[AIX、Linux 和 Windows]

AIX®, Linux, and Windows 上创建密钥存储库

使用此步骤创建新的密钥存储库。

您可以使用 runmqakm (GSKCapiCmd) 命令创建一个新的、空的密钥存储库。 [MQ 9.4.06月 2024][MQ 9.4.06月 2024]如果使用 runmqktool (keytool) 命令,则会在发出创建或导入证书的命令时创建密钥存储库。

[MQ 9.4.06月 2024][MQ 9.4.06月 2024]注意:WindowsLinux® 上,如果密钥存储库与 TLS AMQP 通道一起使用,则必须使用文件后缀为 .p12.pkcs12 的 PKCS #12 密钥存储库。

使用 runmqakm

使用 runmqakm 命令创建 CMS 或 PKCS #12 密钥存储库。

发出以下命令,使用 runmqakm 命令创建密钥存储库:
runmqakm -keydb -create -db filename -pw password -type type
         -stash -fips -strong
其中:
-db 文件名
指定密钥存储库的完全限定文件名。
-pw 密码
指定密钥存储库的密码。
-类型 类型
[MQ 9.4.06月 2024][MQ 9.4.06月 2024]指定密钥存储库的类型。 对于 IBM® MQ 使用的键存储库,可能的值是
  • pkcs12
  • [不推荐]内容管理系统
    注意:IBM MQ 9.4.0 开始,CMS 密钥存储库和存储文件已不再用于 IBM MQ Java 应用程序,并且不支持使用 SSL/TLS 的 AMQP 和 MQTT 通道。
-stash
可选。 指定此选项可将密钥存储库密码存储在储藏文件中。 如果使用 IBM MQ 密码保护系统对密码进行加密,则无需将密码存储在存储文件中。
-fips
指定命令以 FIPS 模式运行。 在 FIPS 模式下, IBM Crypto for C (ICC) 组件使用经过 FIPS 140-2 验证的算法。 如果 ICC 组件没有在 FIPS 模式下初始化, runmqakm 命令就会失败。
-强
检查输入的密码是否满足密码强度的最低要求。 密码的最低要求如下:
  • 密码长度至少为 14 个字符。
  • 密码必须至少包含一个小写字符、一个大写字符和一个数字或特殊字符。 特殊字符包括星号 (*)、美元符号 ($)、数字符号 (#) 和百分号 (%)。空格也属于特殊字符。
  • 每个字符在密码中最多出现三次。
  • 密码中最多只能有两个连续字符相同。
  • 所有字符均为标准 ASCII 可打印字符集,范围在 0x20 - 0x7E 之间。
有关这些参数和可指定值的更多信息,请参阅 runmqakm -keydb
[MQ 9.4.06月 2024][MQ 9.4.06月 2024]

使用 runmqktool

使用 runmqktool 命令创建 PKCS #12、JKS 或 JCEKS 密钥存储库。

runmqktool 命令无法创建新的、空的密钥存储库。 当使用该命令完成以下操作之一时,就会创建一个新的密钥存储库:
  • 创建证书
  • 将证书添加到密钥存储库。
  • 将证书导入密钥存储库。
如果命令中指定的密钥存储库不存在,则会在命令运行时创建。
例如,下面的命令创建了一个 JKS 密钥库,其中包含一个新的自签名证书:
runmqktool -genkeypair -keystore /var/mqm/ssl/keystore.jks -storetype jks -storepass password
           -dname "CN=mycert,OU=MQ,O=IBM" -alias mycert -keyalg RSA

请注意,runmqktool命令允许更改密钥存储库密码,而与保护单个私钥和秘钥的密码无关。 例如IBM MQ,密钥存储库密码和保护密钥存储库中所有密钥的密码必须相同。 如果使用runmqktool命令更改密钥存储库密码,请确保指定-all参数,以便同时更改密钥密码。

有关创建新密钥存储库的runmqktool命令的更多信息,请参阅在AIX、Linux 和 Windows 上创建自签名个人证书在AIX、Linux 和 Windows 上将 CA 证书或受信任证书的公开部分添加到密钥存储库中在AIX、Linux 和 Windows 系统上将个人证书导入密钥存储库