Sie verfügen erst dann über eine geschützte Netzwerkverbindung, wenn Sie einen Schlüssel für geschützte Netzkommunikation erstellt und ein Zertifikat von einer auf dem Server als Trusted-CA definierten CA empfangen haben. Verwenden Sie IKEYMAN, um Schlüsseldatenbanken, Paare aus allgemeinen und öffentlichen Schlüsseln und Zertifikatsanforderungen zu erstellen. Wenn Sie selbst als CA auftreten, können Sie mit IKEYMAN selbstunterzeichnete Zertifikate erstellen. Treten Sie in einem privaten Web-Netz als CA auf, können Sie mit dem CA-Dienstprogramm des Servers unterzeichnete Zertifikate generieren und an Clients und Server in diesem Netz ausgeben.
IKEYMAN kann für Konfigurations-Tasks verwendet werden, die sich auf die Erstellung und Verwaltung öffentlich-privater Schlüssel beziehen. Für die Konfigurationsoptionen, mit denen die Konfigurationsdatei des Servers httpd.conf aktualisiert wird, kann IKEYMAN nicht verwendet werden. Dazu müssen Sie den IBM Verwaltungs-Server verwenden.
Benutzer von Linux für S/390: Verwenden Sie die Befehlszeilenschnittstelle IKEYCMD, um ähnliche Funktionen wie mit IKEYMAN auszuführen. Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden.
Dieser Anhang enthält detaillierte Informationen zu den Tasks, die Sie mit dem Dienstprogramm IBM Key-Management (IKEYMAN) ausführen können. Es wird jedoch nicht beschrieben, wie Sicherheitsoptionen konfiguriert werden, die Aktualisierungen an der Server-Konfigurationsdatei erfordern.
Die grafische Benutzerschnittstelle von IKEYMAN basiert auf Java und erfordert die Ausführung von JDK oder JRE. Die von IKEYMAN unterstützten Mindestversionen von JDK sind:
Unter Windows und Solaris finden Sie in den GSKit-Bibliotheken, die im Rahmen der SSL-Komponente installiert werden, eine JRE. Für diese Plattformen ist keine weitere Konfiguration der Umgebung erforderlich. Für die Ausführung unter AIX, HP und Linux oder für die Verwendung eines anderen JDK unter Solaris müssen Sie Ihre Systemumgebung gemäß den folgenden Richtlinien konfigurieren:
EXPORT JAVA_HOME=vollständiger Pfadname des JDK-Verzeichnisses
EXPORT PATH = <vollständiger Pfadname des JDK-Ausgangsverzeichnisses> /jre/sh:<vollständiger Pfadname des JDK-Ausgangsverzeichnisses>/sh:$PATH
EXPORT PATH=$IKEYMAN_HOME/bin:$PATH
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Für die Ausführung von IKEYMAN unter Linux für S/390 müssen Sie die folgenden Umgebungsvariablen definieren, damit Sie die Befehlszeilenschnittstelle IKEYCMD verwenden können:
EXPORT PATH=/opt/IBMJava/bin:$PATH
EXPORT CLASSPATH=/usr/local/ibm/gsk/classes/cfwk.zip:/usr/local/ibm/ gsk/classes/gsk4cls.jar:$CLASSPATH
Anschließend können Sie IKEYCMD von jedem Verzeichnis aus ausführen. Verwenden Sie zum Ausführen eines IKEYCMD-Befehls die folgende Syntax:
java com.ibm.gsk.ikeyman.ikeycmd <Befehl>Anmerkung: In Abhängigkeit davon, ob Sie JRE oder JDK verwenden, können Sie Java durch JRE ersetzen. Beispiel:
jre com.ibm.gsk.ikeyman.ikeycmd <Befehl>
Sie müssen mit jedem IKEYCMD-Befehl (außer mit dem Befehl zum Erstellen einer Datenbank) die Schlüsseldatenbank und ein Kennwort für die Schlüsseldatenbank angeben. Diese Aktion ist erforderlich, weil mit jedem Befehl die Datenbank geöffnet wird. Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden.
