Hilfe zum IBM HTTP Server: Dienstprogramm IBM Key-Management (IKEYMAN) verwenden

Dienstprogramm IBM Key-Management (IKEYMAN) verwenden

Einführung

Sie verfügen erst dann über eine geschützte Netzwerkverbindung, wenn Sie einen Schlüssel für geschützte Netzkommunikation erstellt und ein Zertifikat von einer auf dem Server als Trusted-CA definierten CA empfangen haben. Verwenden Sie IKEYMAN, um Schlüsseldatenbanken, Paare aus allgemeinen und öffentlichen Schlüsseln und Zertifikatsanforderungen zu erstellen. Wenn Sie selbst als CA auftreten, können Sie mit IKEYMAN selbstunterzeichnete Zertifikate erstellen. Treten Sie in einem privaten Web-Netz als CA auf, können Sie mit dem CA-Dienstprogramm des Servers unterzeichnete Zertifikate generieren und an Clients und Server in diesem Netz ausgeben.

IKEYMAN kann für Konfigurations-Tasks verwendet werden, die sich auf die Erstellung und Verwaltung öffentlich-privater Schlüssel beziehen. Für die Konfigurationsoptionen, mit denen die Konfigurationsdatei des Servers httpd.conf aktualisiert wird, kann IKEYMAN nicht verwendet werden. Dazu müssen Sie den IBM Verwaltungs-Server verwenden.

Benutzer von Linux für S/390: Verwenden Sie die Befehlszeilenschnittstelle IKEYCMD, um ähnliche Funktionen wie mit IKEYMAN auszuführen. Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden.

 

Beispiele für Sicherheitskonfiguration anzeigen

Dieser Anhang enthält detaillierte Informationen zu den Tasks, die Sie mit dem Dienstprogramm IBM Key-Management (IKEYMAN) ausführen können. Es wird jedoch nicht beschrieben, wie Sicherheitsoptionen konfiguriert werden, die Aktualisierungen an der Server-Konfigurationsdatei erfordern.

Systemumgebung konfigurieren

Die grafische Benutzerschnittstelle von IKEYMAN basiert auf Java und erfordert die Ausführung von JDK oder JRE. Die von IKEYMAN unterstützten Mindestversionen von JDK sind:

Unter Windows und Solaris finden Sie in den GSKit-Bibliotheken, die im Rahmen der SSL-Komponente installiert werden, eine JRE. Für diese Plattformen ist keine weitere Konfiguration der Umgebung erforderlich. Für die Ausführung unter AIX, HP und Linux oder für die Verwendung eines anderen JDK unter Solaris müssen Sie Ihre Systemumgebung gemäß den folgenden Richtlinien konfigurieren:

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Für die Ausführung von IKEYMAN unter Linux für S/390 müssen Sie die folgenden Umgebungsvariablen definieren, damit Sie die Befehlszeilenschnittstelle IKEYCMD verwenden können:

  1. Setzen Sie die Variable PATH auf das Verzeichnis, in dem Ihre ausführbaren Java- oder JRE-Dateien installiert sind:
    	  EXPORT PATH=/opt/IBMJava/bin:$PATH
    
  2. Setzen Sie die Umgebungsvariable CLASSPATH wie folgt:
    	  EXPORT CLASSPATH=/usr/local/ibm/gsk/classes/cfwk.zip:/usr/local/ibm/
    		gsk/classes/gsk4cls.jar:$CLASSPATH
    

Anschließend können Sie IKEYCMD von jedem Verzeichnis aus ausführen. Verwenden Sie zum Ausführen eines IKEYCMD-Befehls die folgende Syntax:

	  java com.ibm.gsk.ikeyman.ikeycmd <Befehl>
Anmerkung: In Abhängigkeit davon, ob Sie JRE oder JDK verwenden, können Sie Java durch JRE ersetzen. Beispiel:
jre com.ibm.gsk.ikeyman.ikeycmd <Befehl>

Sie müssen mit jedem IKEYCMD-Befehl (außer mit dem Befehl zum Erstellen einer Datenbank) die Schlüsseldatenbank und ein Kennwort für die Schlüsseldatenbank angeben. Diese Aktion ist erforderlich, weil mit jedem Befehl die Datenbank geöffnet wird. Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden.

Grafische Benutzerschnittstelle IKEYMAN verwenden

Der folgende Abschnitt enthält eine Einführung in IKEYMAN und beschreibt die Verwendung von IKEYMAN und der Befehlszeilenschnittstelle IKEYCMD.

IKEYMAN starten

Gehen Sie zum Starten der grafischen Benutzerschnittstelle IKEYMAN wie folgt vor:

Anmerkung: Wenn Sie IKEYMAN starten, um eine neue Schlüsseldatenbankdatei zu erstellen, wird die Datei in dem Verzeichnis gespeichert, in dem Sie IKEYMAN starten.

IKEYMAN oder Befehlszeilenschnittstelle IKEYCMD verwenden

Sie verfügen erst dann über eine geschützte Netzwerkverbindung, wenn Sie einen Schlüssel für geschützte Netzkommunikation erstellt und ein Zertifikat von einer auf dem Server als Trusted-CA definierten CA empfangen haben. Verwenden Sie IKEYMAN (bzw. IKEYCMD unter Linux für S/390), um die Schlüsseldatenbankdatei, das Paar aus allgemeinem und privatem Schlüssel und die Zertifikatanforderung zu erstellen. Wenn Sie das von der CA unterzeichnete Zertifikat erhalten haben, empfangen Sie es mit IKEYMAN (bzw. mit IKEYCMD unter Linux für S/390) in der Schlüsseldatenbank, in der Sie die Originalzertifikatanforderung erstellt haben.

