![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
Zertifikatsmanagement für IBM HTTP Server
Bevor Sie IBM® HTTP Server für das Akzeptieren von TLS-Verbindungen (oder auch SSL-Verbindungen) konfigurieren können, müssen Sie ein Zertifikat für Ihren Web-Server erstellen. Ein SSL-Zertifikat authentifiziert die Identität Ihres Web-Servers bei Clients.
Hintergrundinformationen und Tools
Das primäre Tool für das Erstellen von Zertifikaten mit IBM HTTP Server ist iKeyman, ein reines grafisch orientiertes Java™-Tool für das Schlüsselmanagement.
Auf z/OS-Betriebssystemen wird das gesamte Zertifikatsmanagement
mit dem nativen Zertifikats-Management-Tool gskkyman statt.
Unter Microsoft
Windows können Sie iKeyman über das Menü "Start" starten.
Auf anderen Plattformen starten Sie das Tool wie alle anderen ausführbaren Dateien von
IBM HTTP Server über das Verzeichnis bin/ von IBM HTTP Server.
Native und ergänzende Java-Befehlszeilentools für das Zertifikatsmanagement werden auch im Verzeichnis bin/ von IBM HTTP Server in Form der Dateien gskcmd (auch iKeycmd) und gskcapicmd (auch gsk8capicmd) bereitgestellt. Beide Tools haben eine ähnliche Syntax und enthalten umfassende integrierte Verwendungsinformationen.
Zertifikatseinschränkungen in IBM HTTP Server
- Es werden nur RSA-Zertifikate (Schüssel) für IBM HTTP Server unterstützt. DSA- und ECC-Zertifikate werden nicht unterstützt.
- Zertifikate mit einer Schlüssellänge bis 4096 Bit werden in der Laufzeitumgebung für IBM HTTP Server unterstützt.
- Ikeyman und gskcmd (ikeycmd) unterstützen die Erstellung von Zertifikaten mit einer maximalen Länge von 4096 Bit. Der Befehl gskcapicmd unterstützt die Erstellung von Zertifikaten mit einer Länge von bis zu 4096 Bit.
- Es können mehrere Schlüsseldatenbankdateien für jede Instanz von IBM HTTP Server verwendet werden, aber es kann nur eine einzige Schlüsseldatenbankdatei, die dann wiederum mehrere persönliche Zertifikate enthalten kann, pro TLS-fähigem virtuellen Host verwendet werden.
Vollständige Dokumentation zu Zertifikats-Management-Tools
- Die vollständige Dokumentation von gskkyman ist im Dokument "Cryptographic Services PKI Services Guide and Reference document" (IBM Form SA22-7693) in der Internetbibliothek zu z/OS verfügbar.
- Die vollständige Dokumentation von iKeyman und gskcmd (Ikeycmd) ist im Benutzerhandbuch von iKeyman v8 enthalten.
- Die vollständige Dokumentation von gskcapicmd (gsk8capicmd), dem nativen Befehlszeilentool für das Zertifikatsmanagement, ist auf der Bibliotheksseite von IBM HTTP Server verfügbar.
Systemkonfiguration
- Anders als in den früheren Releases von IBM HTTP Server müssen Sie die Datei java/jre/lib/ext/gskikm.jar nicht verschieben oder ändern.
- (Optional) Installieren Sie die uneingeschränkten JCE-Richtliniendateien von DeveloperWorks, wenn Sie eine uneingeschränkte Verschlüsselung in iKeyman und gskcmd (ikeycmd) verwenden möchten. Dieser Schritt erfordert häufig die Bearbeitung von PKCS12-Keystores.
![[z/OS]](../images/ngzos.gif)
Zertifikatsmanagementtasks
Ausführliche Beispielszenarien für das Zertifikatsmanagement sind in der vollständigen Dokumentation von iKeyman (verteilte Betriebssysteme) und gskkyman (Betriebssystem z/OS) dokumentiert.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Zertifikatsmanagementtasks
Ausführliche Beispielszenarien für das Zertifikatsmanagement sind in der vollständigen Dokumentation von iKeyman (verteilte Betriebssysteme) und gskkyman (Betriebssystem z/OS) dokumentiert.
Sehen Sie sich die folgenden Befehlszeilenbeispiele für allgemeine Tasks an.
Sie können die vollständige Syntax anzeigen, indem Sie die folgenden Befehle nur mit den ersten beiden
Parametern eingeben. Alternativ können Sie die umfassende Dokumentation für den Befehl zu Rate ziehen.
In der folgenden Tabelle sind die Operationen aufgelistet, die Sie für
CA-Zertifikate ausführen können. Die Tabelle gibt außerdem das AdminTask-Objekt an, mit dem die Operation ausgeführt wird, und beschreibt die
Konsolnavigation.