Der folgende Abschnitt enthält eine Einführung in IKEYMAN und beschreibt die Verwendung von IKEYMAN und der Befehlszeilenschnittstelle IKEYCMD.
Gehen Sie zum Starten der grafischen Benutzerschnittstelle IKEYMAN wie folgt vor:
Anmerkung: Wenn Sie IKEYMAN starten, um eine neue Schlüsseldatenbankdatei zu erstellen, wird die Datei in dem Verzeichnis gespeichert, in dem Sie IKEYMAN starten.
Sie verfügen erst dann über eine geschützte Netzwerkverbindung, wenn Sie einen Schlüssel für geschützte Netzkommunikation erstellt und ein Zertifikat von einer auf dem Server als Trusted-CA definierten CA empfangen haben. Verwenden Sie IKEYMAN (bzw. IKEYCMD unter Linux für S/390), um die Schlüsseldatenbankdatei, das Paar aus allgemeinem und privatem Schlüssel und die Zertifikatanforderung zu erstellen. Wenn Sie das von der CA unterzeichnete Zertifikat erhalten haben, empfangen Sie es mit IKEYMAN (bzw. mit IKEYCMD unter Linux für S/390) in der Schlüsseldatenbank, in der Sie die Originalzertifikatanforderung erstellt haben.
Dieser Abschnitt enthält eine Kurzübersicht über die IKEYMAN- und IKEYCMD-Tasks sowie Beschreibungen der allgemeinen Tasks.
In der folgenden Tabelle sind die in der Benutzerschnittstelle IKEYMAN und Befehlszeilenschnittstelle ausführbaren Tasks
zusammengefasst.
IKEYMAN- und IKEYCMD-Tasks | Anweisungen hierzu finden Sie im Abschnitt: |
---|---|
Neue Schlüsseldatenbank erstellen und Datenbankkennwort angeben |
|
Neues Schlüsselpaar und Zertifikatanforderung erstellen |
|
Selbstunterzeichnetes Zertifikat erstellen |
|
Schlüssel in eine andere Datenbank oder in eine PKCS12-Datei exportieren |
|
Schlüssel aus einer anderen Datenbank oder einer PKCS12-Datei importieren |
|
CAs und Zertifikatanforderungen auflisten |
|
Schlüsseldatenbank öffnen |
|
Von CA unterzeichnetes Zertifikat in einer Schlüsseldatenbank empfangen |
|
Standardschlüssel in einer Schlüsseldatenbank anzeigen |
|
Root-Zertifikat einer CA speichern |
|
Verschlüsseltes Datenbankkennwort in einer versteckten Datei speichern |
|
Eine Schlüsseldatenbank ist eine Datei, in der der Server ein oder mehrere Schlüsselpaare und Zertifikate speichert. Sie können eine Schlüsseldatenbank für alle Schlüsselpaare und Zertifikate verwenden oder mehrere Datenbanken erstellen.
Gehen Sie zum Erstellen einer neuen Schlüsseldatenbank wie folgt vor:
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Für jede Schlüsseldatenbankoperation ist ein Kennwort erforderlich. Eine Datenbank vom Typ sslight erfordert zwar ein angegebenes Kennwort, aber das Kennwort kann eine leere Zeichenfolge sein (Angabe mit ""). Zum Erstellen einer neuen Schlüsseldatenbank mit der Befehlszeilenschnittstelle IKEYCMD geben Sie den folgenden Befehl ein:
java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db <Dateiname>.kdb -pw <Kennwort> -type cms -expire <days> -stash
Wird die Option -stash während der Erstellung der Schlüsseldatenbank angegeben, wird das Kennwort verdeckt in einer Datei gespeichert, deren Name wie folgt aufgebaut ist:
<Dateiname der Schlüsseldatenbank>.sthHat die zu erstellende Datenbank beispielsweise den Namen keydb.kdb, ist der Name der verdeckt gespeicherten Datei keydb.sth.