Dieser Abschnitt enthält eine Kurzübersicht über die IKEYMAN- und IKEYCMD-Tasks sowie Beschreibungen der allgemeinen Tasks.

Task-Referenz für Benutzerschnittstelle

In der folgenden Tabelle sind die in der Benutzerschnittstelle IKEYMAN und Befehlszeilenschnittstelle ausführbaren Tasks zusammengefasst.

IKEYMAN- und IKEYCMD-Tasks Anweisungen hierzu finden Sie im Abschnitt:
Neue Schlüsseldatenbank erstellen und Datenbankkennwort angeben
"Neue Schlüsseldatenbank erstellen"

Neues Schlüsselpaar und Zertifikatanforderung erstellen
"Neues Schlüsselpaar und Zertifikatanforderung erstellen"

Selbstunterzeichnetes Zertifikat erstellen
"Selbstunterzeichnetes Zertifikat erstellen"

Schlüssel in eine andere Datenbank oder in eine PKCS12-Datei exportieren
"Schlüssel exportieren"

Schlüssel aus einer anderen Datenbank oder einer PKCS12-Datei importieren
"Schlüssel importieren"

CAs und Zertifikatanforderungen auflisten
"CAs auflisten"

Schlüsseldatenbank öffnen
"Schlüsseldatenbank öffnen"

Von CA unterzeichnetes Zertifikat in einer Schlüsseldatenbank empfangen
"Von CA unterzeichnetes Zertifikat empfangen"

Standardschlüssel in einer Schlüsseldatenbank anzeigen
"Standardschlüssel in einer Schlüsseldatenbank anzeigen"

Root-Zertifikat einer CA speichern
CA-Zertifikat speichern

Verschlüsseltes Datenbankkennwort in einer versteckten Datei speichern
"Verschlüsseltes Datenbankkennwort in einer versteckten Datei speichern"

Neue Schlüsseldatenbank erstellen

Eine Schlüsseldatenbank ist eine Datei, in der der Server ein oder mehrere Schlüsselpaare und Zertifikate speichert. Sie können eine Schlüsseldatenbank für alle Schlüsselpaare und Zertifikate verwenden oder mehrere Datenbanken erstellen.

Gehen Sie zum Erstellen einer neuen Schlüsseldatenbank wie folgt vor:

  1. Unter UNIX geben Sie in einer Befehlszeile ikeyman ein. Unter Windows NT starten Sie das Dienstprogramm IBM Key-Management (IKEYMAN) über den Ordner des IBM HTTP Server.
  2. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Neu aus.
  3. Geben Sie im Dialogfenster Neu den Namen Ihrer Schlüsseldatenbank ein oder klicken Sie auf key.kdb, wenn Sie den Standardwert verwenden. Klicken Sie auf "OK".
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr gültiges Kennwort ein. Danach geben Sie das Kennwort zur Bestätigung erneut ein. Klicken Sie auf "OK".

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Für jede Schlüsseldatenbankoperation ist ein Kennwort erforderlich. Eine Datenbank vom Typ sslight erfordert zwar ein angegebenes Kennwort, aber das Kennwort kann eine leere Zeichenfolge sein (Angabe mit ""). Zum Erstellen einer neuen Schlüsseldatenbank mit der Befehlszeilenschnittstelle IKEYCMD geben Sie den folgenden Befehl ein:

java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db <Dateiname>.kdb -pw <Kennwort>
 -type cms -expire <days> -stash

Die Parameter sind im folgenden beschrieben:
-type: IBM HTTP Server verarbeitet nur CMS-Schlüsseldatenbanken.
-expire: Tage bis zum Verfall des Kennworts.
-stash: Speichert das Kennwort für die Schlüsseldatenbank verdeckt. Das verdeckte Speichern des Kennworts ist für IBM HTTP Server erforderlich.

Wird die Option -stash während der Erstellung der Schlüsseldatenbank angegeben, wird das Kennwort verdeckt in einer Datei gespeichert, deren Name wie folgt aufgebaut ist:

	   <Dateiname der Schlüsseldatenbank>.sth
Hat die zu erstellende Datenbank beispielsweise den Namen keydb.kdb, ist der Name der verdeckt gespeicherten Datei keydb.sth.

Datenbankkennwort festlegen

Wenn Sie eine neue Schlüsseldatenbank erstellen, geben Sie ein Kennwort für die Schlüsseldatenbank an. Das Kennwort schützt den privaten Schlüssel. Der private Schlüssel ist der einzige Schlüssel, der Dokumente unterzeichnen oder mit dem allgemeinen Schlüssel verschlüsselte Nachrichten entschlüsseln kann. Es wird empfohlen, das Kennwort für die Schlüsseldatenbank häufig zu ändern.

Folgen Sie zur Angabe des Kennworts den folgenden Richtlinien:

Anmerkung: Beachten Sie die Verfallsdaten für das Kennwort. Wenn das Kennwort abläuft, wird eine Nachricht in das Fehlerprotokoll geschrieben. Der Server wird dann zwar gestartet, aber die Netzverbindung ist nicht geschützt.

