IBM HTTP Server Aide - Utilisation de l'utilitaire de gestion de clés (IKEYMAN)

Utilisation de l'utilitaire de gestion de clés (IKEYMAN)

Avant de commencer

Pour obtenir une connexion sécurisée, vous devez créer une clé de sécurisation des communications réseau et recevoir un certificat d'une autorité d'accréditation (CA) désignée comme autorité digne de confiance sur votre serveur. Utilisez IKEYMAN pour créer les bases de données de clés, les paires de clés publique-privée et les demandes de certificat. Si vous agissez en tant qu'autorité d'accréditation pour votre propre compte, vous pouvez utiliser IKEYMAN pour créer des certificats auto-signés. Dans le cas d'un réseau Web privé, vous pouvez recourir à l'utilitaire CA d'HTTP Server pour générer et délivrer les certificats signés aux différents clients et serveurs de ce réseau privé.

Utilisez IKEYMAN pour les tâches de configuration en rapport avec la création et la gestion de clés publique-privée. Vous ne pouvez pas l'utiliser pour définir des options qui ont pour effet de mettre à jour le fichier de configuration du serveur, httpd.conf. Pour ces options, vous devez recourir à IBM Administration Server.

Linux pour les utilisateurs S/390 : Utilisez l'interface de ligne de commande IKEYCMD pour effectuer des fonctions similaires à IKEYMAN. Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD.

 

Etude des exemples de configuration de sécurité

La présente annexe fournit des informations détaillées sur les tâches que vous pouvez accomplir à l'aide de l'utilitaire IBM Key Management (IKEYMAN). Elle n'explique pas comment configurer les options de sécurité qui requiert des mises à jour du fichier de configuration du serveur.

Configuration de l'environnement système

L'interface utilisateur graphique IKEYMAN est une interface Java qui nécessite l'exécution de JDK ou de JRE. Les niveaux de JDK minimaux pour la prise en charge d'IKEYMAN sont :

Sous Windows et Solaris, les bibliothèques GSKit installées en tant qu'élément du composant SSL incluent un JRE. Aucun autre paramètre d'environnement n'est requis sur ces plateformes. Sous AIX, HP ou Linux, ou si vous voulez utiliser un autre JDK sous Solaris, définissez votre environnement système conformément aux indications ci-dessous.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour exécuter IKEYMAN sous Linux pour S/390, définissez les variables d'environnement afin d'utiliser l'interface de ligne de commande IKEYCMD de la façon décrite ci-dessous.

  1. Définissez la variable PATH en fonction de l'emplacement de l'exécutable Java ou JRE :
    	  EXPORT PATH=/opt/IBMJava/bin:$PATH
    
  2. Définissez la variable d'environnement CLASSPATH :
    	  EXPORT CLASSPATH=/usr/local/ibm/gsk/classes/cfwk.zip:/usr/local/ibm/
    		gsk/classes/gsk4cls.jar:$CLASSPATH
    

Une fois ces opérations terminées, IKEYCMD peut s'exécuter à partir de n'importe quel répertoire. Pour exécuter une commande IKEYCMD, utilisez la syntaxe suivante :

	  java com.ibm.gsk.ikeyman.ikeycmd <command>
Remarque : Vous pouvez remplacer l'exécutable JRE par l'exécutable Java, selon que vous utilisez un JRE ou un JDK. Exemple:
jre com.ibm.gsk.ikeyman.ikeycmd <command>

Pour chaque commande IKEYCMD (sauf la commande de création de base de données), la base de données de clés et son mot de passe doivent être indiqués. Cette opération est obligatoire car la base de données est ouverte avec chaque commande. Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD, pour des informations plus détaillées sur IKEYCMD.

Utilisation de l'interface graphique d'IKEYMAN

La section suivante décrit comment utiliser l'interface IKEYMAN ou l'interface de ligne de commande IKEYCMD.

Démarrage d'IKEYMAN

Pour démarrer l'interface utilisateur graphique IKEYMAN, procédez aux opérations ci-dessous.

Remarque : Si vous démarrez IKEYMAN pour créer un nouveau fichier de base de données de clés, le fichier sera stocké dans le répertoire de démarrage d'IKEYMAN.

Utilisation de IKEYMAN ou de l'interface de ligne de commande IKEYCMD

Pour obtenir une connexion sécurisée, vous devez créer une clé de sécurisation des communications réseau et recevoir un certificat d'une autorité d'accréditation (CA) désignée comme autorité digne de confiance sur votre serveur. Utilisez IKEYMAN (ou IKEYCMD sous Linux pour S/390) pour créer la base de données de clés, la bi-clé publique-privée et la demande de certificat. Après avoir reçu le certificat signé par l'autorité d'accréditation (CA), utilisez IKEYMAN (ou IKEYCMD sous Linux pour S/390) pour le recevoir dans la base de données de clés où vous avez créé la demande de certificat d'origine.

