Pour obtenir une connexion sécurisée, vous devez créer une clé de sécurisation des communications réseau et recevoir un certificat d'une autorité d'accréditation (CA) désignée comme autorité digne de confiance sur votre serveur. Utilisez IKEYMAN pour créer les bases de données de clés, les paires de clés publique-privée et les demandes de certificat. Si vous agissez en tant qu'autorité d'accréditation pour votre propre compte, vous pouvez utiliser IKEYMAN pour créer des certificats auto-signés. Dans le cas d'un réseau Web privé, vous pouvez recourir à l'utilitaire CA d'HTTP Server pour générer et délivrer les certificats signés aux différents clients et serveurs de ce réseau privé.
Utilisez IKEYMAN pour les tâches de configuration en rapport avec la création et la gestion de clés publique-privée. Vous ne pouvez pas l'utiliser pour définir des options qui ont pour effet de mettre à jour le fichier de configuration du serveur, httpd.conf. Pour ces options, vous devez recourir à IBM Administration Server.
Linux pour les utilisateurs S/390 : Utilisez l'interface de ligne de commande IKEYCMD pour effectuer des fonctions similaires à IKEYMAN. Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD.
La présente annexe fournit des informations détaillées sur les tâches que vous pouvez accomplir à l'aide de l'utilitaire IBM Key Management (IKEYMAN). Elle n'explique pas comment configurer les options de sécurité qui requiert des mises à jour du fichier de configuration du serveur.
L'interface utilisateur graphique IKEYMAN est une interface Java qui nécessite l'exécution de JDK ou de JRE. Les niveaux de JDK minimaux pour la prise en charge d'IKEYMAN sont :
Sous Windows et Solaris, les bibliothèques GSKit installées en tant qu'élément du composant SSL incluent un JRE. Aucun autre paramètre d'environnement n'est requis sur ces plateformes. Sous AIX, HP ou Linux, ou si vous voulez utiliser un autre JDK sous Solaris, définissez votre environnement système conformément aux indications ci-dessous.
EXPORT JAVA_HOME=chemin complet du répertoire principal du JDK
EXPORT PATH = <chemin complet du répertoire principal du JDK> /jre/sh:<chemin complet du répertoire principal du JDK>/sh:$PATH
EXPORT PATH=$IKEYMAN_HOME/bin:$PATH
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour exécuter IKEYMAN sous Linux pour S/390, définissez les variables d'environnement afin d'utiliser l'interface de ligne de commande IKEYCMD de la façon décrite ci-dessous.
EXPORT PATH=/opt/IBMJava/bin:$PATH
EXPORT CLASSPATH=/usr/local/ibm/gsk/classes/cfwk.zip:/usr/local/ibm/ gsk/classes/gsk4cls.jar:$CLASSPATH
Une fois ces opérations terminées, IKEYCMD peut s'exécuter à partir de n'importe quel répertoire. Pour exécuter une commande IKEYCMD, utilisez la syntaxe suivante :
java com.ibm.gsk.ikeyman.ikeycmd <command>Remarque : Vous pouvez remplacer l'exécutable JRE par l'exécutable Java, selon que vous utilisez un JRE ou un JDK. Exemple:
jre com.ibm.gsk.ikeyman.ikeycmd <command>
Pour chaque commande IKEYCMD (sauf la commande de création de base de données), la base de données de clés et son mot de passe doivent être indiqués. Cette opération est obligatoire car la base de données est ouverte avec chaque commande. Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD, pour des informations plus détaillées sur IKEYCMD.
La section suivante décrit comment utiliser l'interface IKEYMAN ou l'interface de ligne de commande IKEYCMD.
Pour démarrer l'interface utilisateur graphique IKEYMAN, procédez aux opérations ci-dessous.
Remarque : Si vous démarrez IKEYMAN pour créer un nouveau fichier de base de données de clés, le fichier sera stocké dans le répertoire de démarrage d'IKEYMAN.
