![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
IBM HTTP Server の証明書 管理
IBM® HTTP Server を TLS (SSL とも呼ぶ) 接続を許可するように構成する前に、Web サーバー の証明書を作成する必要があります。SSL 証明書は、クライアント に対して Web サーバー ID の認証を行います。
背景情報およびツール
IBM HTTP Server の証明書 を作成するための主なツールは、iKeyman で、 これは、グラフィカル表示の純粋な Java™ をベースとした 鍵管理ツールです。
z/OS® オペレーティング・システム上では、すべての証明書管理
は、ネイティブ証明書管理ツール gskkyman を用いて行われ
ます。
Microsoft Windows では、「スタート (Start)」メニューから、
iKeyman を起動できます。他のプラットフォームでのツールの起動は、すべての
IBM HTTP Server の実行可能ファイルと同様に、
IBM HTTP Server の bin/ ディレクトリー
から行います。
また、ネイティブおよび Java の補助的なコマンド行の証明書管理ツールも gskcmd (iKeycmd とも呼ぶ) および gskcapicmd (gsk8capicmd とも呼ぶ) として IBM HTTP Server の bin/ ディレクトリー 内で提供されています。両方とも類似した構文が使われ、広範な組み込み 使用情報が含まれています。
IBM HTTP Server の証明書の制限
- IBM HTTP Server でサポートされているのは RSA 証明書 (鍵) のみです。DSA および ECC 証明書 はサポートされていません。
- 最大 4096 ビットの鍵長を持つ証明書が、実行時に IBM HTTP Server でサポートされます。
- Ikeyman および gskcmd (ikeycmd) は、最大 4096 ビットの長さの証明書の作成をサポートします。gskcapicmd コマンド は、最大 4096 ビットの長さの証明書の作成をサポートします。
- IBM HTTP Server の各インスタンスには複数の鍵データベース・ファイル を使用することができますが、TLS が有効になっている仮想ホストについては、1 つの 鍵データベース・ファイルしか使うことができません。ただし、1 つの鍵データベース・ファイル には複数の個人証明書を含めることができます。
証明書管理ツールの 詳細な資料
- gskkyman の詳細な資料については、z/OS Internet Library にある「Cryptographic Services PKI サービス ガイドおよび解説書」文書 (SA88-8691) をご利用ください。
- iKeyman および gskcmd (Ikeycmd) の詳細な資料については、「iKeyman v8 Users Guide」をご利用ください。
- ネイティブ・コマンド行証明書管理ツール gskcapicmd (gsk8capicmd) の詳細な資料については、IBM HTTP Server library page をご利用ください。
システムの設定
- 前のリリースの IBM HTTP Server と違い、 java/jre/lib/ext/gskikm.jar ファイルを移動および変更しないでください。
- オプションで、無制限 JCE ポリシー・ファイル を DeveloperWorks からインストールし、iKeyman および gskcmd (ikeycmd) で 無制限の強度暗号化を使用します。このステップは、多くの場合、PKCS12 鍵ストアを操作するために 必要になります。
![[z/OS]](../images/ngzos.gif)
証明書管理タスク
証明書管理 の詳細なシナリオの例は、iKeyman (分散オペレーティング・システム) および gskkyman (z/OS オペレーティング・ システム) の詳細な資料に文書化されて います。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
証明書管理タスク
証明書管理 の詳細なシナリオの例は、iKeyman (分散オペレーティング・システム) および gskkyman (z/OS オペレーティング・ システム) の詳細な資料に文書化されて います。
以下の共通タスクのコマンド行の例を参照してください。最初の 2 つのパラメーターのみを使い以下のコマンドを入力することで
使用構文全体を表示させることができます。または、コマンドの包括的な資料を参照する
こともできます。以下の表では、CA 証明書に対して行うことのできる操作、その操作を実行するために使用することができる AdminTask オブジェクト、およびコンソール上で証明書にナビゲートする方法をリストしています。
CMS 鍵ストアを 作成します。
IBM HTTP Server で使用する鍵ストアの作成時には、 使用するツールに関係なくパスワードをファイルに隠しておくオプションを指定します。
# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash
鍵ストアに一連のデフォルト・トラステッド CA 証明書 を格納します。
デフォルトでは、新しい鍵ストアにはトラステッド CA 証明書 が格納されていません。
# 格納操作がサポートされているのは Ikeyman および gskcmd (ikeycmd) のみで、gskcapicmd はサポートされていません。
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password>
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password
必要な場合は、さらに CA 証明書 を追加します (オプション)。
# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname>
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"
テスト目的で、自己署名証明書を 作成します (オプション)。
#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password> ¥
-dn <distinguished name> -label <labelname> -size <size>
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password ¥
-dn "cn=www.example.com" -label "example.com" -size 2048
証明書要求を作成します。
ほとんどの フィールドおよびオプションは任意指定です。これには、署名アルゴリズムの選択も含まれます (この 署名は認証局によってのみ使用され、実行時には使用されません)。Web サーバーの他のホスト名を 指定することもできます。
# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password> ¥
-dn <distinguished name> -label <labelname> -size <size> -file <outputfilename>
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password ¥
-dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr
認証要求を信頼された認証局に サブミットします。
このタスクでは、ローカル・ツールを使用 しません。通常、認証要求 (example.csr) は、E メールで送信されるか、信頼された認証局にアップロードされます。
発行された証明書を受信します。
証明書の受信により、CA から の署名証明書と秘密鍵 (個人証明書) が KDB ファイル内で関連付け られます。証明書は、認証要求を生成した KDB にのみ 受信することができます。
# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate>
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm
鍵ストアにある証明書をリストします。
# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password>
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password
証明書を JKS または PKCS12 から IBM HTTP Server で使用可能な鍵ファイルにインポートします (オプション)。
秘密鍵 (個人証明書) を新しく作成する代わりに、 別のツールで作成された既存の秘密鍵および証明書を既存の鍵ファイル にインポートすることが できます。
# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>¥
-target <existingkdbfile> -target_pw <existingkdbpassword>
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password ¥
-target key.kdb -target_pw password
証明書の有効期限 を表示します (オプション)。
-expiry フラグにより、「numdays」の日数で今後有効期限が切れる証明書が表示されます。既に有効期限が切れた証明書を表示するには「0」を指定し、すべての証明書の有効期限を表示するには大きい値を指定します。
# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays>
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365