IBM HTTP Server 인증서 관리

배경 정보와 도구

IBM HTTP Server 를 사용하여 인증서를 작성하기 위한 기본 도구는 그래픽 순수 Java™ 키 관리 도구인 iKeyman입니다.

z/OS® 운영 체제에서는 모든 인증서 관리가 기본 인증서 관리 도구로 이루어집니다. gskkyman

Microsoft Windows 에서 시작 메뉴를 사용하여 을 시작할 수 있습니다. iKeyman 기타 플랫폼의 경우, 모든 IBM HTTP Server 실행 파일과 마찬가지로 IBM HTTP Server bin/ 디렉토리에서 도구를 시작하십시오.

기본 및 Java 보조 명령행 인증서 관리 도구도 IBM HTTP Server bin/ 디렉토리에서 gskcmd ( iKeycmd라고도 함) 및 gskcapicmd ( gsk8capicmd라고도 함) 로 제공됩니다. 두 도구 모두 유사한 구문을 공유하며 확장 임베디드 사용량 정보를 포함합니다.

IBM HTTP Server 의 인증서 제한사항

인증서 관리 도구에 대한 전체 문서

시스템 설정

인증서 관리 태스크

인증서 관리에 대한 자세한 예제 시나리오는 iKeyman (분산 운영 체제) 및 gskkyman (z/OS 운영 체제) 에 대한 전체 문서에 설명되어 있습니다.

공통 태스크의 다음 명령행 예제를 참조하십시오. 다음 명령을 처음 두 매개변수와 함께 입력하여 전체 사용량 구문을 보거나 명령에 대한 전체 문서를 참조할 수 있습니다. 다음 표에는 CA 인증에 수행할 수 있는 조작, 해당 조작을 수행하기 위해 사용할 수 있는 AdminTask 오브젝트, 콘솔에서 인증을 탐색하는 방법이 나열되어 있습니다.

CMS 키 저장소 작성

IBM HTTP Server와 함께 사용할 키 저장소를 작성할 때 사용되는 도구에 관계없이 파일에 비밀번호를 숨기는 옵션을 지정하십시오.

# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash 
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash

기본 신뢰 CA 인증 세트로 키 저장소 채우기

기본적으로 새 키 저장소에는 신뢰 CA 인증이 없습니다.

# The populate operation is supported with Ikeyman and gskcmd (ikeycmd) only, not with gskcapicmd. 
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password> 
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password

필요한 경우 CA 인증 추가(선택사항)

# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname> 
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"   

테스트 목적으로 자체 서명 인증 작성(선택사항)

#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password>  \
     -dn <distinguished name> -label <labelname> -size <size> 
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password \
     -san_dnsname www.example.com -san_dnsname example.com                            \
     -dn "cn=www.example.com" -label "example.com" -size 2048

인증 요청 작성

서명 알고리즘 선택을 포함하여 대부분의 필드 및 옵션은 선택사항입니다. (이 서명은 런타임 시가 아니라 인증 기관에서만 사용됩니다.) 웹 서버에 다른 호스트 이름을 지정할 수도 있습니다.

# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password>     \
     -dn <distinguished name> -label <labelname> -size  <size> -file <outputfilename> 
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password \
   -dn "cn=www.example.com" -san_dnsname www.example.com -san_dnsname example.com       \
     -label www.example.com -size 2048 -file example.csr

신뢰 인증 기관에 인증 요청 제출

이 태스크에는 로컬 도구 사용이 포함되지 않습니다. 일반적으로 인증 요청(example.csr)은 이메일로 보내거나 신뢰 인증 기관에 업로드합니다.

발행된 인증 수신

인증을 수신하면 해당 CA의 서명된 인증과 KDB 파일의 개인 키(개인 인증)가 연관됩니다. 인증 요청을 생성한 KDB에만 인증을 수신할 수 있습니다.

# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate> 
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm

키 저장소에 인증을 나열하십시오.

# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> 
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password 

JKS 또는 PKCS12 의 인증서를 IBM HTTP Server 에서 사용 가능한 키 파일로 가져오십시오 (선택사항).

새 개인 키(개인 인증)를 작성하는 대신 다른 도구에서 작성된 기존 개인 키와 인증을 기존 키 파일로 가져올 수 있습니다.

# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>\
      -target <existingkdbfile>  -target_pw <existingkdbpassword> 
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password  \
     -target key.kdb -target_pw password 

인증 만기 날짜 보기(선택사항)

-expiry 플래그는 향후 numdays일에 만기되는 것으로 간주될 인증을 표시합니다. 이미 만기된 인증을 표시하려면 0을 사용하고 모든 인증 만기 날짜를 표시하려면 큰 수를 사용하십시오.

# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays> 
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365