Pour obtenir une connexion sécurisée, vous devez créer une clé de sécurisation des communications réseau et recevoir un certificat d'une autorité d'accréditation (CA) désignée comme autorité digne de confiance sur votre serveur. Utilisez IKEYMAN (ou IKEYCMD sous Linux pour S/390) pour créer la base de données de clés, la bi-clé publique-privée et la demande de certificat. Après avoir reçu le certificat signé par l'autorité d'accréditation (CA), utilisez IKEYMAN (ou IKEYCMD sous Linux pour S/390) pour le recevoir dans la base de données de clés où vous avez créé la demande de certificat d'origine.
Cette section dresse la liste des tâches IKEYMAN et IKEYCMD et décrit les plus courantes d'entre elles.
Les tâches de l'interface utilisateur IKEYMAN et l'interface de
ligne de commande IKEYCMD sont énumérées dans le tableau ci-dessous.
Tâche IKEYMAN et IKEYCMD | Pour obtenir des instructions, reportez-vous à : |
---|---|
Création d'une base de données de clés et définition de son mot de passe |
|
Création d'une bi-clé et d'une demande de certificat |
|
Création d'un certificat auto-signé |
|
Exportation d'une clé vers une autre base de données ou vers un fichier PKCS12 |
|
Importation d'une clé d'une autre base de données ou d'un fichier PKCS12 |
|
Liste des autorités d'accréditation et des demandes de certificat |
|
Ouverture d'une base de données de clés |
|
Réception d'un certificat signé par une autorité d'accréditation dans une base de données de clés |
|
Affichage de la clé par défaut dans une base de données de clés |
|
Stockage du certificat racine d'une autorité d'accréditation |
|
Stockage du mot de passe chiffré de la base de données dans un fichier de dissimulation (stash) |
|
Une base de données de clés est un fichier que le serveur utilise pour stocker un ou plusieurs certificats et une ou plusieurs paires de clés (bi-clés). Vous pouvez utiliser une seule base de données de clés pour tous vos certificats et bi-clés ou créer plusieurs bases de données.
Pour créer une base de données de clés :
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Un mot de passe doit être indiqué obligatoirement pour effectuer une opération sur une base de données de clés. Bien qu'un mot de passe soit nécessaire pour accéder à une base de données de type sslight, il peut correspondre à une chaîne NULL (""). Pour créer une base de données de clés à l'aide de l'interface de ligne de commande IKEYCMD, entrez la commande suivante :
java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db <nom_fichier>.kdb -pw <mot_passe> -type cms -expire <nb_jours> -stash
Lorsque l'option -stash est indiquée lors de la création de la base de données, le mot de passe est stocké dans un fichier dont le nom est formé de la façon suivante :
<nom de fichier de la base de données de clés>.sthPar exemple, si la base de données créée est appelée keydb.kdb, le nom du fichier de dissimulation est keydb.sth.
Lorsque vous créez une base de données de clés, vous devez indiquer son mot de passe d'accès. Ce mot de passe protège la clé privée. La clé privée est la seule clé pouvant signer des documents ou déchiffrer des messages chiffrés avec la clé publique. Il est judicieux de changer le mot de passe de la base de données de clés fréquemment.
Choisissez votre mot de passe conformément aux indications ci-dessous.
Remarque : | Faites le suivi des dates d'expiration du mot de passe. Quand le mot de passe expire, un message s'inscrit dans le journal des erreurs. Le serveur démarrera mais il n'y aura pas de connexion réseau sécurisée. |
Pour changer le mot de passe de la base de données, procédez aux opérations ci-dessous.
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour changer le mot de passe de la base de données, entrez :
java com.ibm.gsk.ikeyman.ikeycmd -keydb -changepw -db <nom_fichier> .kdb -pw <mot_passe> -new_pw <nouveau_mot_passe> -expire <nb_jours> -stash
La valeur de configuration initiale, pour le nom de la base de données de clés, est key.kdb. Si vous utilisez key.kdb comme nom de base de données de clés par défaut, il n'est pas nécessaire d'enregistrer la base de données auprès du serveur. key.kdb est en effet la valeur initialement attribuée à la directive KeyFile, dans le fichier de configuration du serveur. En revanche, si vous n'utilisez pas key.kdb ou si vous avez créé plusieurs bases de données de clés, vous devez les enregistrer auprès du serveur.