Datenbankkennwort ändern

Gehen Sie zum Ändern des Datenbankkennworts wie folgt vor:

  1. Geben Sie in einer Befehlszeile ikeyman ein.
  2. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein oder klicken Sie auf key.kdb, wenn Sie den Standardwert verwenden. Klicken Sie auf "OK".
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr gültiges Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Kennwort ändern aus.
  6. Geben Sie im Dialogfenster Kennwort ändern ein neues Kennwort ein und geben Sie das Kennwort zur Bestätigung erneut ein. Klicken Sie auf "OK".

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Geben Sie zum Ändern des Datenbankkennworts folgenden Befehl ein:

java com.ibm.gsk.ikeyman.ikeycmd -keydb -changepw -db <Dateiname> .kdb -pw <Kennwort> -new_pw
<neues_Kennwort> -expire <Tage> -stash

Die Parameter sind im folgenden beschrieben:
-new_pw: Neues Kennwort für die Schlüsseldatenbank. Dies Kennwort muss anders als das alte Kennwort sein.
-expire: Tage bis zum Verfall des Kennworts.
-stash: Speichert das Kennwort für die Schlüsseldatenbank verdeckt. Das verdeckte Speichern des Kennworts ist für IBM HTTP Server erforderlich.

Schlüsseldatenbank auf dem Server registrieren

Die Anfangskonfigurationseinstellung für den Standardnamen der Datenbank ist key.kdb. Wenn Sie key.kdb als Standardnamen für die Datenbank verwenden, müssen die Datenbank nicht auf dem Server registrieren. Der Server verwendet die Anfangseinstellung der Anweisung "KeyFile" in der Konfigurationsdatei. Wenn Sie key.kdb nicht als Standardnamen für die Schlüsseldatenbank verwenden oder zusätzliche Schlüsseldatenbanken erstellen, müssen Sie diese Datenbanken registrieren.

Neues Schlüsselpaar und Zertifikatanforderung erstellen

Schlüsselpaare und Zertifikatanforderungen werden in einer Schüsseldatenbank gespeichert. Gehen Sie zum Erstellen eines Paars aus allgemeinem und privatem Schlüssel und einer Zertifikatanforderung wie folgt vor:

  1. Wenn Sie die Schlüsseldatenbank noch nicht erstellt haben, finden Sie Anweisungen dazu im Abschnitt Neue Schlüsseldatenbank erstellen.
  2. Unter UNIX geben Sie in einer Befehlszeile ikeyman ein. Unter Windows NT starten Sie das Dienstprogramm IBM Key-Management (IKEYMAN) über den Ordner des IBM HTTP Server.
  3. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Öffnen aus.
  4. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein oder klicken Sie auf key.kdb, wenn Sie den Standardwert verwenden. Klicken Sie auf "OK".
  5. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr gültiges Kennwort ein und klicken Sie auf OK.
  6. Wählen Sie im Hauptmenü die Option Erstellen und dann Neue Prüfdokumentanforderung aus.
  7. Geben Sie im Dialogfenster Neuen Schlüssel und Prüfdokumentanforderung erstellen folgendes ein:
  8. Klicken Sie auf "OK".
  9. Klicken Sie im Dialogfenster Information auf OK. Sie werden daran erinnert, die Datei an eine Zertifizierungsstelle (CA) zu senden.

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Erstellen eines Paars aus allgemeinem und privatem Schlüssel und einer Zertifikatanforderung wie folgt vor:

  1. Geben Sie den folgenden Befehl ein:
    java com.ibm.gsk.ikeyman.ikeycmd -certreq -create -db <DB-Name>.kdb -pw
    <Kennwort> -size <1024 | 512> -dn<registrierter_Name>
    <Dateiname> -label <Kennsatz>
    
    Die Parameter sind im folgenden beschrieben:
    -size: Schlüsselgröße - 512 oder 1024
    -label: Kennsatz, der dem Zertifikat oder der Zertifikatanforderung zugeordnet ist
    -dn: Registrierter X.500-Name. Der Name wird als Zeichenfolge in Anführungszeichen in folgendem Format eingegeben (nur CN, O und C müssen angegeben werden): CN=common_name, O=organization, OU=organization_unit, L=location, ST=state/province, C=country.
    Beispiel:
    "CN=weblinux.raleigh.ibm.com,O=ibm,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"

    -file: Name der Datei, in der die Zertifikatanforderung gespeichert wird.
  2. Überprüfen Sie, ob das Zertifikat erfolgreich erstellt wurde.
    1. Zeigen Sie den Inhalt der erstellten Zertifikatanforderungsdatei an.
    2. Vergewissern Sie sich, dass die Schlüsseldatenbank die Zertifikatanforderung aufgezeichnet hat:
      java com.ibm.gsk.ikeyman.ikeycmd -certreq -list -db <Dateiname>
      -pw <Kennwort>
      
      Jetzt sollte der soeben erstellte Kennsatz aufgelistet sein.
  3. Senden Sie die neu erstellte Datei an eine Zertifizierungsinstanz.