Cette section dresse la liste des tâches IKEYMAN et IKEYCMD et décrit les plus courantes d'entre elles.

Références pour les tâches de l'interface utilisateur

Les tâches de l'interface utilisateur IKEYMAN et l'interface de ligne de commande IKEYCMD sont énumérées dans le tableau ci-dessous.

Tâche IKEYMAN et IKEYCMD Pour obtenir des instructions, reportez-vous à :
Création d'une base de données de clés et définition de son mot de passe
"Création d'une base de données de clés"

Création d'une bi-clé et d'une demande de certificat
"Création d'une bi-clé et d'une demande de certificat"

Création d'un certificat auto-signé
"Création d'un certificat auto-signé"

Exportation d'une clé vers une autre base de données ou vers un fichier PKCS12
"Exportation de clés"

Importation d'une clé d'une autre base de données ou d'un fichier PKCS12
"Importation de clés"

Liste des autorités d'accréditation et des demandes de certificat
"Liste des autorités d'accréditation"

Ouverture d'une base de données de clés
"Ouverture d'une base de données de clés"

Réception d'un certificat signé par une autorité d'accréditation dans une base de données de clés
"Réception d'un certificat signé par une autorité d'accréditation"

Affichage de la clé par défaut dans une base de données de clés
"Affichage de la clé par défaut dans une base de données de clés"

Stockage du certificat racine d'une autorité d'accréditation
"Stockage d'un certificat d'autorité d'accréditation"

Stockage du mot de passe chiffré de la base de données dans un fichier de dissimulation (stash)
"Stockage du mot de passe chiffré de la base de données dans un fichier de dissimulation (stash)"

Création d'une nouvelle base de données de clés

Une base de données de clés est un fichier que le serveur utilise pour stocker un ou plusieurs certificats et une ou plusieurs paires de clés (bi-clés). Vous pouvez utiliser une seule base de données de clés pour tous vos certificats et bi-clés ou créer plusieurs bases de données.

Pour créer une base de données de clés :

  1. Entrez ikeyman sur une ligne de commande UNIX ou lancez l'utilitaire IBM Key Management à partir du dossier IBM HTTP Server sous Windows NT.
  2. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Nouveau.
  3. Dans la boîte de dialogue Nouveau, entrez le nom de la base de données de clés ou cliquez sur key.kdb si vous utilisez la valeur par défaut. Cliquez sur OK.
  4. Dans la boîte de dialogue Invite du mot de passe, entrez votre mot de passe (à deux reprises pour le confirmer). Cliquez sur OK.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Un mot de passe doit être indiqué obligatoirement pour effectuer une opération sur une base de données de clés. Bien qu'un mot de passe soit nécessaire pour accéder à une base de données de type sslight, il peut correspondre à une chaîne NULL (""). Pour créer une base de données de clés à l'aide de l'interface de ligne de commande IKEYCMD, entrez la commande suivante :

java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db <nom_fichier>.kdb
-pw <mot_passe>
 -type cms -expire <nb_jours> -stash

où :
-type : IBM HTTP Server ne gère qu'une base de données de clés cms.
-expire : Nombre de jours qui doivent s'écouler avant l'expiration du mot de passe.
-stash : Stocke le mot de passe pour la base de données de clés. IBM HTTP Server requiert le stockage du mot de passe sur le système.

Lorsque l'option -stash est indiquée lors de la création de la base de données, le mot de passe est stocké dans un fichier dont le nom est formé de la façon suivante :

	   <nom de fichier de la base de données de clés>.sth
Par exemple, si la base de données créée est appelée keydb.kdb, le nom du fichier de dissimulation est keydb.sth.

Définition du mot de passe de la base de données

Lorsque vous créez une base de données de clés, vous devez indiquer son mot de passe d'accès. Ce mot de passe protège la clé privée. La clé privée est la seule clé pouvant signer des documents ou déchiffrer des messages chiffrés avec la clé publique. Il est judicieux de changer le mot de passe de la base de données de clés fréquemment.

Choisissez votre mot de passe conformément aux indications ci-dessous.

Remarque : Faites le suivi des dates d'expiration du mot de passe. Quand le mot de passe expire, un message s'inscrit dans le journal des erreurs. Le serveur démarrera mais il n'y aura pas de connexion réseau sécurisée.

Changement du mot de passe de la base de données

Pour changer le mot de passe de la base de données, procédez aux opérations ci-dessous.

