書化されて います。

[AIX Solaris HP-UX Linux Windows]

証明書管理タスク

証明書管理 の詳細なシナリオの例は、iKeyman (分散オペレーティング・システム) および gskkyman (z/OS オペレーティング・ システム) の詳細な資料に文書化されて います。

[AIX Solaris HP-UX Linux Windows]以下の共通タスクのコマンド行の例を参照してください。最初の 2 つのパラメーターのみを使い以下のコマンドを入力することで 使用構文全体を表示させることができます。または、コマンドの包括的な資料を参照する こともできます。以下の表では、CA 証明書に対して行うことのできる操作、その操作を実行するために使用することができる AdminTask オブジェクト、およびコンソール上で証明書にナビゲートする方法をリストしています。

CMS 鍵ストアを 作成します。

IBM HTTP Server で使用する鍵ストアの作成時には、 使用するツールに関係なくパスワードをファイルに隠しておくオプションを指定します。

# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash 
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash

鍵ストアに一連のデフォルト・トラステッド CA 証明書 を格納します。

デフォルトでは、新しい鍵ストアにはトラステッド CA 証明書 が格納されていません。

# 格納操作がサポートされているのは Ikeyman および gskcmd (ikeycmd) のみで、gskcapicmd はサポートされていません。
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password> 
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password

必要な場合は、さらに CA 証明書 を追加します (オプション)。

# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname> 
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"   

テスト目的で、自己署名証明書を 作成します (オプション)。

#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password>  ¥
     -dn <distinguished name> -label <labelname> -size <size> 
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password ¥
     -dn "cn=www.example.com" -label "example.com" -size 2048

証明書要求を作成します。

ほとんどの フィールドおよびオプションは任意指定です。これには、署名アルゴリズムの選択も含まれます (この 署名は認証局によってのみ使用され、実行時には使用されません)。Web サーバーの他のホスト名を 指定することもできます。

# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password> ¥
     -dn <distinguished name> -label <labelname> -size  <size> -file <outputfilename> 
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password ¥
   -dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr 

認証要求を信頼された認証局に サブミットします。

このタスクでは、ローカル・ツールを使用 しません。通常、認証要求 (example.csr) は、E メールで送信されるか、信頼された認証局にアップロードされます。

発行された証明書を受信します。

証明書の受信により、CA から の署名証明書と秘密鍵 (個人証明書) が KDB ファイル内で関連付け られます。証明書は、認証要求を生成した KDB にのみ 受信することができます。

# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate> 
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm

鍵ストアにある証明書をリストします。

# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> 
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password 

証明書を JKS または PKCS12 から IBM HTTP Server で使用可能な鍵ファイルにインポートします (オプション)。

秘密鍵 (個人証明書) を新しく作成する代わりに、 別のツールで作成された既存の秘密鍵および証明書を既存の鍵ファイル にインポートすることが できます。

# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>¥
      -target <existingkdbfile>  -target_pw <existingkdbpassword> 
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password  ¥
     -target key.kdb -target_pw password

証明書の有効期限 を表示します (オプション)。

-expiry フラグにより、「numdays」の日数で今後有効期限が切れる証明書が表示されます。既に有効期限が切れた証明書を表示するには「0」を指定し、すべての証明書の有効期限を表示するには大きい値を指定します。

# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays> 
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=cihs_certmgmt
ファイル名:cihs_certmgmt.html