CMS-Keystore erstellen
Wenn Sie einen Keystore für IBM HTTP Server erstellen, geben Sie unabhängig vom verwendeten Tool die Option zum verdeckten Speichern des Kennworts in einer Datei an.
# Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -keydb -create -db <Datenbank> -pw <Kennwort> -stash
<IHS-Stammverzeichnis>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw Kennwort -stash
Keystore mit einer Gruppe von anerkannten CA-Standardzertifikaten füllen
Standardmäßig enthalten neue Keystores keine anerkannten CA-Zertifikate.
# Die Operation zum Füllen des Keystores wird nur mit Ikeyman und gskcmd (ikeycmd) unterstützt, aber nicht mit gskcapicmd.
# Syntax: <IHS-Stammverzeichnis>/bin/gskcmd -cert -populate -db <Datenbank> -pw <Kennwort>
<IHS-Stammverzeichnis>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw Kennwort
Weitere CA-Zertifikate hinzufügen (optional)
# Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -cert -add -db <Datenbank> -pw <Kennwort >-file <Eingabezertifikat> -label <Kennsatzname>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw Kennwort -file cacert.cer -label "CA certificate from example.com"
Selbst signiertes Zertifikat für Testzwecke erstellen (optional)
#Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -cert -create -db <Datenbank> -pw <Kennwort> \
-dn <definierter_Name> -label <Kennsatzname> -size <Größe>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw Kennwort \
-dn "cn=www.example.com" -label "example.com" -size 2048
Erstellt eine Zertifikatsanforderung.
Die meisten Felder und Optionen sind optional, einschließlich der Auswahl eines Signaturalgorithmus (diese Signatur wird nur von der Zertifizierungsstelle (CA, Certificate Authority), nicht von der Laufzeitumgebung verwendet). Sie können auch weitere Hostnamen für Ihren Web-Server angeben.
# Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -certreq -create -db <Datenbank> -pw <Kennwort> \
-dn <definierter_Name> -label <Kennsatzname> -size <Größe> -file <Name_der_Ausgabedatei>
<IHS-Stammverzeichnis>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw Kennwort \
-dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr
Zertifikatsanforderung an eine anerkannte Zertifizierungsstelle übergeben
Für diese Task werden keine lokalen Tools verwendet. Gewöhnlich wird die Zertifikatsanforderung (example.csr) in einer E-Mail gesendet oder in eine anerkannte Zertifizierungsstelle hochgeladen.
Ausgestelltes Zertifikat empfangen
Beim Empfang eines Zertifikats wird ein signiertes Zertifikat Ihrer Zertifizierungsstelle dem privaten Schlüssel (persönlichen Zertifikat) in Ihrer KDB-Datei zugeordnet. Ein Zertifikat kann nur in der KDB empfangen werden, die die Zertifikatsanforderung generiert hat.
# Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -cert -receive -db db <Datenbank> -pw <Kennwort> -file <Eingabezertifikat>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw Kennwort -file certificate.arm
Zertifikate in einem Keystore auflisten
# Syntax <IHS-Stammverzeichnis>/bin/gskcapicmd -cert -list -db <Datenbank> -pw <Kennwort>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw Kennwort
Zertifikate aus JKS oder PKCS12 in eine Schlüsseldatei importieren, die von IBM HTTP Server verwendet werden kann (optional)
Anstatt einen neuen privaten Schlüssel (persönliches Zertifikat) zu erstellen, können Sie einen vorhandenen privaten Schlüssel und ein Zertifikat, das von einem anderen Tool erstellt wurde, in eine vorhandene Schlüsseldatei importieren.
# Syntax: <IHS-Stammverzeichnis>/bin/gskcapicmd -cert -import -db <p12-Eingabedatei> -pw <pkcs12-Kennwort>\
-target <vorhandene_KDB-Datei> -target_pw <vorhandenes_KDB-Kennwort>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12-Kennwort \
-target key.kdb -target_pw Kennwort
Ablaufdaten des Zertifikats anzeigen (optional)
Das Flag -expiry bewirkt, dass Zertifikate, die nach der angegebenen Anzahl von Tagen ablaufen, angezeigt werden. Verwenden Sie 0, wenn bereits abgelaufene Zertifikate angezeigt werden sollen, oder große Zahlen, wenn die Ablaufdaten aller Zertifikate angezeigt werden sollen.
# Syntax:<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -list -db <Datenbank> -pw <Kennwort> -expiry <Anzahl_Tage>
<IHS-Stammverzeichnis>/bin/gskcapicmd -cert -list -db key.kdb -Kennwort -expiry 365