  1. Entrez ikeyman sur une ligne de commande.
  2. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Nouveau.
  3. Dans la boîte de dialogue Ouverture, entrez le nom de la base de données de clés ou cliquez sur key.kdb si vous utilisez la valeur par défaut. Cliquez sur OK.
  4. Dans la boîte de dialogue Invite du mot de passe, entrez le mot de passe correct et cliquez sur OK.
  5. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Modification du mot de passe.
  6. Dans la boîte de dialogue Modification du mot de passe, entrez un nouveau mot de passe (à deux reprises pour le confirmer). Cliquez sur OK.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour changer le mot de passe de la base de données, entrez :

java com.ibm.gsk.ikeyman.ikeycmd -keydb -changepw -db <nom_fichier> .kdb
-pw <mot_passe> -new_pw
<nouveau_mot_passe> -expire <nb_jours> -stash

où :
-new_pw : Nouveau mot de passe de la base de données de clés ; il doit être différent de l'ancien mot de passe
-expire : Nombre de jours qui doivent s'écouler avant l'expiration du mot de passe.
-stash : Stocke le mot de passe pour la base de données de clés. IBM HTTP Server requiert le stockage du mot de passe sur le système.

Enregistrement d'une base de données de clés dans le serveur

La valeur de configuration initiale, pour le nom de la base de données de clés, est key.kdb. Si vous utilisez key.kdb comme nom de base de données de clés par défaut, il n'est pas nécessaire d'enregistrer la base de données auprès du serveur. key.kdb est en effet la valeur initialement attribuée à la directive KeyFile, dans le fichier de configuration du serveur. En revanche, si vous n'utilisez pas key.kdb ou si vous avez créé plusieurs bases de données de clés, vous devez les enregistrer auprès du serveur.

Création d'une bi-clé et d'une demande de certificat

Les bi-clés et les demandes de certificat sont stockées dans une base de données de clés. Pour créer une bi-clé publique-privée et une demande de certificat :

  1. Si vous n'avez pas encore créé la base de données de clés, reportez-vous à la rubrique Création d'une base de données de clés pour savoir comment procéder.
  2. Entrez ikeyman sur une ligne de commande UNIX ou lancez l'utilitaire IBM Key Management à partir du dossier IBM HTTP Server sous Windows NT.
  3. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Nouveau.
  4. Dans la boîte de dialogue Ouverture, entrez le nom de la base de données de clés ou cliquez sur key.kdb si vous utilisez la valeur par défaut. Cliquez sur OK.
  5. Dans la boîte de dialogue Invite du mot de passe, entrez le mot de passe correct et cliquez sur OK.
  6. A partir de l'interface principale, sélectionnez Création, puis Nouvelle demande de certificat.
  7. Dans la boîte de dialogue Création d'une clé et d'une demande de certificat, remplissez les zones suivantes :
  8. Cliquez sur OK.
  9. Dans la boîte de dialogue Informations, cliquez sur OK. Un message vous rappelle alors que vous devez envoyer le fichier à une autorité d'accréditation.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour créer une bi-clé publique-privée et une demande de certificat :

  1. Entrez la commande suivante :
    java com.ibm.gsk.ikeyman.ikeycmd -certreq -create -db <nom_bd>.kdb -pw
    <mot_passe> -size <1024 | 512> -dn<nom_distinctif>
    -file <nom_fichier> -label <label>
    
    où :
    -size : taille de clé de 512 ou 1024
    -label : Label associé au certificat ou à la demande de certificat
    -dn : Nom distinctif X.500. Il s'agit d'une entrée ayant la forme d'une chaîne de caractères dont le format est (seuls CN, O et C sont requis) CN=nom_commun, O=organisation, OU=unité_organisation, L=location, ST=département, C=pays.
    Exemple:
    "CN=weblinux.raleigh.ibm.com,O=ibm,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"

    -file : Nom du fichier dans lequel sera stockée la demande de certificat.
  2. Assurez-vous que la création du certificat a abouti.
    1. Affichez le contenu du fichier de demande de certificat que vous avez créé.
    2. Vérifiez que la base de données de clés a enregistré la demande de certificat :
      java com.ibm.gsk.ikeyman.ikeycmd -certreq -list -db <nom_fichier>
      -pw <mot_passe>
      
      Le label que vous venez de créer devrait apparaître dans la liste.
  3. Envoyez le fichier que vous venez de créer à une autorité d'accréditation.

Création d'un certificat autosigné

Deux à trois semaines sont généralement nécessaires pour obtenir un certificat d'une autorité d'accréditation réputée. En attendant de le recevoir, vous pouvez créer un certificat de serveur auto-signé à l'aide d'IKEYMAN afin de permettre l'établissement de sessions SSL entre les clients et le serveur. Utilisez cette solution si vous agissez en tant qu'autorité d'accréditation pour votre propre compte, c'est-à-dire pour un réseau Web privé dont vous êtes responsable.

