IBM HTTP Server証明書管理
設定する前にIBM® HTTP ServerTLS (SSL とも呼ばれる) 接続を受け入れるには、Web サーバーの証明書を作成する必要があります。 SSL 証明書は、クライアント に対して Web サーバー ID の認証を行います。
背景情報およびツール
証明書を作成するための主なツールIBM HTTP ServerはiKeymanグラフィカルな Pure Java™ キー管理ツールです。
の上z/OS®オペレーティングシステムでは、すべての証明書管理はネイティブのgskkyman証明書管理ツール。
の上Microsoft Windows、始めることができますiKeymanスタートメニューを使用します。 他のプラットフォームでは、 IBM HTTP Serverbin/ディレクトリ、すべてと同様にIBM HTTP Server実行可能ファイル。
ネイティブおよびJavaの補足的なコマンドライン証明書管理ツールも提供されています。 IBM HTTP Serverbin/ディレクトリとしてgskcmd(としても知られているiKeycmd) そしてgskcapicmd(としても知られているgsk8capicmd)。 両方とも類似した構文が使われ、広範な組み込み 使用情報が含まれています。
証明書の制限IBM HTTP Server
- IBM HTTP ServerRivest-Shamir-Adleman (RSA) および楕円曲線デジタル署名アルゴリズム (ECDSA) 証明書をサポートします。 Digital Signature Algorithm (DSA) 鍵証明書はサポートされていません。
- のgskkymanユーティリティオンz/OSそしてその
bin/gskcapicmd
ユーティリティは、ECDSA キーを使用した証明書および証明書署名要求の作成がサポートされている唯一の証明書管理ツールです。 のiKeymanそしてbin/gskcmd
ユーティリティにはECDSA機能がありますが、その機能は相互運用性がありません。 IBM HTTP Server。
- のgskkymanユーティリティオンz/OSそしてその
- 実行時に最大4096ビットの鍵長を持つ証明書がサポートされます。 IBM HTTP Server。
- Ikeyman および gskcmd (ikeycmd) は、最大 4096 ビットの長さの証明書の作成をサポートします。 gskcapicmd コマンド は、最大 4096 ビットの長さの証明書の作成をサポートします。
- 各インスタンスで複数のキーデータベースファイルを使用できます。 IBM HTTP Serverただし、TLS 対応の仮想ホストごとに、複数の個人証明書を含めることができる証明書は 1 つだけです。
証明書管理ツールの 詳細な資料
- 完全な文書化gskkymanは、暗号化サービス PKI サービス ガイドおよびリファレンス ドキュメント( SA22-7693 ) の中にz/OSインターネットライブラリ。
- iKeyman および gskcmd (Ikeycmd) の詳細な資料については、「iKeyman v8 Users Guide」をご利用ください。
- 完全なドキュメントgskcapicmd(gsk8capicmdネイティブのコマンドライン証明書管理ツールである()は、 IBM HTTP Serverライブラリページ。
システムの設定
- 以前のリリースとは異なり、 IBM HTTP Server移動したり変更したりしないでくださいjava/jre/lib/ext/gskikm.jarファイル。
- オプションで、無制限 JCE ポリシー・ファイル を DeveloperWorks からインストールし、iKeyman および gskcmd (ikeycmd) で 無制限の強度暗号化を使用します。 このステップは、多くの場合、PKCS12 鍵ストアを操作するために 必要になります。
z/OS の証明書管理タスク
証明書管理の詳細なサンプルシナリオは、以下の完全なドキュメントに記載されています。iKeyman(分散オペレーティングシステム) および gskkyman (z/OSオペレーティングシステム)。
証明書管理 タスク
証明書管理の詳細なサンプルシナリオは、以下の完全なドキュメントに記載されています。iKeyman(分散オペレーティングシステム) および gskkyman (z/OSオペレーティングシステム)。
以下の共通タスクのコマンド行の例を参照してください。 最初の 2 つのパラメーターのみを使い以下のコマンドを入力することで 使用構文全体を表示させることができます。または、コマンドの包括的な資料を参照する こともできます。 以下の表では、CA 証明書に対して行うことのできる操作、その操作を実行するために使用することができる AdminTask オブジェクト、およびコンソール上で証明書にナビゲートする方法をリストしています。
- CMS 鍵ストアを 作成します。
使用するキーストアを作成する場合IBM HTTP Server、使用するツールに関係なく、パスワードをファイルに保存するオプションを指定します。
# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash <ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw password -stash
- 鍵ストアに一連のデフォルト・トラステッド CA 証明書 を格納します。
デフォルトでは、新しい鍵ストアにはトラステッド CA 証明書 が格納されていません。
# The populate operation is supported with Ikeyman and gskcmd (ikeycmd) only, not with gskcapicmd. # Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <database> -pw <password> <ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw password
- 必要な場合は、さらに CA 証明書 を追加します (オプション)。
# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <database> -pw <password >-file <inputcert> -label <labelname> <ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw password -file cacert.cer -label "CA certificate from example.com"
- テスト目的で、自己署名証明書を 作成します (オプション)。
#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password> \ -dn <distinguished name> -label <labelname> -size <size> <ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw password \ -dn "cn=www.example.com" -label "example.com" -size 2048
- 証明書要求を作成します。
署名アルゴリズムの選択を含め、ほとんどのフィールドとオプションはオプションです (この署名は証明機関によってのみ使用され、実行時には使用されません)。 Web サーバーの他のホスト名を 指定することもできます。
# Syntax: <ihsroot>/bin/gskcapicmd -certreq -create -db <database> -pw <password> \ -dn <distinguished name> -label <labelname> -size <size> -file <outputfilename> <ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw password \ -dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr
- 認証要求を信頼された認証局に サブミットします。
このタスクでは、ローカル・ツールを使用 しません。 通常、認証要求 (example.csr) は、E メールで送信されるか、信頼された認証局にアップロードされます。
- 発行された証明書を受信します。
証明書の受信により、CA から の署名証明書と秘密鍵 (個人証明書) が KDB ファイル内で関連付け られます。 証明書は、認証要求を生成した KDB にのみ 受信することができます。
# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate> <ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw password -file certificate.arm
- 鍵ストアにある証明書をリストします。
# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> <ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw password
- JKSから証明書をインポートするか、 PKCS12使用可能なキーファイルにIBM HTTP Server(オプション)
秘密鍵 (個人証明書) を新しく作成する代わりに、 別のツールで作成された既存の秘密鍵および証明書を既存の鍵ファイル にインポートすることが できます。
# Syntax: <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>\ -target <existingkdbfile> -target_pw <existingkdbpassword> <ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password \ -target key.kdb -target_pw password
- 証明書の有効期限 を表示します (オプション)。
-expiry
フラグにより、numdays
の日数で今後有効期限が切れる証明書が表示されます。 既に有効期限が切れた証明書を表示するには「0
」を指定し、すべての証明書の有効期限を表示するには大きい値を指定します。# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays> <ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365