Exemple : fichier de configuration Microsoft Certificate Store

Cet exemple de fichier vous explique comment créer un fichier de clés de serveur et un certificat racine de serveur à utiliser avec Rational DOORS, et comment définir Microsoft Certificate Store (MCS) pour valider le certificat du serveur. Le fichier d'exemple est suivi d'une panne des commandes et des paramètres.

Exemple de fichier

REM Create a server keystore file
gsk8capicmd -keydb -create -db server.kdb -pw ser123 -stash

REM Create a server root certificate in server.kdb, and add it to the MCS
gsk8capicmd -cert -create -db server.kdb -pw ser123 -label "IBMEDCA1" -dn "CN=IBMEDCA1"
gsk8capicmd -cert -extract -db server.kdb -pw ser123 -label "IBMEDCA1" -target temp1.arm
gsk8capicmd -cert -add -db GSK_MS_CERTIFICATE_STORE -label "IBMEDCA1" -file temp1.arm

REM Create and sign a server certificate
gsk8capicmd -certreq -create -db server.kdb -label IBMSV1 -dn "CN=IBMEDSERV,dc=ukednode1" -file temp2.arm
gsk8capicmd -cert -sign -db server.kdb -pw ser123 -label IBMEDCA1 -file temp2.arm -target temp3.arm
gsk8capicmd -cert -receive -file temp3.arm -db server.kdb -pw ser123

REM Extract the root certificate from the MCS and add it to the server kdb file
gsk8capicmd -cert -extract -db GSK_MS_CERTIFICATE_STORE -label "CN=Coy Root" -target temp4.arm
gsk8capicmd -cert -add -db server.kdb -pw ser123 -label "CN=Coy Root" -file temp4.arm

Création d'un fichier de clés de serveur

gsk8capicmd -keydb -create -db server.kdb -pw ser123 -stash
gsk8capicmd -keydb -create
La commande gsk8capicmd est un outil permettant de gérer les clés, les certificats et les demandes de certificats dans une base de données de clés. La syntaxe pour gsk8capicmd est : gsk8capicmd modificateurs objet action options. Dans cet exemple, -keydb est un objet de base de données de clés, -create est l'action à entreprendre et -db est l'option. La commande permet de créer une base de données de clés.
-db server.kdb -pw ser123
La base de données de clés est appelée server.kdb et comporte un mot de passe (-pwd). Dans cet exemple, le mot de passe est ser123.
-stash
Dissimulez le mot de passe de la base de données de clés après sa création. Un fichier de dissimulation est utilisé de manière automatique pour fournir un mot de passe. Lorsque vous accédez à une base de données de clés, le système commence par vérifier l'existence d'un fichier de dissimulation. Le cas échéant, le contenu du fichier est déchiffré et utilisé comme entrée pour le mot de passe. Si la balise -stash est spécifiée lors de l'action de création, le mot de passe est dissimulé dans un fichier nommé comme suit : nom_bdd_clés.sth.

Création d'un certificat racine dans le fichier de clés et ajout à MCS

Le certificat racine permet de créer un certificat de serveur. Etant donné que le certificat racine se trouve dans MCS, les clients Rational DOORS peuvent valider le certificat du serveur à l'aide de MCS.
gsk8capicmd -cert -create -db server.kdb -pw ser123 -label "IBMEDCA1" -dn "CN=IBMEDCA1"
-cert -create
Il s'agit de la commande create certificate (action -create et objet -cert).
-label "IBMEDCA1"
Un libellé est associé au certificat. Dans cet exemple, le nom est "IBMEDCA1". Le libellé permet à un utilisateur d'identifier le certificat de manière unique.
-dn "CN=IBMEDCA1"
Le nom distinctif -dn unique identifie le certificat. L'entrée doit être une chaîne entre guillemets au format suivant (seul le nom usuel est obligatoire) :
  • CN=nom usuel
  • O=organisation
  • OU=unité organisationnelle
  • L=emplacement
  • ST=état, province
  • C=pays
  • DC=composant de domaine
  • EMAIL=adresse électronique
Dans cet exemple, le nom distinctif est "CN=IBMEDCA1".
gsk8capicmd -cert -extract -db server.kdb -pw ser123 -label "IBMEDCA1" -target temp1.arm
-cert -extract -label "IBMEDCA1"
Il s'agit de la commande extract certificate (action -extract et objet -cert). La commande permet d'extraire les données du certificat nommé (-label"IBMEDCA1") de la base de données de clés et de les placer dans un fichier.
-target temp1.arm
Fichier dans lequel doit être extrait le certificat.
gsk8capicmd -cert -add -db GSK_MS_CERTIFICATE_STORE -label "IBMEDCA1" -file temp1.arm
-cert -add -db GSK_MS_CERTIFICATE_STORE
Il s'agit de la commande add certificate (action -add et objet -cert). La commande permet d'ajouter le certificat extrait (-label"IBMEDCA1" -file temp1.arm) à MCS (-db GSK_MS_CERTIFICATE_STORE).