Pour créer un certificat auto-signé :

  1. Si vous n'avez pas encore créé la base de données de clés, reportez-vous à la rubrique Création d'une base de données de clés pour savoir comment procéder.
  2. Entrez ikeyman sur une ligne de commande UNIX ou lancez l'utilitaire IBM Key Management à partir du dossier IBM HTTP Server sous Windows NT.
  3. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Nouveau.
  4. Dans la boîte de dialogue Ouverture, entrez le nom de la base de données de clés ou cliquez sur key.kdb si vous utilisez la valeur par défaut. Cliquez sur OK.
  5. Dans la boîte de dialogue Invite du mot de passe, entrez le mot de passe correct et cliquez sur OK.
  6. Sélectionnez Certificats personnels dans le cadre Contenu de la base de données de clés, cliquez sur le bouton Nouveau certificat auto-signé.
  7. Dans la boîte de dialogue Création d'un certificat auto-signé, remplissez les zones suivantes :
  8. Cliquez sur OK.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour créer un certificat auto-signé :
Entrez la commande suivante :

java com.ibm.gsk.ikeyman.ikeycmd -cert -create -db <nom_bd>.kdb -pw
<mot_passe>
-size <1024 | 512> -dn <nom_distinctif> -label
<label> -default_cert
<yes ou no>
où :
-size : taille de clé de 512 ou 1024
-label : Entrez une description permettant d'identifier la clé et le certificat dans la base de données.
-dn : Nom distinctif X.500. Il s'agit d'une entrée ayant la forme d'une chaîne de caractères dont le format est (seuls CN, O et C sont requis) : CN=nom_commun, O=organisation, OU=unité_organisation, L=location, ST=département, C=pays.
Exemple:
"CN=weblinux.raleigh.ibm.com,O=ibm,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"

-default_cert: Entrez "yes" pour choisir ce certificat comme certificat par défaut de la base de données de clés. Autrement, entrez "no".

Exportation de clés

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD.

Importation de clés

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD.

Listage des autorités d'accréditation

Pour afficher la liste des autorités d'accréditation (CA) dignes de confiance définies dans une base de données de clés :

  1. Entrez ikeyman sur une ligne de commande UNIX ou lancez l'utilitaire IBM Key Management à partir du dossier IBM HTTP Server sous Windows NT.
  2. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Nouveau.
  3. Dans la boîte de dialogue Ouverture, entrez le nom de la base de données de clés ou cliquez sur key.kdb si vous utilisez la valeur par défaut. Cliquez sur OK.
  4. Dans la boîte de dialogue Invite du mot de passe, entrez le mot de passe correct et cliquez sur OK.
  5. Sélectionnez Certificats signataires dans le cadre Contenu de la base de données de clés.
  6. Cliquez sur Certificats signataires, Certificats personnels ou Demandes de certificats personnels pour afficher la liste des autorités d'accréditation dans la fenêtre Informations sur la base de données de clés.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour afficher la liste des autorités d'accréditation (CA) dignes de confiance définies dans une base de données de clés :

java com.ibm.gsk.ikeyman.ikeycmd -cert -list CA -db <nom_bd>.kdb -pw
<mot_passe>
-type cms

Ouverture d'une base de données de clés

Pour ouvrir une base de données de clés existante :

  1. Entrez ikeyman sur une ligne de commande UNIX ou lancez l'utilitaire IBM Key Management à partir du dossier IBM HTTP Server sous Windows NT.
  2. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Nouveau.
  3. Dans la boîte de dialogue Ouverture, entrez le nom de la base de données de clés ou cliquez sur key.kdb si vous utilisez la valeur par défaut. Cliquez sur OK.
  4. Dans la boîte de dialogue Invite du mot de passe, entrez le mot de passe correct et cliquez sur OK.
  5. Le nom de la base de données de clés apparaît dans la zone de texte Nom du fichier.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Il n'existe pas d'ouverture explicite d'une base de données de clés. Pour chaque commande, les options de base de données et de mot de passe sont indiquées et ces informations fournissent les informations nécessaires aux opérations dans une base de données de clés.

Réception d'un certificat signé par un autorité d'accréditation

Cette procédure permet de recevoir un certificat envoyé par courrier électronique par une autorité d'accréditation (CA), désignée comme autorité digne de confiance sur votre serveur. Par défaut, les certificats d'autorité d'accréditation suivants sont stockés dans la base de données de clés et marqués comme certificats d'autorités dignes de confiance :

L'autorité d'accréditation peut envoyer plusieurs certificats. Outre le certificat destiné à votre serveur, elle peut vous envoyer des certificats de signature ou d'autorité intermédiaire. Par exemple, la société VeriSign inclut un certificat d'autorité d'accréditation intermédiaire lors de l'envoi d'un certificat Global Server ID. Vous devez recevoir le certificat d'autorité intermédiaire avant le certificat du serveur. Pour savoir comment procéder, reportez-vous à la rubrique Stockage d'un certificat d'autorité d'accréditation.

