添加证书链

您可以通过使用第三方提供的现成证书链和私钥，为 Db2 服务器配置TLS支持。运行 IBM 命令 Global Security Kit (GSKit)gskcapicmd_64 以导入证书链。

单个文件中的根证书，中间证书和服务器证书

如果认证中心在单个 Base64 编码文件中提供了根证书，任何中间证书以及服务器证书和专用密钥，请使用以下命令来导入该文件:

gsk8capicmd_64 -cert -add -db server.p12 -stashed -file certificates.pem

其中， <certificates.pem> 是认证中心提供的 Base64-encoded 文件的名称。

注: 证书链中的根证书和中间证书必须首先出现 (如果存在)。专用密钥必须在其关联的证书之后出现。

如果认证中心在 PKCS12 编码文件中提供根证书和任何中间证书，请运行以下命令以导入该文件:

gsk8capicmd_64 -cert -import -target server.p12 -target_stashed -db certificates.p12 -pw <password>

其中， <certificates.p12> 是认证中心提供的 PKCS12 编码文件的名称。

要重命名服务器证书，请包含 -cert -list 选项以确定证书标签。包含 -cert -rename 选项以分配新标签。

gsk8capicmd_64 -cert -list -db server.p12 -stashed

gsk8capicmd_64 -cert -rename -db server.p12 -stashed -label <existing label> -new_label <new label>

独立文件中的根证书，中间证书和服务器证书

如果 CA 在单独的 Base64 编码文件中提供根证书，中间证书和服务器证书，请运行以下命令:

gsk8capicmd_64 -cert -add -db server.p12 -stashed -file RootCA.pem -label MyRootCA

gsk8capicmd_64 -cert -add -db server.p12 -stashed -file IntermediateCA.pem -label MyIntermediateCA

gsk8capicmd_64 -cert -add -db server.p12 -stashed -file ServerCert.pem -label MyServerCert

注: 并非所有认证中心都提供中间证书。

如果服务器证书和专用密钥位于不同的文件中，那么在运行 -cert -add之前，必须将它们并置到一个文件中。

注：

如果专用密钥不是 Base64 格式或已加密，那么在并置之前必须将其转换为纯文本 Base64-encoded 专用密钥:

openssl rsa -in server.key -text > server_key.pem

后续操作

当您将证书链添加到密钥库后，就可以为 Db2配置TLS了。