Création d'un magasin de clés avec IBM Global Security Kit (GSKit)

Vous exécutez l'outil IBM Global Security Kit (GSKit) gsk8capicmd_64 pour créer un magasin de clés afin de stocker le certificat numérique et la clé privée pour le serveur Db2 . Les certificats stockés peuvent être autosignés ou signés par une autorité de certification (CA).

A propos de cette tâche

Db2 prend en charge les magasins de clés de type CMS (.kdb) et PKCS #12 (.p12). Sur les plateformes Windows, Db2 prend en charge Microsoft Certificate Store (MSCS).

Vérifiez que IBM Global Security Kit (GSKit) est correctement installé et que IBM Global Security Kit (GSKit) est inclus dans votre chemin d'environnement. Pour plus d'informations, voir IBM Global Security Kit global installation instructions overview.

Procédure

A partir d'une fenêtre de terminal, exécutez la commande suivante pour créer un magasin de clés:

gsk8capicmd_64 -keydb -create -db server.p12 -pw myServerPassw0rdpw0 -stash -pqc false

où

-pw est un mot de passe unique.
-stash crée un fichier de dissimulation dans le même chemin que le magasin de clés, avec l'extension de fichier .sth.
Au démarrage de l'instance, IBM Global Security Kit (GSKit) utilise le fichier de dissimulation pour obtenir le mot de passe du magasin de clés.
Important: Utilisez une protection de système de fichiers solide sur le fichier de dissimulation. Par défaut, seul le propriétaire de l'instance peut accéder à ce fichier (avec un accès en lecture et en écriture).
-pqc false crée un magasin de clés dans le format PBE, qui est compatible avec le mode FIPS strict, le mode compatibilité FIPS et le mode NOFIPS.
Remarque: Les magasins de clés créés avec les versions précédentes de Db2 qui utilisent IBM Global Security Kit (GSKit) 8.0.55.26 ou une version antérieure utilisent le format PBE par défaut et n'ont pas besoin d'être recréés.