Remarque :Si l'autorité d'accréditation qui émet votre certificat signé n'est pas référencée comme autorité digne de confiance dans la base de données de clés, vous devez d'abord stocker le certificat quelque part et désigner cette autorité comme digne de confiance. Après quoi, vous pouvez recevoir le certificat signé dans la base de données. Vous ne pouvez pas recevoir de certificat signé d'une autorité d'accréditation qui n'est pas préalablement désignée comme autorité digne de confiance. Pour obtenir des instructions, reportez-vous à la rubrique Stockage d'un certificat d'autorité d'accréditation.

Pour recevoir un certificat signé par une autorité d'accréditation dans une base de données de clés :

  1. Entrez ikeyman sur une ligne de commande UNIX ou lancez l'utilitaire IBM Key Management à partir du dossier IBM HTTP Server sous Windows NT.
  2. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Nouveau.
  3. Dans la boîte de dialogue Ouverture, entrez le nom de la base de données de clés ou cliquez sur key.kdb si vous utilisez la valeur par défaut. Cliquez sur OK.
  4. Dans la boîte de dialogue Invite du mot de passe, entrez le mot de passe correct et cliquez sur OK.
  5. Sélectionnez Certificats personnels dans le cadre Contenu de la base de données de clés, puis cliquez sur le bouton Réception.
  6. Dans la boîte de dialogue Réception d'un certificat provenant d'un fichier, entrez le nom d'un fichier valide, codé en base 64, dans la zone de texte Nom du fichier de certificat. Cliquez sur OK.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour recevoir un certificat signé par une autorité d'accréditation dans une base de données de clés, entrez la commande suivante :

java com.ibm.gsk.ikeyman.ikeycmd -cert -receive -file
<nom_fichier> -db <nom_bd>
.kdb -pw <mot_passe> -format <ascii | binaire> -default_cert
<yes | no>

où :
-format : L'autorité d'accréditation peut fournir un certificat d'autorité d'accréditation au format ascii ou binaire
-label : Label associé au certificat CA
-trust : Indique si l'autorité d'accréditation est digne de confiance ou non. Utilisez les options d'activation lors de la réception d'un certificat de CA.
-file : Fichier contenant le certificat CA.

Affichage de la clé par défaut dans une base de données de clés

Pour afficher l'entrée de la clé par défaut :

  1. Entrez ikeyman sur une ligne de commande UNIX ou lancez l'utilitaire IBM Key Management à partir du dossier IBM HTTP Server sous Windows NT.
  2. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Nouveau.
  3. Dans la boîte de dialogue Ouverture, entrez le nom de la base de données de clés ou cliquez sur key.kdb si vous utilisez la valeur par défaut. Cliquez sur OK.
  4. Dans la boîte de dialogue Invite du mot de passe, entrez le mot de passe correct et cliquez sur OK.
  5. Sélectionnez Certificats personnels dans le cadre Contenu de la base de données de clés, puis sélectionnez le nom du certificat d'autorité d'accréditation.
  6. Cliquez sur le bouton Affichage/Edition et prenez connaissance des informations relatives à la clé par défaut du certificat dans la fenêtre Données de clé.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour afficher l'entrée de la clé par défaut :

java com.ibm.gsk.ikeyman.ikeycmd -cert -getdefault -db <nom_bd>.kdb
-pw <mot_passe>

Stockage d'un certificat d'autorité d'accréditation

Pour stocker un certificat émanant d'une autorité d'accréditation non référencée comme autorité digne de confiance :

  1. Entrez ikeyman sur une ligne de commande UNIX ou lancez l'utilitaire IBM Key Management à partir du dossier IBM HTTP Server sous Windows NT.
  2. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Nouveau.
  3. Dans la boîte de dialogue Ouverture, entrez le nom de la base de données de clés ou cliquez sur key.kdb si vous utilisez la valeur par défaut. Cliquez sur OK.
  4. Dans la boîte de dialogue Invite du mot de passe, entrez le mot de passe correct et cliquez sur OK.
  5. Sélectionnez Certificats signataires dans le cadre Contenu de la base de données de clés, puis cliquez sur le bouton Ajout.
  6. Dans la boîte de dialogue Ajout d'un certificat de CA provenant d'un fichier, sélectionnez le nom de fichier du certificat (données ASCII codées en base 64) ou utilisez l'option Survol. Cliquez sur OK.
  7. Dans la boîte de dialogue Label, entrez un nom de label et cliquez sur OK.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour stocker un certificat émanant d'une autorité d'accréditation non référencée comme autorité digne de confiance :

java com.ibm.gsk.ikeyman.ikeycmd -cert -add -db <nom_fichier>.kdb
-pw <mot_passe>
-label <label> -format <ascii | binaire> -trust <enable |
disable> -file
<fichier>
où :
-label : Label associé au certificat ou à la demande de certificat
-format : Les autorités d'accréditation peuvent fournir un fichier ASCII binaire
-trust : Indique si l'autorité d'accréditation est digne de confiance ou non. Choisissez la valeur Yes.