Wenn Sie eine neue Schlüsseldatenbank erstellen, geben Sie ein Kennwort für die Schlüsseldatenbank an. Das Kennwort schützt den privaten Schlüssel. Der private Schlüssel ist der einzige Schlüssel, der Dokumente unterzeichnen oder mit dem allgemeinen Schlüssel verschlüsselte Nachrichten entschlüsseln kann. Es wird empfohlen, das Kennwort für die Schlüsseldatenbank häufig zu ändern.
Folgen Sie zur Angabe des Kennworts den folgenden Richtlinien:
Anmerkung: | Beachten Sie die Verfallsdaten für das Kennwort. Wenn das Kennwort abläuft, wird eine Nachricht in das Fehlerprotokoll geschrieben. Der Server wird dann zwar gestartet, aber die Netzverbindung ist nicht geschützt. |
Gehen Sie zum Ändern des Datenbankkennworts wie folgt vor:
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Geben Sie zum Ändern des Datenbankkennworts folgenden Befehl ein:
java com.ibm.gsk.ikeyman.ikeycmd -keydb -changepw -db <Dateiname> .kdb -pw <Kennwort> -new_pw <neues_Kennwort> -expire <Tage> -stash
Die Anfangskonfigurationseinstellung für den Standardnamen der Datenbank ist key.kdb. Wenn Sie key.kdb als Standardnamen für die Datenbank verwenden, müssen die Datenbank nicht auf dem Server registrieren. Der Server verwendet die Anfangseinstellung der Anweisung "KeyFile" in der Konfigurationsdatei. Wenn Sie key.kdb nicht als Standardnamen für die Schlüsseldatenbank verwenden oder zusätzliche Schlüsseldatenbanken erstellen, müssen Sie diese Datenbanken registrieren.
Schlüsselpaare und Zertifikatanforderungen werden in einer Schüsseldatenbank gespeichert. Gehen Sie zum Erstellen eines Paars aus allgemeinem und privatem Schlüssel und einer Zertifikatanforderung wie folgt vor:
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Erstellen eines Paars aus allgemeinem und privatem Schlüssel und einer Zertifikatanforderung wie folgt vor:
java com.ibm.gsk.ikeyman.ikeycmd -certreq -create -db <DB-Name>.kdb -pw <Kennwort> -size <1024 | 512> -dn<registrierter_Name> <Dateiname> -label <Kennsatz>Die Parameter sind im folgenden beschrieben:
"CN=weblinux.raleigh.ibm.com,O=ibm,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"
java com.ibm.gsk.ikeyman.ikeycmd -certreq -list -db <Dateiname> -pw <Kennwort>Jetzt sollte der soeben erstellte Kennsatz aufgelistet sein.
Normalerweise dauert es zwei bis drei Wochen, um ein Zertifikat von einer bekannten Trusted-CA zu erhalten. Während Sie auf die Ausstellung des Zertifikats warten, können Sie mit IKEYMAN ein selbstunterzeichnetes Zertifikat erstellen, um SSL-Sitzungen zwischen Clients und dem Server zu ermöglichen. Sie können so auch vorgehen, wenn Sie als eigene CA in einem privaten Web-Netzwerk auftreten.
Gehen Sie zum Erstellen eines selbstunterzeichneten Zertifikats wie folgt vor:
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden
Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Erstellen eines selbstunterzeichneten Zertifikats wie folgt vor:
Geben Sie den folgenden Befehl ein:
java com.ibm.gsk.ikeyman.ikeycmd -cert -create -db <DB-Name>.kdb -pw <Kennwort> -size <1024 | 512> -dn<registrierter Name> -label <Kennsatz> -default_cert <yes oder no>Die Parameter sind im folgenden beschrieben:
"CN=weblinux.raleigh.ibm.com,O=ibm,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden.
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden.
