Pour pouvoir configurer IBM® HTTP Server de manière à ce qu'il accepte des connexions TLS (également appelées SSL), vous devez créer un certificat pour le serveur Web. Un certificat SSL authentifie l'identité des serveurs Web auprès des clients.
L'outil principal de création de certificats avec IBM HTTP Server est iKeyman, qui est un outil de gestion de clés Java purement graphique.
Sur les systèmes d'exploitation z/OS, l'ensemble du processus de gestion des certificats s'effectue par le biais de l'outil de gestion de certificats gskkyman natif.
Sous Microsoft Windows, vous pouvez lancer iKeyman à partir du menu Démarrer. Sur les autres plateformes, le lancement s'effectue à partir du répertoire bin/ d'IBM HTTP Server, comme pour tous les fichiers exécutables IBM HTTP Server.
Des outils de gestion de certificats à partir de la ligne de commande supplémentaires Java et natifs sont également disponibles dans le répertoire bin/ d'IBM HTTP Server, gskcmd (également appelé iKeycmd) et gskcapicmd (également appelé gsk8capicmd). Ces deux outils ont la même syntaxe et contiennent des informations imbriquées détaillées relatives à la syntaxe.
Des scénarios exemple détaillés relatifs à la gestion des certificats sont fournis dans la documentation complète d'iKeyman (systèmes d'exploitation répartis) et gskkyman (systèmes d'exploitation z/OS).
Des scénarios exemple détaillés relatifs à la gestion des certificats sont fournis dans la documentation complète d'iKeyman (systèmes d'exploitation répartis) et gskkyman (systèmes d'exploitation z/OS).
Consultez les exemples suivants de tâches communes réalisées à partir de la ligne de commande. Pour afficher la syntaxe complète, entrez les commandes suivantes associées aux deux premiers paramètres seulement, ou consultez les informations relatives à la commande voulue dans la documentation. Le tableau suivant
répertorie les opérations pouvant être exécutées sur des certificats de CA, l'objet AdminTask
pouvant être utilisé pour exécuter cette opération et indique comment accéder au certificat à
partir de la console :
Création d'un fichier de clés CMS
Lors de la création d'un fichier de clés devant être utilisé avec IBM HTTP Server, spécifiez l'option de stockage du mot de passe dans un fichier, quel que soit l'outil utilisé.
# Syntax: <ihsroot>/bin/gskcapicmd -keydb -create -db <database> -pw <password> -stash
<ihsroot>/bin/gskcapicmd -keydb -create -db /opt/IBM/HTTPServer/key.kdb -pw mot_de_passe -stash
Remplissage d'un fichier de clés avec un ensemble de certificats de CA digne de confiance par défaut
Par défaut, les nouveaux fichiers de clés ne contiennent aucun certificat de CA digne de confiance.
# L'opération de remplissage est prise en charge avec Ikeyman et gskcmd (ikeycmd) uniquement et pas avec gskcapicmd.
# Syntax: <ihsroot>/bin/gskcmd -cert -populate -db <base_de_données> -pw <mot_de_passe>
<ihsroot>/bin/gskcmd -cert -populate -db /opt/IBM/HTTPServer/key.kdb -pw mot_de_passe
Ajout de certificats de CA supplémentaires (facultatif)
# Syntax: <ihsroot>/bin/gskcapicmd -cert -add -db <base_de_données> -pw <mot_de_passe>-file <inputcert> -label <intitulé>
<ihsroot>/bin/gskcapicmd -cert -add -db /opt/IBM/HTTPServer/key.kdb -pw mot_de_passe -file cacert.cer -label "certificat de l'autorité de certification du site example.com"
Création d'un certificat autosigné à des fins de test (facultatif)
#Syntax: <ihsroot>/bin/gskcapicmd -cert -create -db <database> -pw <password> \
-dn <nom_distinctif> -label <intitulé> -size <taille>
<ihsroot>/bin/gskcapicmd -cert -create -db /opt/IBM/HTTPServer/key.kdb -pw mot_de_passe \
-dn "cn=www.example.com" -label "example.com" -size 2048
Crée une demande de certificat
La plupart des zones et options sont facultatives, y compris la sélection d'un algorithme de signature (cette signature est utilisée uniquement par l'autorité de certification et non lors de l'exécution). Vous pouvez également spécifier d'autres noms d'hôte pour le serveur Web.
# Syntaxe : <ihsroot>/bin/gskcapicmd -certreq -create -db <base_de_données> -pw <mot_de_passe> \
-dn <nom_distinctif> -label <intitulé> -size <taille> -file <nom_du_fichier_de_sortie>
<ihsroot>/bin/gskcapicmd -certreq -create -db/opt/IBM/HTTPServer/key.kdb -pw mot_de_passe \
-dn "cn=www.example.com" -label www.example.com -size 2048 -file example.csr
Soumission de la demande de certificat à une autorité de certification digne de confiance
Cette tâche n'inclut pas l'utilisation d'outils locaux. Généralement, la demande de certificat (example.csr) est envoyée dans un message électronique ou téléchargé vers une autorité de certification digne de confiance.
Réception du certificat émis
La réception d'un certificat associe un certificat signé émis par l'autorité de certification à la clé privée (certificat personnel) dans le fichier KDB. Un certificat ne peut être reçu que dans le fichier KDB qui a généré la demande de certificat.
# Syntax: <ihsroot>/bin/gskcapicmd -cert -receive -db db <database> -pw <password> -file <inputcertificate>
<ihsroot>/bin/gskcapicmd -cert -receive -db/opt/IBM/HTTPServer/key.kdb -pw mot_de_passe -file certificate.arm
Affichage de la liste des certificats dans un fichier de clés.
# Syntax <ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password>
<ihsroot>/bin/gskcapicmd -cert -list -db /opt/IBM/HTTPServer/key.kdb -pw mot_de_passe
Importation des certificats depuis JKS ou PKCS12 dans un fichier de clés utilisable par IBM HTTP Server (facultatif)
Au lieu de créer une clé privée (certificat personnel), vous pouvez importer une clé privé et un certificat existants créés par un autre outil dans un fichier de clés existant.
# Syntaxe : <ihsroot>/bin/gskcapicmd -cert -import -db <inputp12file> -pw <pkcs12password>\
-target <existingkdbfile> -target_pw <existingkdbpassword>
<ihsroot>/bin/gskcapicmd -cert -import -db other.p12 -pw pkcs12password \
-target key.kdb -target_pw password
Affichage des données d'expiration des certificats (facultatif)
L'indicateur -expiry permet d'afficher les certificats considérés comme arrivant à expiration dans les "nbre de jours" à venir. Utilisez "0" pour afficher les certificats ayant déjà expiré ou une valeur élevée pour afficher les dates d'expiration de tous les certificats.
# Syntax:<ihsroot>/bin/gskcapicmd -cert -list -db <database> -pw <password> -expiry <numdays>
<ihsroot>/bin/gskcapicmd -cert -list -db key.kdb -password -expiry 365