Stockage du mot de passe chiffré de la base de données dans un fichier de dissimulation (stash)

Pour garantir la sécurité de la connexion réseau, stockez le mot de passe chiffré de la base de données dans un fichier de dissimulation.

Pour stocker le mot de passe en même temps que vous créez la base de données :

  1. Entrez ikeyman sur une ligne de commande UNIX ou lancez l'utilitaire IBM Key Management à partir du dossier IBM HTTP Server sous Windows NT.
  2. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Nouveau.
  3. Dans la boîte de dialogue Nouveau, entrez le nom de la base de données de clés ou cliquez sur key.kdb si vous utilisez la valeur par défaut. Cliquez sur OK.
  4. Dans la boîte de dialogue Invite du mot de passe, entrez votre mot de passe (à deux reprises pour le confirmer).
  5. Sélectionnez la case à cocher Stocker le mot de passe dans un fichier et cliquez sur OK.
  6. Sélectionnez Fichier de base de données de clés, puis Stockage du mot de passe.
  7. Dans la boîte de dialogue Informations, cliquez sur OK.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour stocker le mot de passe en même temps que vous créez la base de données :

java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db
<chemin_vers_bd>/<nom_bd>.kdb
-pw <mot_passe> -type cms -expire <nb_jours> -stash

Pour stocker le mot de passe après la création d'une base de données :

  1. Entrez ikeyman sur une ligne de commande UNIX ou lancez l'utilitaire IBM Key Management à partir du dossier IBM HTTP Server sous Windows NT.
  2. A partir de l'interface principale, sélectionnez Fichier de base de données de clés, puis Nouveau.
  3. Dans la boîte de dialogue Ouverture, entrez le nom de la base de données de clés ou cliquez sur key.kdb si vous utilisez la valeur par défaut. Cliquez sur OK.
  4. Dans la boîte de dialogue Invite du mot de passe, entrez le mot de passe correct et cliquez sur OK.
  5. Sélectionnez Fichier de base de données de clés, puis Stockage du mot de passe.
  6. Dans la boîte de dialogue Informations, cliquez sur OK.

Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour stocker le mot de passe après la création d'une base de données :

java com.ibm.gsk.ikeyman.ikeycmd -keydb -stashpw -db <nom_bd>.kdb -pw
<mot_passe>

Sous Linux pour S/390 : Utilisation de l'interface de ligne de commande IKEYCMD

Sous Linux pour S/390, IKEYCMD, l'interface de ligne de commande pour IKEYMAN, fournit les options nécessaires à la création et à la gestion de clés, de certificats et de demandes de certificat. Si vous agissez en tant qu'autorité d'accréditation pour votre propre compte, vous pouvez utiliser IKEYCMD pour créer des certificats auto-signés. Dans le cas d'un réseau Web privé, vous pouvez recourir à l'utilitaire CA d'HTTP Server pour générer et délivrer les certificats signés aux différents clients et serveurs de ce réseau privé.

Utilisez IKEYCMD pour les tâches de configuration en rapport avec la création et la gestion de clés publique-privée. Vous ne pouvez pas l'utiliser pour définir des options qui ont pour effet de mettre à jour le fichier de configuration du serveur, httpd.conf. Pour ces options, vous devez recourir à IBM Administration Server.

IKEYCMD utilise Java et l'appel de la ligne de commande native, activant ainsi ses scripts actifs de tâches IKEYMAN.

Syntaxe de la ligne de commande IKEYCMD

La syntaxe de l'interface de ligne de commande Java est la suivante :

 	java [-Dikeycmd.properties=<fichier_propriétés>]
com.ibm.gsk.ikeyman.ikeycmd
		<object> <action> [options]

où :

-Dikeycmd.properties
Indique le nom d'un fichier de propriétés facultatif à utiliser pour cet appel Java. Un fichier de propriétés par défaut, ikeycmd.properties, est fourni en tant qu'exemple pouvant être modifié et utilisé par toute application Java.