Création d'un certificat de serveur signé avec le certificat racine

Le certificat du serveur est stocké dans le magasin de clés. Dans l'exemple, le nom distinctif est écrit pour un serveur s'exécutant sur un ordinateur appelé IBMEDSERV.
gsk8capicmd -certreq -create -db server.kdb -label IBMSV1 -dn "CN=IBMEDSERV,dc=ukednode1" -file temp2.arm
-certreq -create
Il s'agit de la commande create certificate request (action -create et objet -certreq).
-label IBMSV1
Un libellé est associé au certificat. Dans cet exemple, le nom est IBMSV1. Le libellé permet à un utilisateur d'identifier le certificat de manière unique. IBMSV1 est le nom de certificat par défaut utilisé par le serveur Rational DOORS si aucun nom n'est spécifié au démarrage du serveur.
-dn "CN=IBMEDSERV,dc=ukednode1"
Le nom distinctif -dn unique identifie le certificat. Dans cet exemple, le nom distinctif est "CN=IBMEDSERV,dc=ukednode1".
Remarque : La partie IBMEDSERV du nom distinctif doit correspondre au nom du serveur ou à la valeur utilisée pour -serverhostname si cette option est utilisée au démarrage du serveur.
-file temp2.arm
Nom du fichier dans lequel la demande de certificat est extraite lors du processus de création de la demande de certificat.
gsk8capicmd -cert -sign -db server.kdb -pw ser123 -label IBMEDCA1 -file temp2.arm -target temp3.arm
-cert -sign
Il s'agit de la commande sign certificate (action -sign et objet -cert). La commande autorise la signature d'une demande de certificat par un certificat existant stocké dans une base de données de clés. La commande accepte une demande de certificat dans un format de fichier spécifié et les détails du certificat contenant la clé privée à utiliser lors du processus de signature.
-file temp2.arm
Nom et emplacement de la demande de certificat à signer.
-target temp3.arm
Nom du fichier dans lequel sera placé le certificat signé.
gsk8capicmd -cert -receive -file temp3.arm -db server.kdb -pw ser123
-cert -receive
Il s'agit de la commande receive certificate (action -receive et objet -cert). La commande stocke un certificat requis pour signer une demande de certificat. Nom de fichier du certificat à recevoir.
-file temp3.arm
Nom de fichier du certificat à recevoir.

Copie du certificat racine pour les certificats de MCS et ajout au fichier de clés

Cette partie de l'exemple permet au serveur de valider les certificats.
gsk8capicmd -cert -extract -db GSK_MS_CERTIFICATE_STORE -label "CN=Coy Root" -target temp4.arm
-cert -extract -db GSK_MS_CERTIFICATE_STORE -label -"CN=Coy Root" target temp4.arm
Il s'agit de la commande extract certificate (action -extract et objet -cert). La commande permet d'extraire les données du certificat nommé (-label"CN=Coy Root") de la base de données MCS (-db GSK_MS_CERTIFICATE_STORE) et de les placer dans un fichier (temp4.arm).
gsk8capicmd -cert -add -db server.kdb -pw ser123 -label "CN=Coy Root" -file temp4.arm
-cert -add -label "CN=Coy Root" -file temp4.arm
Il s'agit de la commande add certificate (action -add et objet -cert). La commande permet d'ajouter un certificat au fichier de clés nommé.
Remarque : Dans ces commandes, le nom du certificat racine est CN=Coy Root. Le certificat racine que vous utilisez a un nom plus long. De même, si votre organisation utilise plusieurs certificats racine, vous devez extraire et ajouter chaque certificat racine individuellement. Par exemple, un certificat racine peut s'appliquer aux cartes utilisées par 500 utilisateurs et un autre certificat racine peut s'appliquer aux 2 000 autres utilisateurs. Dans ce cas, vous devez ajouter ces deux certificats racine server.kdb.

Commentaires en retour