Selbstunterzeichnetes Zertifikat erstellen

Normalerweise dauert es zwei bis drei Wochen, um ein Zertifikat von einer bekannten Trusted-CA zu erhalten. Während Sie auf die Ausstellung des Zertifikats warten, können Sie mit IKEYMAN ein selbstunterzeichnetes Zertifikat erstellen, um SSL-Sitzungen zwischen Clients und dem Server zu ermöglichen. Sie können so auch vorgehen, wenn Sie als eigene CA in einem privaten Web-Netzwerk auftreten.

Gehen Sie zum Erstellen eines selbstunterzeichneten Zertifikats wie folgt vor:

  1. Wenn Sie die Schlüsseldatenbank noch nicht erstellt haben, finden Sie Anweisungen dazu im Abschnitt Neue Schlüsseldatenbank erstellen.
  2. Unter UNIX geben Sie in einer Befehlszeile ikeyman ein. Unter Windows NT starten Sie das Dienstprogramm IBM Key-Management (IKEYMAN) über den Ordner des IBM HTTP Server.
  3. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Öffnen aus.
  4. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein oder klicken Sie auf key.kdb, wenn Sie den Standardwert verwenden. Klicken Sie auf "OK".
  5. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr gültiges Kennwort ein und klicken Sie auf OK.
  6. Wählen Sie im Rahmen "Schlüsseldatenbankinhalt" Persönliche Prüfdokumente aus und klicken Sie dann auf Neu, selbst unterzeichnet.
  7. Geben Sie im Dialogfenster Neues selbst unterzeichnetes Prüfdokument erstellen folgendes ein:
  8. Klicken Sie auf OK.

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Erstellen eines selbstunterzeichneten Zertifikats wie folgt vor:
Geben Sie den folgenden Befehl ein:

java com.ibm.gsk.ikeyman.ikeycmd -cert -create -db <DB-Name>.kdb -pw <Kennwort>
-size <1024 | 512> -dn<registrierter Name> -label <Kennsatz> -default_cert
<yes oder no>
Die Parameter sind im folgenden beschrieben:
-size: Schlüsselgröße - 512 oder 1024
-label: Geben Sie einen beschreibenden Kommentar ein, der zur Identifikation des Schlüssels und des Zertifikats in der Datenbank verwendet wird.
-dn: Geben Sie einen registrierten X.500-Namen ein. Der Name wird als Zeichenfolge in Anführungszeichen in folgendem Format eingegeben (nur CN, O und C müssen angegeben werden): CN=common_name, O=organization, OU=organization_unit, L=location, ST=state, province, C=country.
Beispiel:
"CN=weblinux.raleigh.ibm.com,O=ibm,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"

-default_cert: Geben Sie "yes" ein, wenn dieses Zertifikat als Standardzertifikat in die Schlüsseldatenbank übernommen werden soll. Andernfalls geben Sie "no" ein.

Schlüssel exportieren

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden.

Schlüssel importieren

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden.

CAs auflisten

Gehen Sie zum Anzeigen einer Liste mit Trusted-CAs in einer Schlüsseldatenbank wie folgt vor:

  1. Unter UNIX geben Sie in einer Befehlszeile ikeyman ein. Unter Windows NT starten Sie das Dienstprogramm IBM Key-Management (IKEYMAN) über den Ordner des IBM HTTP Server.
  2. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein oder klicken Sie auf key.kdb, wenn Sie den Standardwert verwenden. Klicken Sie auf "OK".
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr gültiges Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Rahmen "Schlüsseldatenbankinhalt" Prüfdokumente des Unterzeichners aus.
  6. Klicken Sie auf "Prüfdokumente des Unterzeichners", "Persönliche Prüfdokumente" oder "Prüfdokumentanforderungen", um die Liste der CAs im Fenster Schlüsselinformationen für... anzuzeigen.

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Anzeigen einer Liste mit Trusted-CAs in einer Schlüsseldatenbank wie folgt vor:

java com.ibm.gsk.ikeyman.ikeycmd -cert -list CA -db <DB-Name>.kdb -pw <Kennwort>
-type cms

Schlüsseldatenbank öffnen

Gehen Sie zum Öffnen einer vorhandenen Schlüsseldatenbank wie folgt vor:

  1. Unter UNIX geben Sie in einer Befehlszeile ikeyman ein. Unter Windows NT starten Sie das Dienstprogramm IBM Key-Management (IKEYMAN) über den Ordner des IBM HTTP Server.
  2. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein oder klicken Sie auf key.kdb, wenn Sie den Standardwert verwenden. Klicken Sie auf "OK".
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr gültiges Kennwort ein und klicken Sie auf OK.
  5. Daraufhin wird der Name der Schlüsseldatenbank im Textfenster Dateiname angezeigt.

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Eine Schlüsseldatenbank wird nicht explizit geöffnet. Für jeden Befehl werden eine Datenbank und ein Kennwort angegeben. Diese Angaben enthalten die erforderlichen Informationen zum Ausführen von Operationen in einer Schlüsseldatenbank.

