IBM HTTP Server証明書管理

背景情報およびツール

証明書を作成するための主なツールIBM HTTP ServerはiKeymanグラフィカルな Pure Java™ キー管理ツールです。

の上z/OS®オペレーティングシステムでは、すべての証明書管理はネイティブのgskkyman証明書管理ツール。

の上Microsoft Windows、始めることができますiKeymanスタートメニューを使用します。 他のプラットフォームでは、 IBM HTTP Serverbin/ディレクトリ、すべてと同様にIBM HTTP Server実行可能ファイル。

ネイティブおよびJavaの補足的なコマンドライン証明書管理ツールも提供されています。 IBM HTTP Serverbin/ディレクトリとしてgskcmd（としても知られているiKeycmd） そしてgskcapicmd（としても知られているgsk8capicmd）。 両方とも類似した構文が使われ、広範な組み込み 使用情報が含まれています。

証明書の制限IBM HTTP Server

証明書管理ツールの 詳細な資料

システムの設定

z/OS の証明書管理タスク

証明書管理の詳細なサンプルシナリオは、以下の完全なドキュメントに記載されています。iKeyman(分散オペレーティングシステム) および gskkyman (z/OSオペレーティングシステム）。

証明書管理 タスク

証明書管理の詳細なサンプルシナリオは、以下の完全なドキュメントに記載されています。iKeyman(分散オペレーティングシステム) および gskkyman (z/OSオペレーティングシステム）。

以下の共通タスクのコマンド行の例を参照してください。 最初の 2 つのパラメーターのみを使い以下のコマンドを入力することで 使用構文全体を表示させることができます。または、コマンドの包括的な資料を参照する こともできます。 以下の表では、CA 証明書に対して行うことのできる操作、その操作を実行するために使用することができる AdminTask オブジェクト、およびコンソール上で証明書にナビゲートする方法をリストしています。

CMS 鍵ストアを 作成します。

使用するキーストアを作成する場合IBM HTTP Server、使用するツールに関係なく、パスワードをファイルに保存するオプションを指定します。

# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash 
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash

鍵ストアに一連のデフォルト・トラステッド CA 証明書 を格納します。

デフォルトでは、新しい鍵ストアにはトラステッド CA 証明書 が格納されていません。

# The populate operation is supported with Ikeyman and gskcmd (ikeycmd) only, not with gskcapicmd. 
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password> 
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password

必要な場合は、さらに CA 証明書 を追加します (オプション)。

# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname> 
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"   

テスト目的で、自己署名証明書を 作成します (オプション)。

#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password>  \
     -dn <distinguished name> -label <labelname> -size <size> 
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password \
     -dn "cn=www.example.com" -label "example.com" -size 2048

証明書要求を作成します。

署名アルゴリズムの選択を含め、ほとんどのフィールドとオプションはオプションです (この署名は証明機関によってのみ使用され、実行時には使用されません)。 Web サーバーの他のホスト名を 指定することもできます。

# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password> \
     -dn <distinguished name> -label <labelname> -size  <size> -file <outputfilename> 
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password \
   -dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr 

認証要求を信頼された認証局に サブミットします。

このタスクでは、ローカル・ツールを使用 しません。 通常、認証要求 (example.csr) は、E メールで送信されるか、信頼された認証局にアップロードされます。

発行された証明書を受信します。

証明書の受信により、CA から の署名証明書と秘密鍵 (個人証明書) が KDB ファイル内で関連付け られます。 証明書は、認証要求を生成した KDB にのみ 受信することができます。

# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate> 
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm

鍵ストアにある証明書をリストします。

# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> 
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password 

JKSから証明書をインポートするか、 PKCS12使用可能なキーファイルにIBM HTTP Server（オプション）

秘密鍵 (個人証明書) を新しく作成する代わりに、 別のツールで作成された既存の秘密鍵および証明書を既存の鍵ファイル にインポートすることが できます。

# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>\
      -target <existingkdbfile>  -target_pw <existingkdbpassword> 
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password  \
     -target key.kdb -target_pw password 

証明書の有効期限 を表示します (オプション)。

-expiry フラグにより、numdays の日数で今後有効期限が切れる証明書が表示されます。 既に有効期限が切れた証明書を表示するには「0」を指定し、すべての証明書の有効期限を表示するには大きい値を指定します。

# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays> 
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365