Les bi-clés et les demandes de certificat sont stockées dans une base de données de clés. Pour créer une bi-clé publique-privée et une demande de certificat :
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour créer une bi-clé publique-privée et une demande de certificat :
java com.ibm.gsk.ikeyman.ikeycmd -certreq -create -db <nom_bd>.kdb -pw <mot_passe> -size <1024 | 512> -dn<nom_distinctif> -file <nom_fichier> -label <label>où :
"CN=weblinux.raleigh.ibm.com,O=ibm,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"
java com.ibm.gsk.ikeyman.ikeycmd -certreq -list -db <nom_fichier> -pw <mot_passe>Le label que vous venez de créer devrait apparaître dans la liste.
Deux à trois semaines sont généralement nécessaires pour obtenir un certificat d'une autorité d'accréditation réputée. En attendant de le recevoir, vous pouvez créer un certificat de serveur auto-signé à l'aide d'IKEYMAN afin de permettre l'établissement de sessions SSL entre les clients et le serveur. Utilisez cette solution si vous agissez en tant qu'autorité d'accréditation pour votre propre compte, c'est-à-dire pour un réseau Web privé dont vous êtes responsable.
Pour créer un certificat auto-signé :
Linux pour utilisateurs S/390 : Reportez-vous à la
rubrique Utilisation de l'interface de ligne de
commande
IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour
créer un certificat auto-signé :
Entrez la commande suivante :
java com.ibm.gsk.ikeyman.ikeycmd -cert -create -db <nom_bd>.kdb -pw <mot_passe> -size <1024 | 512> -dn <nom_distinctif> -label <label> -default_cert <yes ou no>où :
"CN=weblinux.raleigh.ibm.com,O=ibm,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD.
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD.
Pour afficher la liste des autorités d'accréditation (CA) dignes de confiance définies dans une base de données de clés :
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour afficher la liste des autorités d'accréditation (CA) dignes de confiance définies dans une base de données de clés :
java com.ibm.gsk.ikeyman.ikeycmd -cert -list CA -db <nom_bd>.kdb -pw <mot_passe> -type cms
Pour ouvrir une base de données de clés existante :
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Il n'existe pas d'ouverture explicite d'une base de données de clés. Pour chaque commande, les options de base de données et de mot de passe sont indiquées et ces informations fournissent les informations nécessaires aux opérations dans une base de données de clés.
Cette procédure permet de recevoir un certificat envoyé par courrier électronique par une autorité d'accréditation (CA), désignée comme autorité digne de confiance sur votre serveur. Par défaut, les certificats d'autorité d'accréditation suivants sont stockés dans la base de données de clés et marqués comme certificats d'autorités dignes de confiance :
L'autorité d'accréditation peut envoyer plusieurs certificats. Outre le certificat destiné à votre serveur, elle peut vous envoyer des certificats de signature ou d'autorité intermédiaire. Par exemple, la société VeriSign inclut un certificat d'autorité d'accréditation intermédiaire lors de l'envoi d'un certificat Global Server ID. Vous devez recevoir le certificat d'autorité intermédiaire avant le certificat du serveur. Pour savoir comment procéder, reportez-vous à la rubrique Stockage d'un certificat d'autorité d'accréditation.
Remarque :Si l'autorité d'accréditation qui émet votre certificat signé n'est pas référencée comme autorité digne de confiance dans la base de données de clés, vous devez d'abord stocker le certificat quelque part et désigner cette autorité comme digne de confiance. Après quoi, vous pouvez recevoir le certificat signé dans la base de données. Vous ne pouvez pas recevoir de certificat signé d'une autorité d'accréditation qui n'est pas préalablement désignée comme autorité digne de confiance. Pour obtenir des instructions, reportez-vous à la rubrique Stockage d'un certificat d'autorité d'accréditation.