Von CA unterzeichnetes Zertifikat empfangen

Verwenden Sie diese Prozedur, um ein Zertifikat zu empfangen, das auf elektronischem Weg von einer CA, die als Trusted-CA auf Ihrem Server definiert ist, an Sie gesendet wurde. Standardmäßig sind die folgenden CA-Zertifikate in der Schlüsseldatenbank gespeichert und als Zertifikate von Trusted-CAs markiert:

Die Zertifizierungsstelle (CA) kann mehrere Zertifikate senden. Zusätzlich zu dem Zertifikat für Ihren Server kann die CA auch weitere Zertifikate zur Unterzeichnung (Signing) oder temporäre CA-Zertifikate (Intermediate) senden. Verisign fügt beispielsweise einem "Global Server ID"-Zertifikat ein temporäres CA-Zertifikat bei. Bevor Sie das Server-Zertifikat empfangen, müssen Sie zuerst alle zusätzlichen temporären CA-Zertifikate empfangen. Folgen Sie zum Empfangen temporärer CA-Zertifikate den Anweisungen im Abschnitt CA-Zertifikat speichern.

Anmerkung: Wenn die CA, die Ihr unterzeichnetes Zertifikat ausgestellt hat, nicht als Trusted-CA in der Schlüsseldatenbank definiert ist, müssen Sie das CA-Zertifikat zuerst speichern und die CA als Trusted-CA definieren. Anschließend empfangen Sie das von der CA unterzeichnete Zertifikat in der Datenbank. Sie können keine unterzeichneten Zertifikate von einer CA empfangen, die nicht als Trusted-CA definiert ist. Anweisungen hierzu finden Sie im Abschnitt CA-Zertifikat speichern.

Gehen Sie zum Empfangen des von der CA unterzeichneten Zertifikats in einer Schlüsseldatenbank wie folgt vor:

  1. Unter UNIX geben Sie in einer Befehlszeile ikeyman ein. Unter Windows NT starten Sie das Dienstprogramm IBM Key-Management (IKEYMAN) über den Ordner des IBM HTTP Server.
  2. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein oder klicken Sie auf key.kdb, wenn Sie den Standardwert verwenden. Klicken Sie auf "OK".
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe das gültige Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Rahmen "Schlüsseldatenbankinhalt" Persönliche Prüfdokumente aus und klicken Sie dann auf Empfangen.
  6. Geben Sie im Dialogfenster "Prüfdokument aus Datei empfangen" im Textfenster Dateiname des Prüfdokuments den Namen einer gültigen Base64-verschlüsselten Datei ein. Klicken Sie auf "OK".

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Empfangen des von der CA unterzeichneten Zertifikats in einer Schlüsseldatenbank wie folgt vor:

java com.ibm.gsk.ikeyman.ikeycmd -cert -receive -file <Dateiname> -db <DB-Name>
.kdb -pw <Kennwort> -format <ascii | binary> -default_cert <yes | no>

Die Parameter sind im folgenden beschrieben:
-format: Die Zertifizierungsinstanz kann ein CA-Zertifikat im ASCII- oder Binärformat bereitstellen.
-label: Kennsatz, der dem CA-Zertifikat zugeordnet ist.
-trust: Gibt an, ob die CA vertrauenswürdig ist. Verwenden Sie die Aktivierungsoptionen, um ein CA-Zertifikat zu empfangen.
-file: Datei mit dem CA-Zertifikat.

Standardschlüssel in einer Schlüsseldatenbank anzeigen

Gehen Sie zum Anzeigen des Standardschlüsseleintrags wie folgt vor:

  1. Unter UNIX geben Sie in einer Befehlszeile ikeyman ein. Unter Windows NT starten Sie das Dienstprogramm IBM Key-Management (IKEYMAN) über den Ordner des IBM HTTP Server.
  2. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein oder klicken Sie auf key.kdb, wenn Sie den Standardwert verwenden. Klicken Sie auf "OK".
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe das gültige Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Rahmen "Schlüsseldatenbankinhalt" Persönliche Prüfdokumente und dann den Kennsatznamen des CA-Zertifikats aus.
  6. Klicken Sie auf Anzeigen/Editieren und zeigen Sie die Standardschlüsseldaten des Zertifikats im Fenster Schlüsselinformationen an.

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Anzeigen des Standardschlüsseleintrags wie folgt vor:

java com.ibm.gsk.ikeyman.ikeycmd -cert -getdefault -db <DB-Name>.kdb -pw <Kennwort>

CA-Zertifikat speichern

Gehen Sie zum Speichern eines Zertifikats von einer nicht als Trusted-CA definierten CA wie folgt vor:

  1. Unter UNIX geben Sie in einer Befehlszeile ikeyman ein. Unter Windows NT starten Sie das Dienstprogramm IBM Key-Management (IKEYMAN) über den Ordner des IBM HTTP Server.
  2. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein oder klicken Sie auf key.kdb, wenn Sie den Standardwert verwenden. Klicken Sie auf "OK".
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr gültiges Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie im Rahmen "Schlüsseldatenbankinhalt" Prüfdokumente des Unterzeichners aus und klicken Sie dann auf Hinzufügen.
  6. Wählen Sie im Dialogfenster CA-Prüfdokument aus Datei hinzufügen den Namen der Zertifikatdatei mit den Base64-verschlüsselten ASCII-Daten aus oder verwenden Sie die Option "Blättern". Klicken Sie auf "OK".
  7. Geben Sie im Dialogfenster Kennsatz einen Kennsatznamen ein und klicken Sie auf OK.