Gehen Sie zum Anzeigen einer Liste mit Trusted-CAs in einer Schlüsseldatenbank wie folgt vor:
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Anzeigen einer Liste mit Trusted-CAs in einer Schlüsseldatenbank wie folgt vor:
java com.ibm.gsk.ikeyman.ikeycmd -cert -list CA -db <DB-Name>.kdb -pw <Kennwort> -type cms
Gehen Sie zum Öffnen einer vorhandenen Schlüsseldatenbank wie folgt vor:
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Eine Schlüsseldatenbank wird nicht explizit geöffnet. Für jeden Befehl werden eine Datenbank und ein Kennwort angegeben. Diese Angaben enthalten die erforderlichen Informationen zum Ausführen von Operationen in einer Schlüsseldatenbank.
Verwenden Sie diese Prozedur, um ein Zertifikat zu empfangen, das auf elektronischem Weg von einer CA, die als Trusted-CA auf Ihrem Server definiert ist, an Sie gesendet wurde. Standardmäßig sind die folgenden CA-Zertifikate in der Schlüsseldatenbank gespeichert und als Zertifikate von Trusted-CAs markiert:
Die Zertifizierungsstelle (CA) kann mehrere Zertifikate senden. Zusätzlich zu dem Zertifikat für Ihren Server kann die CA auch weitere Zertifikate zur Unterzeichnung (Signing) oder temporäre CA-Zertifikate (Intermediate) senden. Verisign fügt beispielsweise einem "Global Server ID"-Zertifikat ein temporäres CA-Zertifikat bei. Bevor Sie das Server-Zertifikat empfangen, müssen Sie zuerst alle zusätzlichen temporären CA-Zertifikate empfangen. Folgen Sie zum Empfangen temporärer CA-Zertifikate den Anweisungen im Abschnitt CA-Zertifikat speichern.
Anmerkung: Wenn die CA, die Ihr unterzeichnetes Zertifikat ausgestellt hat, nicht als Trusted-CA in der Schlüsseldatenbank definiert ist, müssen Sie das CA-Zertifikat zuerst speichern und die CA als Trusted-CA definieren. Anschließend empfangen Sie das von der CA unterzeichnete Zertifikat in der Datenbank. Sie können keine unterzeichneten Zertifikate von einer CA empfangen, die nicht als Trusted-CA definiert ist. Anweisungen hierzu finden Sie im Abschnitt CA-Zertifikat speichern.
Gehen Sie zum Empfangen des von der CA unterzeichneten Zertifikats in einer Schlüsseldatenbank wie folgt vor:
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Empfangen des von der CA unterzeichneten Zertifikats in einer Schlüsseldatenbank wie folgt vor:
java com.ibm.gsk.ikeyman.ikeycmd -cert -receive -file <Dateiname> -db <DB-Name> .kdb -pw <Kennwort> -format <ascii | binary> -default_cert <yes | no>
Gehen Sie zum Anzeigen des Standardschlüsseleintrags wie folgt vor:
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Anzeigen des Standardschlüsseleintrags wie folgt vor:
java com.ibm.gsk.ikeyman.ikeycmd -cert -getdefault -db <DB-Name>.kdb -pw <Kennwort>
Gehen Sie zum Speichern eines Zertifikats von einer nicht als Trusted-CA definierten CA wie folgt vor:
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Speichern eines Zertifikats von einer nicht als Trusted-CA definierten CA wie folgt vor:
java com.ibm.gsk.ikeyman.ikeycmd -cert -add -db <Dateiname>.kdb -pw <Kennwort> -label <label> -format <ascii | binary> -trust <enable |disable> -file <Datei>Die Parameter sind im folgenden beschrieben:
Sie müssen das verschlüsselte Datenbankkennwort in einer versteckten Datei speichern, um mit geschützten Netzverbindungen zu arbeiten.