Pour recevoir un certificat signé par une autorité d'accréditation dans une base de données de clés :
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour recevoir un certificat signé par une autorité d'accréditation dans une base de données de clés, entrez la commande suivante :
java com.ibm.gsk.ikeyman.ikeycmd -cert -receive -file <nom_fichier> -db <nom_bd> .kdb -pw <mot_passe> -format <ascii | binaire> -default_cert <yes | no>
Pour afficher l'entrée de la clé par défaut :
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour afficher l'entrée de la clé par défaut :
java com.ibm.gsk.ikeyman.ikeycmd -cert -getdefault -db <nom_bd>.kdb -pw <mot_passe>
Pour stocker un certificat émanant d'une autorité d'accréditation non référencée comme autorité digne de confiance :
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour stocker un certificat émanant d'une autorité d'accréditation non référencée comme autorité digne de confiance :
java com.ibm.gsk.ikeyman.ikeycmd -cert -add -db <nom_fichier>.kdb -pw <mot_passe> -label <label> -format <ascii | binaire> -trust <enable | disable> -file <fichier>où :
Pour garantir la sécurité de la connexion réseau, stockez le mot de passe chiffré de la base de données dans un fichier de dissimulation.
Pour stocker le mot de passe en même temps que vous créez la base de données :
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour stocker le mot de passe en même temps que vous créez la base de données :
java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db <chemin_vers_bd>/<nom_bd>.kdb -pw <mot_passe> -type cms -expire <nb_jours> -stash
Pour stocker le mot de passe après la création d'une base de données :
Linux pour utilisateurs S/390 : Reportez-vous à la rubrique Utilisation de l'interface de ligne de commande IKEYCMD pour des informations plus détaillées relatives à IKEYCMD. Pour stocker le mot de passe après la création d'une base de données :
java com.ibm.gsk.ikeyman.ikeycmd -keydb -stashpw -db <nom_bd>.kdb -pw <mot_passe>
Sous Linux pour S/390, IKEYCMD, l'interface de ligne de commande pour IKEYMAN, fournit les options nécessaires à la création et à la gestion de clés, de certificats et de demandes de certificat. Si vous agissez en tant qu'autorité d'accréditation pour votre propre compte, vous pouvez utiliser IKEYCMD pour créer des certificats auto-signés. Dans le cas d'un réseau Web privé, vous pouvez recourir à l'utilitaire CA d'HTTP Server pour générer et délivrer les certificats signés aux différents clients et serveurs de ce réseau privé.
Utilisez IKEYCMD pour les tâches de configuration en rapport avec la création et la gestion de clés publique-privée. Vous ne pouvez pas l'utiliser pour définir des options qui ont pour effet de mettre à jour le fichier de configuration du serveur, httpd.conf. Pour ces options, vous devez recourir à IBM Administration Server.
IKEYCMD utilise Java et l'appel de la ligne de commande native, activant ainsi ses scripts actifs de tâches IKEYMAN.
La syntaxe de l'interface de ligne de commande Java est la suivante :
java [-Dikeycmd.properties=<fichier_propriétés>] com.ibm.gsk.ikeyman.ikeycmd <object> <action> [options]
où :
-Dikeycmd.properties |
|
Object correspond à l'un des éléments suivants :
-keydb |
|
-cert |
|
-certreq |
|
-help |
|
-version |
|
Action correspond à l'opération spécifique à effectuer sur l'objet, et options correspond aux options, obligatoires et facultatives, indiquées pour la paire objet-action.
REMARQUE : La position des mots clés object et action doit être respectée. Cela dit, la position des options n'est pas importante et elles peuvent être indiquées dans n'importe quel ordre, tant que vous les spécifiez sous la forme d'une paire option-opérande.
Le tableau suivant décrit chaque
action pouvant être effectuée sur un objet précis.