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Speichern eines Zertifikats von einer nicht als Trusted-CA definierten CA wie folgt vor:

java com.ibm.gsk.ikeyman.ikeycmd -cert -add -db <Dateiname>.kdb -pw <Kennwort>
-label <label> -format <ascii | binary> -trust <enable |disable> -file
<Datei>
Die Parameter sind im folgenden beschrieben:
-label: Kennsatz, der dem Zertifikat oder der Zertifikatanforderung zugeordnet ist
-format: Zertifizierungsinstanzen können eine binäre ASCII-Datei bereitstellen.
-trust: Gibt an, ob die CA vertrauenswürdig ist. Sollte auf "Yes" eingestellt sein.

Verschlüsseltes Datenbankkennwort in einer versteckten Datei speichern

Sie müssen das verschlüsselte Datenbankkennwort in einer versteckten Datei speichern, um mit geschützten Netzverbindungen zu arbeiten.

Gehen Sie zum Speichern des Kennworts während der Erstellung einer Datenbank wie folgt vor:

  1. Unter UNIX geben Sie in einer Befehlszeile ikeyman ein. Unter Windows NT starten Sie das Dienstprogramm IBM Key-Management (IKEYMAN) über den Ordner des IBM HTTP Server.
  2. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Öffnen aus.
  3. Geben Sie im Dialogfenster Neu den Namen Ihrer Schlüsseldatenbank ein oder klicken Sie auf key.kdb, wenn Sie den Standardwert verwenden. Klicken Sie auf "OK".
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr gültiges Kennwort ein. Danach geben Sie das Kennwort zur Bestätigung erneut ein.
  5. Markieren Sie das Feld Kennwort in einer Datei verstecken? und klicken Sie auf OK.
  6. Wählen Sie Schlüsseldatenbankdatei und dann Kennwort in einer Datei verstecken aus.
  7. Klicken Sie im Dialogfenster Information auf OK.

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Speichern des Kennworts während der Erstellung einer Datenbank wie folgt vor:

java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db <Pfad_zur_DB>/<DN-Name>.kdb
-pw <Kennwort> -type cms -expire <days> -stash

Gehen Sie zum Speichern des Kennworts nach der Erstellung einer Datenbank wie folgt vor:

  1. Unter UNIX geben Sie in einer Befehlszeile ikeyman ein. Unter Windows NT starten Sie das Dienstprogramm IBM Key-Management (IKEYMAN) über den Ordner des IBM HTTP Server.
  2. Wählen Sie im Hauptmenü die Option Schlüsseldatenbankdatei und dann Öffnen aus.
  3. Geben Sie im Dialogfenster Öffnen den Namen Ihrer Schlüsseldatenbank ein oder klicken Sie auf key.kdb, wenn Sie den Standardwert verwenden. Klicken Sie auf "OK".
  4. Geben Sie im Dialogfenster Aufforderung zur Kennworteingabe Ihr gültiges Kennwort ein und klicken Sie auf OK.
  5. Wählen Sie Schlüsseldatenbankdatei und dann Kennwort in einer Datei verstecken aus.
  6. Klicken Sie im Dialogfenster Information auf OK.

Benutzer von Linux für S/390: Nähere Einzelheiten zu IKEYCMD finden Sie im Abschnitt Befehlszeilenschnittstelle IKEYCMD verwenden. Gehen Sie zum Speichern des Kennworts nach der Erstellung einer Datenbank wie folgt vor:

java com.ibm.gsk.ikeyman.ikeycmd -keydb -stashpw -db <DB-Name>.kdb -pw <Kennwort>

Unter Linux für S/390: Befehlszeilenschnittstelle IKEYCMD verwenden

Unter Linux für S/390 stellt IKEYCMD, die Java-Befehlszeilenschnittstelle von IKEYMAN, die erforderlichen Optionen für die Erstellung und Verwaltung von Schlüsseln, Zertifikaten und Zertifikatanforderungen bereit. Wenn Sie selbst als CA auftreten, können Sie mit IKEYCMD selbstunterzeichnete Zertifikate erstellen. Treten Sie in einem privaten Web-Netz als CA auf, können Sie mit dem CA-Dienstprogramm des Servers unterzeichnete Zertifikate generieren und an Clients und Server in diesem Netz ausgeben.

IKEYCMD kann für Konfigurations-Tasks verwendet werden, die sich auf die Erstellung und Verwaltung öffentlich-privater Schlüssel beziehen. Für die Konfigurationsoptionen, mit denen die Konfigurationsdatei des Servers httpd.conf aktualisiert wird, kann IKEYCMD nicht verwendet werden. Dazu müssen Sie den IBM Verwaltungs-Server verwenden.

IKEYCMD verwendet Java und native Befehlzeilenaufrufe für die Aktivierung der IKEYMAN-Übertragungsprotokollierung.

Befehlszeilensyntax von IKEYCMD

Die Syntax der Java-Befehlszeilenschnittstelle ist wie folgt:

 	java [-Dikeycmd.properties=<Merkmaldatei>] com.ibm.gsk.ikeyman.ikeycmd
		<Objekt> <Aktion> [Optionen]

Die Parameter sind im folgenden beschrieben:

-Dikeycmd.properties
Gibt den Namen einer optionalen Merkmaldatei an, die für diesen Java-Aufruf verwendet werden soll. Die Standardmerkmaldatei ikeycmd.properties wird als Beispieldatei bereitgestellt. Diese Datei kann geändert und von jeder Java-Anwendung verwendet werden.