Object correspond à l'un des éléments suivants :

-keydb
Opérations effectuées sur la base de données de clés (fichier de base de données de clés CMS, fichier de clés WebDB ou classe SSLight)

-cert
Opérations effectuées sur un certificat

-certreq
Opérations effectuées sur une demande de certificat

-help
Affiche l'aide des appels IKEYCMD

-version
Affiche les informations relatives à la version de IKEYCMD

Action correspond à l'opération spécifique à effectuer sur l'objet, et options correspond aux options, obligatoires et facultatives, indiquées pour la paire objet-action.

REMARQUE : La position des mots clés object et action doit être respectée. Cela dit, la position des options n'est pas importante et elles peuvent être indiquées dans n'importe quel ordre, tant que vous les spécifiez sous la forme d'une paire option-opérande.

Présentation des paramètres de ligne de commande IKEYCMD

Le tableau suivant décrit chaque action pouvant être effectuée sur un objet précis.

Objet Actions Description
-keydb -changepw Change le mot de passe d'une base de données de clés
-convert Convertit la base de données de clés d'un format vers un autre
-create Crée une base de données de clés
-delete Supprime la base de données de clés
-stashpw Stocke le mot de passe d'une base de données de clés dans un fichier
-cert -add Ajoute un certificat d'autorité stocké dans un fichier à la base de données de clés
-create Crée un certificat auto-signé
-delete Ajoute un certificat d'autorité d'accréditation
details Répertorie les informations détaillées relatives à un certificat spécifique
-export Exporte un certificat personnel ainsi que la clé privée qui lui est associée d'une base de données de clés vers un fichier PKCS#12 ou vers une autre base de données de clés
-extract Extrait un certificat d'une base de données de clés
-getdefault Permet d'obtenir le certificat personnel par défaut
-import Importe un certificat à partir d'une base de données de clés ou d'un fichier PKCS#12
-list Répertorie tous les certificats
-modify Modifie un certificat (REMARQUE : Actuellement, la seule zone pouvant être modifiée est la zone relative à la confiance que l'on peut accorder aux certificats)
-receive Reçoit un certificat stocké dans un fichier dans une base de données de clés
-setdefault Définit le certificat personnel par défaut
-sign Signe un certificat stocké dans un fichier avec un certificat stocké dans une base de données de clés puis stocke le certificat signé résultant dans un fichier
-certreq -create Crée une demande de certificat
-delete Supprime une demande de certificat d'une base de données de demandes de certificat
-details Répertorie les informations détaillées d'une demande de certificat spécifique
extract Extrait une demande de certificat dans un fichier à partir d'une base de données de demandes de certificat
-list Répertorie toutes les demandes de certificat de la base de données de demandes de certificat
-recreate Recrée une demande de certificat
-help Affiche les informations d'aide de la commande IKEYCMD
-version Affiche les informations de version de IKEYCMD

Présentation des options de ligne de commande IKEYCMD

Le tableau suivant répertorie les options que vous pouvez trouver sur la ligne de commande. Les options sont répertoriée sous la forme d'un groupe complet. Toutefois, leur utilisation dépend de l'objet et de l'action indiquée sur la ligne de commande.


Option Description
-db Nom du chemin qualifié complet d'une base de données de clés.
-default_cert Définit un certificat à utiliser comme certificat par défaut pour l'authentification du client (yes ou no). La valeur par défaut est "no".
-dn -dn : Nom distinctif X.500. Il s'agit d'une entrée ayant la forme d'une chaîne de caractères au format suivant (seuls CN, O et C sont requis) :
"CN=Prénom Nom,O=Société,OU=Division,L=Localité,
ST=Département,ZIP=Code postal,C=pays"

-encryption Puissance du chiffrement utilisé lors de l'exportation de certificats (strong ou weak)). La valeur par défaut est strong.
-expire Délai d'expiration d'un certificat ou d'un mot de passe de base de données (en jours). Les valeurs par défaut sont 365 jours pour un certificat et 60 jours pour un mot de passe de base de données.
-file Nom de fichier d'un certificat ou d'une demande de certificat (selon l'objet spécifié).
-format Format d'un certificat (ascii pour les données de type ASCII codé en base 64 ou binaire pour les données de type Binary DER). La valeur par défaut est ascii.
-label Label associé à un certificat ou à une demande de certificat.
-new_format Nouveau format de la base de données de clés.
-new_pw Nouveau mot de passe de la base de données.
-old_format Ancien format de la base de données de clés.
-pw Mot de passe de la base de données de clés ou fichier PKCS#12. Pour plus d'informations, reportez-vous à la rubrique Création d'une nouvelle base de données de clés.
-size Taille de la clé (512 ou 1024). La valeur par défaut est 1024.
-stash Indicateur permettant de stocker le mot de passe de base de données de clés dans un fichier. S'il est spécifié, le mot de passe sera stocké dans un fichier.
-target Fichier ou base de données de destination.
-target_pw Mot de passe de la base de données de clés si -target indique une base de données de clés. Pour plus d'informations, reportez-vous à la rubrique Création d'une nouvelle base de données de clés.
-target_type Type de base de données indiqué par l'opérande -target (voir -type).
-trust Etat de confiance d'un certificat de CA (activé ou désactivé). La valeur par défaut est l'état désactivé.
-type Type de base de données. Les valeurs possibles sont cms (indique une base de données de clés CMS), webdb (indique un fichier de clés), sslight (indique un fichier .class SSLight) ou pkcs12 (indique un fichier PKCS#12).
-x509version Version du certificat X.509 à créer (1, 2 ou 3). La valeur par défaut est 3.

