![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Gerenciamento de Certificado do IBM HTTP Server
Antes de poder configurar o IBM® HTTP Server para aceitar conexões de TLS (também conhecido como SSL), você deve criar um certificado para seu servidor da Web. Um certificado SSL autentica sua identidade de servidores da Web para clientes.
Informações e Ferramentas de Suporte
A ferramenta principal para criar certificados com o IBM HTTP Server é iKeyman, uma ferramenta de gerenciamento de chaves Java™ gráfica pura.
Nos sistemas operacionais z/OS, todo gerenciamento de certificado
é feito com a ferramenta de gerenciamento de certificado gskkyman
nativa.
No Microsoft Windows, é possível iniciar o iKeyman usando o
Menu Iniciar. Em outras plataformas, inicie a ferramenta a partir do diretório bin/ do IBM HTTP Server,
como todos os arquivos executáveis do IBM HTTP
Server.
Ferramentas de gerenciamento de certificado de linha de comandos complementares Java e nativas também são fornecidas no diretório bin/ do IBM HTTP Server como gskcmd (também conhecido como iKeycmd) e gskcapicmd (também conhecido como gsk8capicmd). Ambos compartilham sintaxe semelhante e contêm informações de uso integradas extensivas.
Limitações de Certificado no IBM HTTP Server
- Apenas certificados RSA (chaves) são suportados com o IBM HTTP Server. Certificados DSA e ECC não são suportados.
- Certificados com um comprimento de chave de até 4096 bits são suportados no tempo de execução com o IBM HTTP Server.
- Ikeyman e gskcmd (ikeycmd) suportam a criação de certificados com até 4096 bits de comprimento. O comando gskcapicmd suporta a criação de certificados de comprimentos de até 4096 bits.
- Diversos Arquivos do banco de dados de chave podem ser usados com cada instância do IBM HTTP Server, mas apenas um, que ainda pode conter diversos certificados pessoais, pode ser usado por host virtual ativado por TLS.
Documentação Completa para Ferramentas de Gerenciamento de Certificado
- A documentação completa do gskkyman está disponível no documento "Cryptographic Services PKI Services Guide and Reference" (SA22-7693) no z/OS Internet Library.
- A documentação completa para iKeyman e gskcmd (Ikeycmd) está disponível no Guia do Usuário do iKeyman v8.
- A documentação completa para gskcapicmd (gsk8capicmd), a ferramenta de gerenciamento de certificado de linha de comandos nativa, está disponível na página da biblioteca do IBM HTTP Server.
Configuração do Sistema
- Diferente das liberações anteriores do IBM HTTP Server, não mova ou modifique o arquivo java/jre/lib/ext/gskikm.jar.
- Opcionalmente, instale os arquivos de políticas JCE Irrestritos a partir do DeveloperWorks para usar criptografia de força ilimitada no iKeyman e gskcmd (ikeycmd). Esta etapa geralmente é necessária para manipular keystores PKCS12.
![[z/OS]](../images/ngzos.gif)
Tarefas de Gerenciamento de Certificado
Cenários de exemplo detalhados para gerenciamento de certificado são documentados na documentação completa para o iKeyman (sistemas operacionais distribuídos) e gskkyman (sistemas operacionais z/OS).
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Tarefas de Gerenciamento de Certificado
Cenários de exemplo detalhados para gerenciamento de certificado são documentados na documentação completa para o iKeyman (sistemas operacionais distribuídos) e gskkyman (sistemas operacionais z/OS).
Consulte os exemplos
de linha de comandos a seguir de tarefas comuns. É possível visualizar a sintaxe de uso integral inserindo os
comandos a seguir com apenas os dois primeiros parâmetros ou você pode consultar a
documentação abrangente para o comando. A tabela a seguir lista
as operações que podem ser executadas em certificados de CA, o objeto
AdminTask que pode ser usado para executar essa operação e como navegar
para o certificado no console:
Crie um keystore CMS
Quando criar um keystore a ser usado com o IBM HTTP Server, especifique a opção para stash da senha em um arquivo, independentemente da ferramenta usada.
# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash
Preencha um keystore com um conjunto de certificados de CA confiável padrão
Por padrão, novos keystores não contêm nenhum certificado de CA confiável.
# The populate operation is supported with Ikeyman and gskcmd (ikeycmd) only, not with gskcapicmd.
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password>
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password
Inclua certificados de CA adicionais, se desejado (opcional)
# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname>
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"
Crie um certificado autoassinado para propósitos de teste (opcional)
#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password> \
-dn <distinguished name> -label <labelname> -size <size>
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password \
-dn "cn=www.example.com" -label "example.com" -size 2048
Criar um pedido de certificado
A maioria dos campos e das opções é opcional, incluindo a seleção de um Algoritmo de Assinatura (esta assinatura é usada apenas por sua autoridade de certificação, não no tempo de execução). Também é possível especificar outros nomes do host para seu servidor da Web.
# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password> \
-dn <distinguished name> -label <labelname> -size <size> -file <outputfilename>
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password \
-dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr
Envie a solicitação de certificado para uma autoridade de certificação confiável
Esta tarefa não inclui o uso de nenhuma ferramenta local. Normalmente a solicitação de certificado (example.csr) é enviada em um e-mail ou transferida por upload para uma autoridade de certificação confiável.
Receba o certificado emitido
O recebimento de um certificado associa um certificado assinado de sua CA à chave privada (certificado pessoal) em seu arquivo KDB. Um certificado pode ser recebido apenas no KDB que gerou a solicitação de certificado.
# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate>
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm
Liste certificados em um keystore.
# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password>
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password
Importe certificados de JKS ou PKCS12 em um arquivo-chave utilizável pelo IBM HTTP Server (opcional)
Em vez de criar uma nova chave privada (certificados pessoais), é possível importar uma chave privada e um certificado existentes criados por uma outra ferramenta em um arquivo-chave existente.
# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>\
-target <existingkdbfile> -target_pw <existingkdbpassword>
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password \
-target key.kdb -target_pw password
Visualize dados de expiração do certificado (opcional)
A sinalização -expiry faz com que os certificados sejam considerados expirados há "numdays" no futuro para serem exibidos. Use 0 para exibir certificados já expirados ou grandes números para exibir todas as datas de expiração de certificado.
# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays>
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365