Objekt steht für eine der folgenden Angaben:

-keydb
Aktionen, die für die Datenbank ausgeführt werden (entweder eine CMS-Schlüsseldatenbankdatei, eine WebDB-Schlüsselringdatei oder eine SSLight-Klasse)

-cert
Aktionen, die für ein Zertifikat ausgeführt werden.

-certreq
Aktionen, die für eine Zertifikatanforderung ausgeführt werden.

-help
Zeigt Hilfe zu den IKEYCMD-Aufrufen an.

-version
Zeigt Versionsinformationen zu IKEYCMD an.

Aktion steht für die spezifische Aktion, die für das Objekt ausgeführt werden soll. Optionen steht für die Optionen (erforderlich und optional), die für das Paar aus Objekt und Aktion angegeben wurden.

Anmerkung: Die Schlüsselwörter Objekt und Aktion sind positional und müssen in der ausgewählten Reihenfolge angegeben werden. Die Optionen sind jedoch nicht positional und können in beliebiger Reihenfolge angegeben werden, vorausgesetzt, sie werden als Paar aus Option und Operand angegeben.

Übersicht über die IKEYCMD-Befehlszeilenparameter

Die folgende Tabelle beschreibt jede Aktion, die für ein bestimmtes Objekt ausgeführt werden können.

Objekt Aktionen Beschreibung
-keydb -changepw Ändert das Kennwort für eine Schlüsseldatenbank.
-convert Konvertiert die Schlüsseldatenbank von einem Format in ein anderes.
-create Erstellt eine Schlüsseldatenbank.
-delete Löscht die Schlüsseldatenbank.
-stashpw Speichert das Kennwort einer Schlüsseldatenbank in einer Datei.
-cert -add Fügt einer Schlüsseldatenbank ein CA-Zertifikat aus einer Datei hinzu.
-create Erstellt ein selbstunterzeichnetes Zertifikat.
-delete Löscht ein CA-Zertifikat.
details Listet detaillierte Informationen zu einem bestimmten Zertifikat auf.
-export Exportiert ein persönliches Zertifikat und den zugehörigen privaten Schlüssel aus einer Schlüsseldatenbank in die Datei PKCS#12 oder in eine andere Schlüsseldatenbank.
-extract Extrahiert ein Zertifikat aus einer Schlüsseldatenbank.
-getdefault Ruft das persönliche Standardzertifikat ab.
-import Importiert ein Zertifikat aus einer Schlüsseldatenbank oder einer Datei PKCS#12.
-list Listet alle Zertifikate auf.
-modify Ändert ein Zertifikat. (Anmerkung: Momentan kann nur das Feld "Certificate Trust" geändert werden.)
-receive Empfängt ein Zertifikat aus einer Datei in eine Schlüsseldatenbank.
-setdefault Definiert das persönliche Standardzertifikat.
-sign Unterzeichnet ein Zertifikat, das in einer Zertifikatdatei in einer Schlüsseldatenbank gespeichert ist, und speichert das unterzeichnete Zertifikat dann in einer Datei.
-certreq -create Erstellt eine Zertifikatanforderung.
-delete Löscht eine Zertifikatanforderung aus einer Datenbank mit Zertifikatanforderungen.
-details Listet die detaillierten Informationen zu einer bestimmten Zertifikatanforderung auf.
extract Extrahiert eine Zertifikatanforderung aus einer Datenbank für Zertifikatanforderungen in eine Datei.
-list Listet alle Zertifikatanforderungen in der Datenbank für Zertifikatanforderungen auf.
-recreate Erstellt eine Zertifikatanforderung erneut.
-help Zeigt Hilfeinformationen zum IKEYCMD-Befehl an.
-version Zeigt Versionsinformationen zu IKEYCMD an.

Übersicht über die IKEYCMD-Befehlszeilenoptionen

Die folgende Tabelle zeigt jede Option, die in der Befehlszeile angegeben werden kann. Die Optionen sind als vollständige Gruppe aufgeführt. Ihre Verwendung ist jedoch abhängig von dem in der Befehlszeile angegebenen Objekt und der Aktion.


Option Beschreibung
-db Vollständig qualifizierter Pfadname einer Schlüsseldatenbank.
-default_cert Definiert ein Zertifikat als für die Client-Authentifizierung zu verwendendes Standardzertifikat (yes oder no). Die Standardeinstellung ist "no".
-dn Registrierter X.500-Name. Der Name wird als Zeichenfolge in Anführungszeichen in folgendem Format eingegeben (nur CN, O und C müssen angegeben werden):
"CN=Jane Doe,O=IBM,OU=Java Development,L=Endicott,
ST=NY,ZIP=13760,C=country"