Appel de ligne de commande

Vous trouverez ci-après la liste des appels de ligne de commande, ainsi que les paramètres facultatifs indiqués en italique.

Remarque : Pour plus de simplicité, l'appel Java actuel, java com.ibm.gsk.ikeyman,iKeycmd, n'est pas indiqué pour les appels de commande.

-keydb -changepw -db <nom_fichier> -pw <mot_passe> -new_pw
<nouveau_mot_passe> -stash
	-expire <nb_jours>
-keydb -convert -db <nom_fichier> -pw <mot_passe>
-old_format <cms | webdb>
	-new_format <cms> 
-keydb -create -db <nom_fichier> -pw <mot_passed> -type
<cms | sslight> -expire
	<nb_jours> -stash
-keydb -delete -db <nom_fichier> -pw <mot_passe>
-keydb -stashpw -db <nom_fichier> -pw <mot_passe>

-cert -add -db <nom_fichier> -pw <mot_passed> -label
<label> -file <nom_fichier> -format
	 <ascii | binaire> -trust <enable | disable> 
-cert -create -db <nom_fichier> -pw <mot_passe> -label
<label> -dn <nom_distinctif>
	-size <1024 | 512> -x509version <3  | 1 | 2> -default_cert
<no | yes>
-cert -delete -db <nom_fichier> -pw <mot_passe> -label
<label>
-cert -details -db <nom_fichier> -pw <mot_passe> -label
<label>
-cert -export -db <nom_fichier> -pw <mot_passe> -label
<label> -type <cms | sslight>
	-target <nom_fichier> -target_pw <mot_passe>
-target_type <cms | sslight | pkcs12>
	-encryption <strong | weak> 
-cert -extract -db <nom_fichier> -pw <mot_passe> -label
<label> -target <nom_fichier>
	-format <ascii | binaire>
-cert -getdefault -db <nom_fichier> -pw <mot_passe>
-cert -import -db <nom_fichier> -pw <mot_passe> -label
<label> -type <cms | sslight>
	-target <nom_fichier> -target_pw <mot_passe> -target_type
<cms | sslight>
-cert -import -file <nom_fichier> -type <pkcs12>
-target <nom_fichier> -target_pw <mot_passe>
	-target_type <cms | sslight> 
-cert -list <all | personal | CA | site> -db
<nom_fichier> -pw <mot_passe> -type
	<cms | sslight>
-cert -modify -db <nom_fichier> -pw <mot_passe> -label
<label>  -trust <enable | disable>
-cert -receive -file <nom_fichier> -db <nom_fichier> -pw
<mot_passe> -format <ascii | binaire>
	-default _cert <no | yes>
-cert -setdefault -db <nom_fichier> -pw <mot_passe> -label
<label>
-cert -sign -file <nom_fichier> -db <nom_fichier> -pw
<mot_passe> -label <label> -target <nom_fichier>
	-format <ascii | binaire>  -expire <nb_jours>

-certreq -create -db <nom_fichier> -pw <mot_passe> -label
<label> -dn <nom_distinctif>
	-size <1024 | 512> -file <nom_fichier>
-certreq -delete -db <nom_fichier> -pw <mot_passe> -label
<label>
-certreq -details -db <nom_fichier> -pw <mot_passe> -label
<label>
-certreq -extract -db <nom_fichier> -pw <mot_passe> -label
<label> -target <nom_fichier>
-certreq -list -db <nom_fichier> -pw <mot_passe>
-certreq -recreate -db <nom_fichier> -pw <mot_passe> -label
<label> -target <nom_fichier>

-help

-version

Fichier de propriétés utilisateur

Pour supprimer certaines entrées des appels CLI Java, vous pouvez indiquer les propriétés utilisateur dans un fichier de propriétés. Le fichier de propriétés peut être spécifié sur l'appel de ligne de commande Java à l'aide de l'option Java -Dikeycmd.properties. Un fichier de propriétés, ikeycmd.properties, est un exemple permettant aux applications Java de modifier leurs paramètres par défaut.