(1) U�ycie narz�dzia keytool do utworzenia pary kluczy publiczny-prywatny

Kurs konfigurowania klienta SSH

Temat - (1) U�ycie narz�dzia keytool do utworzenia pary kluczy publiczny-prywatny

Pierwszym krokiem podczas konfigurowania sesji terminala VT do uwierzytelniania klienta SSH przy u�yciu klucza publicznego jest u�ycie programu keytool do utworzenia pary kluczy publiczny-prywatny.

Informacje o programie keytool

keytool to uniwersalny program narz�dziowy zawarty w �rodowisku JRE Java 2 w wersji 1.4 i dostarczany z programem Host On-Demand w celu zarz�dzania kluczami i certyfikatami.

Na platformach typu Unix

Poniewa� program keytool to narz�dzie wielozadaniowe do zarz�dzania kluczami i certyfikatami, tworzenie pary kluczy publiczny-prywatny mo�na �atwiej zrozumie� dzi�ki obejrzeniu najpierw mniej z�o�onego narz�dzia dost�pnego na platformach typu Unix. Jest to narz�dzie ssh-keygen. Informacje te podano tylko w celach ilustracyjnych. Narz�dzia ssh-keygen nie mo�na u�ywa� do tworzenia kluczy publiczny-prywatny dla programu Host On-Demand.

Uzyskiwanie narz�dzia keytool

Dost�p do narz�dzia keytool z serwera Host On-Demand mo�na uzyska� na jeden z dw�ch sposob�w:

Narz�dzie keytool jest dystrybuowane z narz�dziami �rodowiska wykonawczego Java instalowanymi z programem Host On-Demand. Na platformie Windows program ten znajduje si� w nast�puj�cym po�o�eniu:
<katalog_instalacyjny>\jre\bin\keytool.exe
Narz�dzie keytool jest do��czone do �rodowiska JRE Java 2 w wersji 1.4 dla platformy Windows dystrybuowanego z programem Host On-Demand. Jest to �rodowisko JRE, kt�re klient z systemem Windows mo�e pobra� z serwera. Plik zawieraj�cy �rodowisko JRE to IBM-Win32-JRE.exe. Na platformie Windows serwera Host On-Demand plik ten znajduje si� w nast�puj�cym katalogu:
<katalog_instalacyjny>\<katalog_publikowania>\JREInstall\IBM-Win32-JRE.exe
- Aby zainstalowa� �rodowisko JRE Java 2 w wersji 1.4 na platformie Windows, nale�y uruchomi� na niej powy�szy plik .EXE.
- Chocia� to �rodowisko JRE Java 2 w wersji 1.4 jest przeznaczone tylko dla platform Windows, powy�szy plik .EXE jest do��czany do ka�dej instalacji programu Host On-Demand w wersji 8.0, niezale�nie od tego, na jakiej platformie jest instalowany serwer Host On-Demand.

Wywo�ywanie programu keytool do utworzenia pary kluczy publiczny-prywatny.

Poni�ej przedstawiono przyk�ad wywo�ania programu keytool w celu utworzenia pary kluczy publiczny-prywatny. W poni�szym przyk�adzie parametry s� zapisywane w wielu wierszach w celu zwi�kszenia czytelno�ci. Przy wywo�ywaniu programu keytool nale�y wpisa� nazw� programu i jego parametry w jednym wierszu.

      keytool
      -genkey
      -keystore  f:\tm\keys\magazynkluczyjana
      -alias     kluczjana02
      -storepass haslokluczyjana
      -keypass   haslokluczyjana
      -dname "CN=Jan Kowalski, OU=Development, O=Standard Supplies Inc.,
             L=Miasto, S=Stan, C=USA"

Poszczeg�lne parametry maj� nast�puj�ce znaczenie:

Parametr:	Znaczenie:
-genkey	Informuje program keytool, �e ma zosta� utworzona para kluczy publiczny-prywatny.
-keystore	Okre�la �cie�k� i nazw� pliku magazynu kluczy, kt�ry ma zosta� utworzony (je�li jeszcze nie istnieje) lub dodany (je�li ju� istnieje). Magazyn kluczy to plik, kt�ry zawiera jedn� lub wi�cej par kluczy publiczny-prywatny.
-alias	Okre�la alias dla pary kluczy publiczny-prywatny. Alias jest �a�cuchem znak�w, kt�ry identyfikuje par� kluczy publiczny-prywatny w magazynie kluczy.
-storepass	Okre�la has�o wymagane do uzyskania dost�pu do magazynu kluczy.
-keypass	Okre�la has�o wymagane do dost�pu do pary kluczy publiczny-prywatny.
-dname	Okre�la nazw� wyr�niaj�c� certyfikatu powi�zanego z kluczem. Nale�y zauwa�y�, �e nazwa wyr�niaj�ca jest uj�ta w cudzys��w. Sze�� parametr�w w cudzys�owie ma nast�puj�ce znaczenie: CN - nazwa zwyk�a w�a�ciciela certyfikatu OU - jednostka organizacyjna w�a�ciciela certyfikatu O - organizacja, do kt�rej nale�y w�a�ciciel certyfikatu L - nazwa miejscowo�ci w�a�ciciela certyfikatu S - stan lub prowincja w�a�ciciela certyfikatu C - kraj w�a�ciciela certyfikatu

Pozycje z nast�puj�cej listy zawieraj� dodatkowe komentarze dla ka�dego parametru w powy�szym przyk�adowym wywo�aniu narz�dzia keytool.