Gehen Sie zum Speichern des Kennworts während der Erstellung einer Datenbank wie folgt vor:
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Speichern des Kennworts während der Erstellung einer Datenbank wie folgt vor:
java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db <Pfad_zur_DB>/<DN-Name>.kdb -pw <Kennwort> -type cms -expire <days> -stash
Gehen Sie zum Speichern des Kennworts nach der Erstellung einer Datenbank wie folgt vor:
Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Speichern des Kennworts nach der Erstellung einer Datenbank wie folgt vor:
java com.ibm.gsk.ikeyman.ikeycmd -keydb -stashpw -db <DB-Name>.kdb -pw <Kennwort>
Unter Linux für S/390 stellt IKEYCMD, die Java-Befehlszeilenschnittstelle von IKEYMAN, die erforderlichen Optionen für die Erstellung und Verwaltung von Schlüsseln, Zertifikaten und Zertifikatanforderungen bereit. Wenn Sie selbst als CA auftreten, können Sie mit IKEYCMD selbstunterzeichnete Zertifikate erstellen. Treten Sie in einem privaten Web-Netz als CA auf, können Sie mit dem CA-Dienstprogramm des Servers unterzeichnete Zertifikate generieren und an Clients und Server in diesem Netz ausgeben.
IKEYCMD kann für Konfigurations-Tasks verwendet werden, die sich auf die Erstellung und Verwaltung öffentlich-privater Schlüssel beziehen. Für die Konfigurationsoptionen, mit denen die Konfigurationsdatei des Servers httpd.conf aktualisiert wird, kann IKEYCMD nicht verwendet werden. Dazu müssen Sie den IBM Verwaltungs-Server verwenden.
IKEYCMD verwendet Java und native Befehlzeilenaufrufe für die Aktivierung der IKEYMAN-Übertragungsprotokollierung.
Die Syntax der Java-Befehlszeilenschnittstelle ist wie folgt:
java [-Dikeycmd.properties=<Merkmaldatei>] com.ibm.gsk.ikeyman.ikeycmd <Objekt> <Aktion> [Optionen]
Die Parameter sind im folgenden beschrieben:
-Dikeycmd.properties |
|
Objekt steht für eine der folgenden Angaben:
-keydb |
|
-cert |
|
-certreq |
|
-help |
|
-version |
|
Aktion steht für die spezifische Aktion, die für das Objekt ausgeführt werden soll. Optionen steht für die Optionen (erforderlich und optional), die für das Paar aus Objekt und Aktion angegeben wurden.
Anmerkung: Die Schlüsselwörter Objekt und Aktion sind positional und müssen in der ausgewählten Reihenfolge angegeben werden. Die Optionen sind jedoch nicht positional und können in beliebiger Reihenfolge angegeben werden, vorausgesetzt, sie werden als Paar aus Option und Operand angegeben.
Die folgende Tabelle beschreibt jede Aktion, die für ein bestimmtes
Objekt ausgeführt werden können.
Objekt | Aktionen | Beschreibung |
---|---|---|
-keydb | -changepw | Ändert das Kennwort für eine Schlüsseldatenbank.
|
-convert | Konvertiert die Schlüsseldatenbank von einem Format in ein anderes.
| |
-create | Erstellt eine Schlüsseldatenbank.
| |
-delete | Löscht die Schlüsseldatenbank.
| |
-stashpw | Speichert das Kennwort einer Schlüsseldatenbank in einer Datei.
| |
-cert | -add | Fügt einer Schlüsseldatenbank ein CA-Zertifikat aus einer Datei hinzu.
|
-create | Erstellt ein selbstunterzeichnetes Zertifikat.
| |
-delete | Löscht ein CA-Zertifikat.
| |
details | Listet detaillierte Informationen zu einem bestimmten Zertifikat auf.
| |
-export | Exportiert ein persönliches Zertifikat und den zugehörigen privaten Schlüssel aus einer
Schlüsseldatenbank in die Datei PKCS#12 oder in eine andere Schlüsseldatenbank.
| |
-extract | Extrahiert ein Zertifikat aus einer Schlüsseldatenbank.