Objet | Actions | Description |
---|---|---|
-keydb | -changepw | Change le mot de passe d'une
base de données de clés
|
-convert | Convertit la base de données de
clés d'un format vers un autre
| |
-create | Crée une base de données de
clés
| |
-delete | Supprime la base de données de
clés
| |
-stashpw | Stocke le mot de passe d'une
base de données de clés dans un fichier
| |
-cert | -add | Ajoute un certificat d'autorité stocké
dans un fichier à la base de données de clés
|
-create | Crée un certificat auto-signé
| |
-delete | Ajoute un certificat
d'autorité d'accréditation
| |
details | Répertorie les informations
détaillées relatives à un certificat spécifique
| |
-export | Exporte un certificat personnel
ainsi que la clé privée qui lui est associée d'une base de
données de clés vers un fichier PKCS#12 ou vers une autre base de
données de clés
| |
-extract | Extrait un certificat d'une base
de données de clés
| |
-getdefault | Permet d'obtenir le certificat
personnel par défaut
| |
-import | Importe un certificat
à partir d'une base de données de clés ou d'un fichier PKCS#12
| |
-list | Répertorie tous les certificats
| |
-modify | Modifie un certificat
(REMARQUE : Actuellement, la seule zone pouvant être
modifiée est la zone relative à la confiance que l'on peut
accorder aux certificats)
| |
-receive | Reçoit un certificat stocké dans un fichier
dans une base de données de clés
| |
-setdefault | Définit le certificat personnel
par défaut
| |
-sign | Signe un certificat stocké dans un fichier
avec un certificat stocké dans une base de données de clés puis stocke le
certificat signé résultant dans un fichier
| |
-certreq | -create | Crée une demande de certificat
|
-delete | Supprime une demande de
certificat d'une base de données de demandes de certificat
| |
-details | Répertorie les informations
détaillées d'une demande de certificat spécifique
| |
extract | Extrait une demande de certificat dans
un fichier à partir d'une base de données de demandes de certificat
| |
-list | Répertorie toutes les demandes
de certificat de la base de données de demandes de certificat
| |
-recreate | Recrée une demande de certificat
| |
-help | Affiche les informations d'aide
de la commande IKEYCMD
| |
-version | Affiche les informations
de version de IKEYCMD
|
Le tableau suivant répertorie les options que vous pouvez trouver sur la ligne de commande. Les options sont répertoriée sous la forme d'un groupe complet. Toutefois, leur utilisation dépend de l'objet et de l'action indiquée sur la ligne de commande.
Option | Description |
---|---|
-db | Nom du chemin qualifié complet
d'une base de données de clés.
|
-default_cert | Définit un certificat à
utiliser comme certificat par défaut pour l'authentification du
client (yes ou no).
La valeur par défaut est "no".
|
-dn | -dn : Nom distinctif
X.500. Il s'agit d'une entrée ayant la forme d'une chaîne de caractères au
format suivant (seuls CN, O et C sont requis) :
"CN=Prénom Nom,O=Société,OU=Division,L=Localité, ST=Département,ZIP=Code postal,C=pays" |
-encryption | Puissance du chiffrement utilisé lors
de l'exportation de certificats (strong ou weak)).
La valeur par défaut est strong.
|
-expire | Délai d'expiration d'un
certificat ou d'un mot de passe de base de données (en jours). Les
valeurs par défaut sont 365 jours pour un certificat et
60 jours pour un mot de passe de base de données.
|
-file | Nom de fichier d'un
certificat ou d'une demande de certificat (selon l'objet
spécifié).
|
-format | Format d'un certificat (ascii
pour les données de type ASCII codé en base 64 ou binaire pour
les données de type Binary DER). La valeur par défaut est ascii.
|
-label | Label associé à un certificat
ou à une demande de certificat.
|
-new_format | Nouveau format de la base
de données de clés.
|
-new_pw | Nouveau mot de passe de la
base de données.
|
-old_format | Ancien format de la base de
données de clés.
|
-pw | Mot de passe de la
base de données de clés ou fichier PKCS#12.
Pour plus d'informations, reportez-vous à la rubrique
Création d'une nouvelle base de données de clés.
|
-size | Taille de la clé (512
ou 1024). La valeur par défaut est 1024.
|
-stash | Indicateur permettant de
stocker le mot de passe de base de données de clés dans un fichier.
S'il est spécifié, le mot de passe sera stocké dans un fichier.
|
-target | Fichier ou base de
données de destination.
|
-target_pw | Mot de passe de la base de données de
clés si -target indique une base de données de clés. Pour plus
d'informations, reportez-vous à la rubrique Création
d'une nouvelle base de données de clés.
|
-target_type | Type de base de données
indiqué par l'opérande -target (voir -type).
|
-trust | Etat de confiance d'un
certificat de CA (activé ou
désactivé).