-genkey
Program keytool jest narz�dziem uniwersalnym. Jest to opcja, kt�ra informuje program keytool, �e ma zosta� utworzona para kluczy publiczny-prywatny.
-keystore f:\tm\keys\magazynkluczyjana
W przeciwie�stwie do programu ssh-keygen (narz�dzie dost�pne na platformach typu Unix), kt�ry generuje oddzielne pliki dla klucza publicznego i klucza prywatnego, program keytool przechowuje obydwa klucze jako pojedynczy wpis w pliku nazywanym magazynem kluczy. Uruchamiaj�c wiele razy program keytool, mo�na doda� wiele wpis�w kluczy publiczny-prywatny do tego samego magazynu kluczy. W tym przypadku �cie�ka i nazwa pliku magazynu kluczy to f:\tm\keys\magazynkluczyjana.
-alias kluczjana02
Program keytool umo�liwia przechowywanie w magazynie kluczy wi�cej ni� jednej pary kluczy, dlatego wymaga on podania aliasu dla ka�dej nowej pary kluczy. Alias jest identyfikuj�cym �a�cuchem znak�w, na przyk�ad mojklucz lub kluczjana02, kt�ry pozwala rozr�ni� r�ne pary kluczy przechowywane w tym samym magazynie kluczy. Alias musi by� unikalny w obr�bie pojedynczego magazynu kluczy.
-storepass haslokluczyjana
Program keytool wymaga podania has�a do magazynu kluczy. W tym przypadku has�em jest haslokluczyjana..
Je�li magazyn kluczy jeszcze nie istnieje, program keytool utworzy magazyn kluczy i powi��e z nim to has�o (zaszyfrowane). Gdy u�ytkownik b�dzie uzyskiwa� dost�p do tego magazynu kluczy, niezale�nie od tego, czy w celu odczytu, czy zapisu, b�dzie musia� poda� has�o magazynu kluczy. Je�li u�ytkownik zapomni has�a magazynu kluczy, nie b�dzie m�g� go odtworzy�.

Podobnie program ssh-keygen (narz�dzie dost�pne na platformach typu Unix) pozwala poda� has�o, kt�re jest wymagane do uzyskania dost�pu do pliku klucza prywatnego.
-keypass haslokluczyjana
Program keytool wymaga r�wnie� podania has�a dla pojedynczego wpisu zawieraj�cego par� kluczy publiczny-prywatny. Oznacza to, �e nie tylko jest potrzebne has�o, aby otworzy� magazyn kluczy, ale wymagane jest r�wnie� has�o w celu uzyskania dost�pu do pojedynczego wpisu (zawieraj�cego par� kluczy publiczny-prywatny) w magazynie kluczy.
W razie potrzeby mo�na cz�ciowo to upro�ci�, u�ywaj�c tego samego has�a jako has�a magazynu kluczy i has�a klucza. W tym przyk�adzie has�o klucza jest takie samo jak has�o magazynu kluczy, haslokluczyjana.
-dname "CN=Jan Kowalski, OU=Development, O=Standard Supplies Inc., L=Miasto, S=Stan, C=USA"
Te informacje s� wymagane do utworzenia certyfikatu samopodpisanego. Program keytool opakowuje klucz publiczny w certyfikacie samopodpisanym X.509 w wersji 1.
Wprawdzie podanie tych informacji jest konieczne podczas tworzenia pary kluczy publiczny-prywatny za pomoc� programu keytool, jednak ten certyfikat nie jest u�ywany przez program Host On-Demand lub serwer SSH podczas uwierzytelniania klienta SSH przy u�yciu klucza publicznego.

Istnieje kilka innych opcji, kt�re s� u�ywane z opcj� -genkey. Jednak zwykle nie nale�y podawa� tych dodatkowych opcji. Je�li te opcje nie zostan� podane, program keytool u�yje warto�ci domy�lnej. W poni�szej tabeli przedstawiono dodatkowe opcje i warto�ci domy�lne, kt�re s� u�ywane, je�li te dodatkowe opcje nie zostan� podane.

Parametr:	Znaczenie (warto�� domy�lna):
-keyalg	Algorytm u�ywany do generowania pary kluczy publiczny-prywatny (DSA).
-sigalg	Algorytm u�ywany do podpisania certyfikatu (je�li domy�lnym algorytmem klucza jest DSA, domy�lnym algorytmem podpisywania certyfikatu jest SHA1withDSA).
-keysize	Wielko�� klucza publicznego i klucza prywatnego (1024 bity).
-storetype	Format magazynu kluczy (JKS, prawnie zastrze�ony format magazynu kluczy Sun Microsystems).
-validity	Liczba dni przed utrat� wa�no�ci certyfikatu samopodpisanego (180 dni). Poniewa� certyfikat samopodpisany nie jest u�ywany do uwierzytelniania przy u�yciu klucza publicznego SSH, okres wa�no�ci certyfikatu nie wp�ywa na sesj� programu Host On-Demand skonfigurowan� do u�ycia SSH z uwierzytelnianiem przy u�yciu klucza publicznego. Uwierzytelnianie przy u�yciu klucza publicznego b�dzie nadal dzia�a� bezpiecznie, nawet wtedy, gdy certyfikat samopodpisany utraci wa�no��.

Inne operacje, kt�re mo�na wykona� za pomoc� programu keytool

Aby zobaczy� kilka innych operacji, kt�re mo�na wykona� za pomoc� programu keytool, nale�y klikn�� tutaj.