| |
-getdefault | Ruft das persönliche Standardzertifikat ab.
| |
-import | Importiert ein Zertifikat aus einer Schlüsseldatenbank oder einer Datei PKCS#12.
| |
-list | Listet alle Zertifikate auf.
| |
-modify | Ändert ein Zertifikat. (Anmerkung: Momentan kann nur das Feld
"Certificate Trust" geändert werden.)
| |
-receive | Empfängt ein Zertifikat aus einer Datei in eine Schlüsseldatenbank.
| |
-setdefault | Definiert das persönliche Standardzertifikat.
| |
-sign | Unterzeichnet ein Zertifikat, das in einer Zertifikatdatei
in einer Schlüsseldatenbank gespeichert ist, und speichert das unterzeichnete Zertifikat dann in einer Datei.
| |
-certreq | -create | Erstellt eine Zertifikatanforderung.
|
-delete | Löscht eine Zertifikatanforderung aus einer Datenbank mit Zertifikatanforderungen.
| |
-details | Listet die detaillierten Informationen zu einer bestimmten Zertifikatanforderung auf.
| |
extract | Extrahiert eine Zertifikatanforderung aus einer Datenbank für Zertifikatanforderungen in eine Datei.
| |
-list | Listet alle Zertifikatanforderungen in der Datenbank für Zertifikatanforderungen auf.
| |
-recreate | Erstellt eine Zertifikatanforderung erneut.
| |
-help | Zeigt Hilfeinformationen zum IKEYCMD-Befehl an.
| |
-version | Zeigt Versionsinformationen zu IKEYCMD an.
|
Die folgende Tabelle zeigt jede Option, die in der Befehlszeile angegeben werden kann. Die Optionen sind als vollständige Gruppe aufgeführt. Ihre Verwendung ist jedoch abhängig von dem in der Befehlszeile angegebenen Objekt und der Aktion.
Option | Beschreibung |
---|---|
-db | Vollständig qualifizierter Pfadname einer Schlüsseldatenbank.
|
-default_cert | Definiert ein Zertifikat als für die Client-Authentifizierung zu verwendendes
Standardzertifikat (yes oder no).
Die Standardeinstellung ist "no".
|
-dn | Registrierter X.500-Name. Der Name wird als Zeichenfolge in Anführungszeichen in folgendem Format eingegeben
(nur CN, O und C müssen angegeben werden):
"CN=Jane Doe,O=IBM,OU=Java Development,L=Endicott, ST=NY,ZIP=13760,C=country" |
-encryption | Grad der für Exportbefehl von Zertifikaten zu verwendende Verschlüsselung (strong (stark)
oder weak (schwach)).
Die Standardeinstellung ist "strong".
|
-expire | Verfallszeit eines Zertifikats oder eines Datenbankkennworts
(in Tagen). Die Standardeinstellungen sind 365 Tage für Zertifikate und 60 Tage für Datenbankkennwörter.
|
-file | Dateiname eines Zertifikats oder einer Zertifikatanforderung
(je nach angegebenem Objekt).
|
-format | Format eines Zertifikats (ascii
für Base64-codierte ASCII- oder binary für binäre DER-Daten). Die Standardeinstellung ist ascii.
|
-label | Kennsatz, der einem Zertifikat oder einer Zertifikatanforderung zugeordnet ist.
|
-new_format | Neues Format für Schlüsseldatenbank.
|
-new_pw | Neues Datenbankkennwort.
|
-old_format | Altes Format der Schlüsseldatenbank.
|
-pw | Kennwort für die Schlüsseldatenbank oder Datei PKCS#12.
Weitere Informationen hierzu finden Sie im Abschnitt Neue Schlüsseldatenbank erstellen.
|
-size | Schlüsselgröße (512 oder 1024). Die Standardeinstellung ist 1024.
|
-stash | Anzeiger, um Kennwort für Schlüsseldatenbank verdeckt in einer Datei zu speichern.