La valeur par défaut est l'état désactivé.
|
-type | Type de base de données. Les
valeurs possibles sont cms (indique une base de données de clés
CMS), webdb (indique un fichier de clés), sslight
(indique un fichier .class SSLight) ou pkcs12 (indique un fichier PKCS#12).
|
-x509version | Version du certificat X.509 à créer (1,
2 ou 3).
La valeur par défaut est 3.
|
Vous trouverez ci-après la liste des appels de ligne de commande, ainsi que les paramètres facultatifs indiqués en italique.
Remarque : Pour plus de simplicité, l'appel Java actuel, java com.ibm.gsk.ikeyman,iKeycmd, n'est pas indiqué pour les appels de commande.
-keydb -changepw -db <nom_fichier> -pw <mot_passe> -new_pw <nouveau_mot_passe> -stash -expire <nb_jours> -keydb -convert -db <nom_fichier> -pw <mot_passe> -old_format <cms | webdb> -new_format <cms> -keydb -create -db <nom_fichier> -pw <mot_passed> -type <cms | sslight> -expire <nb_jours> -stash -keydb -delete -db <nom_fichier> -pw <mot_passe> -keydb -stashpw -db <nom_fichier> -pw <mot_passe>
-cert -add -db <nom_fichier> -pw <mot_passed> -label <label> -file <nom_fichier> -format <ascii | binaire> -trust <enable | disable> -cert -create -db <nom_fichier> -pw <mot_passe> -label <label> -dn <nom_distinctif> -size <1024 | 512> -x509version <3 | 1 | 2> -default_cert <no | yes> -cert -delete -db <nom_fichier> -pw <mot_passe> -label <label> -cert -details -db <nom_fichier> -pw <mot_passe> -label <label> -cert -export -db <nom_fichier> -pw <mot_passe> -label <label> -type <cms | sslight> -target <nom_fichier> -target_pw <mot_passe> -target_type <cms | sslight | pkcs12> -encryption <strong | weak> -cert -extract -db <nom_fichier> -pw <mot_passe> -label <label> -target <nom_fichier> -format <ascii | binaire> -cert -getdefault -db <nom_fichier> -pw <mot_passe> -cert -import -db <nom_fichier> -pw <mot_passe> -label <label> -type <cms | sslight> -target <nom_fichier> -target_pw <mot_passe> -target_type <cms | sslight> -cert -import -file <nom_fichier> -type <pkcs12> -target <nom_fichier> -target_pw <mot_passe> -target_type <cms | sslight> -cert -list <all | personal | CA | site> -db <nom_fichier> -pw <mot_passe> -type <cms | sslight> -cert -modify -db <nom_fichier> -pw <mot_passe> -label <label> -trust <enable | disable> -cert -receive -file <nom_fichier> -db <nom_fichier> -pw <mot_passe> -format <ascii | binaire> -default _cert <no | yes> -cert -setdefault -db <nom_fichier> -pw <mot_passe> -label <label> -cert -sign -file <nom_fichier> -db <nom_fichier> -pw <mot_passe> -label <label> -target <nom_fichier> -format <ascii | binaire> -expire <nb_jours>
-certreq -create -db <nom_fichier> -pw <mot_passe> -label <label> -dn <nom_distinctif> -size <1024 | 512> -file <nom_fichier> -certreq -delete -db <nom_fichier> -pw <mot_passe> -label <label> -certreq -details -db <nom_fichier> -pw <mot_passe> -label <label> -certreq -extract -db <nom_fichier> -pw <mot_passe> -label <label> -target <nom_fichier> -certreq -list -db <nom_fichier> -pw <mot_passe> -certreq -recreate -db <nom_fichier> -pw <mot_passe> -label <label> -target <nom_fichier>
-help
-version
Pour supprimer certaines entrées des appels CLI Java, vous pouvez indiquer les propriétés utilisateur dans un fichier de propriétés. Le fichier de propriétés peut être spécifié sur l'appel de ligne de commande Java à l'aide de l'option Java -Dikeycmd.properties. Un fichier de propriétés, ikeycmd.properties, est un exemple permettant aux applications Java de modifier leurs paramètres par défaut.