-encryption Grad der für Exportbefehl von Zertifikaten zu verwendende Verschlüsselung (strong (stark) oder weak (schwach)). Die Standardeinstellung ist "strong".
-expire Verfallszeit eines Zertifikats oder eines Datenbankkennworts (in Tagen). Die Standardeinstellungen sind 365 Tage für Zertifikate und 60 Tage für Datenbankkennwörter.
-file Dateiname eines Zertifikats oder einer Zertifikatanforderung (je nach angegebenem Objekt).
-format Format eines Zertifikats (ascii für Base64-codierte ASCII- oder binary für binäre DER-Daten). Die Standardeinstellung ist ascii.
-label Kennsatz, der einem Zertifikat oder einer Zertifikatanforderung zugeordnet ist.
-new_format Neues Format für Schlüsseldatenbank.
-new_pw Neues Datenbankkennwort.
-old_format Altes Format der Schlüsseldatenbank.
-pw Kennwort für die Schlüsseldatenbank oder Datei PKCS#12. Weitere Informationen hierzu finden Sie im Abschnitt Neue Schlüsseldatenbank erstellen.
-size Schlüsselgröße (512 oder 1024). Die Standardeinstellung ist 1024.
-stash Anzeiger, um Kennwort für Schlüsseldatenbank verdeckt in einer Datei zu speichern. Falls dieser Anzeiger angegeben ist, wird das Kennwort verdeckt in einer Datei gespeichert.
-target Zieldatei oder Datenbank.
-target_pw Kennwort für die Schlüsseldatenbank, wenn -target eine Schlüsseldatenbank angibt. Weitere Informationen finden Sie im Abschnitt Neue Schlüsseldatenbank erstellen.
-target_type Art der mit dem Operanden -target angegebenen Datenbank (siehe -type).
-trust Vertrauensstatus des CA-Zertifikats (enable oder disable). Die Standardeinstellung ist "enable".
-type Art der Datenbank. Zulässige Werte sind cms (für eine CMS-Schlüsseldatenbank), webdb (für einen Schlüsselring), sslight (für eine SSLight-Klasse) und pkcs12 (für eine Datei PKCS#12).
-x509version Version des zu erstellenden X.509-Zertifikats (1, 2 oder 3). Die Standardeinstellung ist "3".

Befehlszeilenaufruf

In der folgenden Liste sind die Befehlszeilenaufrufe mit in Kursivschrift angegebenen optionalen Parametern aufgelistet.

Anmerkung: Der Einfachheit halber wurde der Java-Aufruf java com.ibm.gsk.ikeyman,iKeycmd in den Befehlsaufrufen weggelassen.

-keydb -changepw -db <Dateiname> -pw <Kennwort> -new_pw <neues_Kennwort> -stash
	-expire <Tage>
-keydb -convert -db <Dateiname> -pw <Kennwort> -old_format <cms | webdb>
	-new_format <cms> 
-keydb -create -db <Dateiname> -pw <Kennwort> -type <cms | sslight> -expire
	<days> -stash 
-keydb -delete -db <Dateiname> -pw <Kennwort>
-keydb -stashpw -db <Dateiname> -pw <Kennwort>

-cert -add -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -file <Dateiname> -format
	 <ascii | binary> -trust <enable | disable> 
-cert -create -db <Dateiname> -pw <Kennwort> -label <Kennwort> -dn <registrierter_Name>
	-size <1024 | 512> -x509version <3  | 1 | 2> -default_cert <no | yes>
-cert -delete -db <Dateiname> -pw <Kennwort> -label <Kennsatz>
-cert -details -db <Dateiname> -pw <Kennwort> -label <Kennsatz>
-cert -export -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -type <cms | sslight>
	-target <Dateiname> -target_pw <Kennwort> -target_type <cms | sslight | pkcs12>
	-encryption <strong | weak> 
-cert -extract -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -target <Dateiname>
	-format <ascii | binary> 
-cert -getdefault -db <Dateiname> -pw <Kennwort>
-cert -import -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -type <cms | sslight>
	-target <Dateiname> -target_pw <Kennwort> -target_type <cms | sslight>
-cert -import -file <Dateiname> -type <pkcs12> -target <Dateiname> -target_pw <Kennwort>
	-target_type <cms | sslight> 
-cert -list <all | personal | CA | site> -db <Dateiname> -pw <Kennwort> -type
	<cms | sslight>
-cert -modify -db <Dateiname> -pw <Kennwort> -label <Kennsatz>  -trust <enable | disable>
-cert -receive -file <Dateiname> -db <Dateiname> -pw <Kennwort> -format <ascii | binary>
	-default _cert <no | yes> 
-cert -setdefault -db <Dateiname> -pw <Kennwort> -label <Kennsatz>
-cert -sign -file <Dateiname> -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -target <Dateiname>
	-format <ascii | binary>  -expire <days> 

-certreq -create -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -dn <registrierter_Name>
	-size <1024 | 512> -file <Dateiname>
-certreq -delete -db <Dateiname> -pw <Kennwort> -label <Kennsatz>
-certreq -details -db <Dateiname> -pw <Kennwort> -label <Kennsatz>
-certreq -extract -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -target <Dateiname>
-certreq -list -db <Dateiname> -pw <Kennwort>
-certreq -recreate -db <Dateiname> -pw <Kennwort> -label <Kennsatz> -target <Dateiname>

-help

-version

Benutzermerkmaldatei

Um sich einige Eingaben bei den Aufrufen in der Java-Befehlszeilenschnittstelle zu sparen, können Benutzermerkmale in einer Merkmaldatei festgelegt werden. Die Merkmaldatei kann im Java-Befehlszeilenaufruf mit der Option -Dikeycmd.properties angegeben werden. Die Beispielmerkmaldatei ikeycmd.properties dient als Beispiel dafür, wie Java-Anwendungen ermöglicht werden kann, die Standardeinstellungen für die Anwendung zu ändern.