Falls dieser Anzeiger angegeben ist, wird das Kennwort verdeckt in einer Datei gespeichert.
|
-target | Zieldatei oder Datenbank.
|
-target_pw | Kennwort für die Schlüsseldatenbank, wenn -target eine Schlüsseldatenbank
angibt. Weitere Informationen finden Sie im Abschnitt Neue Schlüsseldatenbank erstellen.
|
-target_type | Art der mit dem Operanden -target angegebenen Datenbank
(siehe -type).
|
-trust | Vertrauensstatus des CA-Zertifikats (enable oder disable).
Die Standardeinstellung ist "enable".
|
-type | Art der Datenbank. Zulässige Werte sind cms (für eine
CMS-Schlüsseldatenbank), webdb (für einen Schlüsselring), sslight (für eine SSLight-Klasse) und
pkcs12 (für eine Datei PKCS#12).
|
-x509version | Version des zu erstellenden X.509-Zertifikats (1, 2 oder 3).
Die Standardeinstellung ist "3".
|
In der folgenden Liste sind die Befehlszeilenaufrufe mit in Kursivschrift angegebenen optionalen Parametern aufgelistet.
Anmerkung: Der Einfachheit halber wurde der Java-Aufruf java com.ibm.gsk.ikeyman,iKeycmd in den Befehlsaufrufen weggelassen.
-keydb -changepw -db <Dateiname> -pw <Kennwort> -new_pw <neues_Kennwort> -stash -expire <Tage> -keydb -convert -db <Dateiname> -pw <Kennwort> -old_format <cms | webdb> -new_format <cms> -keydb -create -db <Dateiname> -pw <Kennwort> -type <cms | sslight> -expire <days> -stash -keydb -delete -db <Dateiname> -pw <Kennwort> -keydb -stashpw -db <Dateiname> -pw <Kennwort>
-cert -add -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -file <Dateiname> -format <ascii | binary> -trust <enable | disable> -cert -create -db <Dateiname> -pw <Kennwort> -label <Kennwort> -dn <registrierter_Name> -size <1024 | 512> -x509version <3 | 1 | 2> -default_cert <no | yes> -cert -delete -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -cert -details -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -cert -export -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -type <cms | sslight> -target <Dateiname> -target_pw <Kennwort> -target_type <cms | sslight | pkcs12> -encryption <strong | weak> -cert -extract -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -target <Dateiname> -format <ascii | binary> -cert -getdefault -db <Dateiname> -pw <Kennwort> -cert -import -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -type <cms | sslight> -target <Dateiname> -target_pw <Kennwort> -target_type <cms | sslight> -cert -import -file <Dateiname> -type <pkcs12> -target <Dateiname> -target_pw <Kennwort> -target_type <cms | sslight> -cert -list <all | personal | CA | site> -db <Dateiname> -pw <Kennwort> -type <cms | sslight> -cert -modify -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -trust <enable | disable> -cert -receive -file <Dateiname> -db <Dateiname> -pw <Kennwort> -format <ascii | binary> -default _cert <no | yes> -cert -setdefault -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -cert -sign -file <Dateiname> -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -target <Dateiname> -format <ascii | binary> -expire <days>
-certreq -create -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -dn <registrierter_Name> -size <1024 | 512> -file <Dateiname> -certreq -delete -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -certreq -details -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -certreq -extract -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -target <Dateiname> -certreq -list -db <Dateiname> -pw <Kennwort> -certreq -recreate -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -target <Dateiname>
-help
-version
Um sich einige Eingaben bei den Aufrufen in der Java-Befehlszeilenschnittstelle zu sparen, können Benutzermerkmale in einer Merkmaldatei festgelegt werden. Die Merkmaldatei kann im Java-Befehlszeilenaufruf mit der Option -Dikeycmd.properties angegeben werden. Die Beispielmerkmaldatei ikeycmd.properties dient als Beispiel dafür, wie Java-Anwendungen ermöglicht werden kann, die Standardeinstellungen für die Anwendung zu ändern.