使用 Key Management Utility
這一節提供規劃、準備和使用 Key Management Utility (IKEYMAN) 的相關資訊。 這一節的結尾有相關主題的鏈結。
- 規劃使用 Key Management Utility
- 檢視安全配置範例
- 設定系統環境
- 使用 Key Management Utility 圖形使用者介面
- 啟動 Key Management Utility
- 使用 Key Management Utility 指令行介面
- 參照使用者介面作業
- 使用 Key Management Utility 將金鑰儲存在 PKCS11 裝置中
- 在 Linux for S/390 作業系統中使用 Key Management Utility 指令行介面
- 檢視 Key Management Utility 指令行語法
- 檢視 Key Management Utility 指令行參數
- 檢視 Key Management Utility 指令行選項
- 使用指令行呼叫
- 處理使用者內容檔
- 尋找相關資訊
規劃使用 Key Management Utility
如果要擁有安全的網路連線,請建立安全網路通信的金鑰, 以及接收伺服器中指定為具公信力的 CA 之憑證管理中心 (CA) 所提供之憑證。 請利用 IKEYMAN 來建立金鑰資料庫、公開和私密金鑰組及憑證要求。 如果您是自己的 CA,您可以利用 IKEYMAN 來建立自行簽章的憑證。 如果您在專用 Web 網路中充當自己的 CA,您可以選擇使用伺服器 CA 公用程式來產生及發出已簽章的憑證給專用網路中的從屬站及伺服器。
在建立和管理公開和私密金鑰的相關配置工作上,請使用 IKEYMAN。 您不能對更新伺服器配置檔 httpd.conf 的配置選項使用 IKEYMAN。 如果是更新伺服器配置檔的選項,請利用 IBM 管理伺服器。
Linux for S/390 使用者: 請使用 IKEYCMD 指令行介面來執行類似於 IKEYCMD 的功能。
檢視安全配置範例
本節提供有關您用 IBM Key Management Utility (IKEYMAN) 來執行作業的詳細資訊。這項資訊不解釋在需要更新伺服器配置檔的安全選項上,如何進行配置安全選項的工作。
設定系統環境
IKEYMAN GUI 以 Java 為基礎,必須有 Java 平台專用的 IBM Developer Kit 或 Java Runtime Environment (JRE) 才能執行。 請確定您有 IKEYMAN 支援所需要的 Developer Kit V1.3 層次或以上。
在 Windows 和 Solaris 作業系統中,安裝在 SSL 元件中的 GSkit 程式庫含有 JRE。 這些平台沒有其他環境設定需求。 如果要在 AIX、HP 或 Linux 作業系統中執行,或在 Solaris 作業系統中使用另一個 Java 平台專用的 IBM Developer Kit, 請利用下列準則來設定您的系統環境:
- 設定 Java 平台專用的 IBM Developer Kit 的變數。 這些變數會隨著版本而不同。 您可以閱讀 Developer Kit 所包含的文件來驗證這些變數。
- 如果是 Java 平台專用 IBM Developer Kit 第 1.1.x 版,請設定 JAVA_HOME 變數:
EXPORT JAVA_HOME=the IBM Developer Kit for the Java platform home directory full path name - 如果是 Java 平台專用 IBM Developer Kit 第 1.3.x 版,請設定 PATH 變數:
EXPORT PATH = <the IBM Developer Kit for the Java platform home directory full path name> /jre/sh:<the IBM Developer Kit for the Java platform home directory full path name>/sh:$PATH
- 在非 UNIX 平台中:如果您需要從任何目錄來執行 IKEYMAN 的能力,請在 PATH 環境變數中加入 IKEYMAN 的安裝路徑:
EXPORT PATH=$IKEYMAN_HOME/bin:$PATH
- 在 UNIX 平台中:執行 <IHS install root>/bin/ikeyman 來呼叫 IKEYMAN GUI。 您不能從任何目錄中呼叫 IKEYMAN,因為呼叫 IKEYMAN GUI 的 IKEYMAN Script 已不在 /usr/bin 目錄中。
Linux for S/390 使用者:請參閱 使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資料。
- 將 PATH 設為 Java 或 JRE 執行檔所在的位置:
EXPORT PATH=/opt/IBMJava/bin:$PATH
- 設定下列 CLASSPATH 環境變數:
EXPORT CLASSPATH=/usr/local/ibm/gsk/classes/cfwk.zip:/usr/local/IBM/ gsk/classes/gsk4cls.jar:$CLASSPATH
完成之後,應該可以從任何目錄來執行 IKEYCMD。 如果要執行 IKEYCMD 指令,請利用下列語法:
java com.ibm.gsk.ikeyman.ikeycmd <command>
您可以根據您是在使用 JRE 執行檔或 Java 平台專用的 IBM Developer Kit,將 java 改成 jre。
範例:jre com.ibm.gsk.ikeyman.ikeycmd <command>
每個 IKEYCMD(除了建立資料庫)都要求必須指定金鑰資料庫及其密碼,因為每個指令都會開啟資料庫。 請參閱使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資訊。
使用 Key Management Utility 圖形使用者介面
下節說明如何開始使用 IKEYMAN 或 IKEYCMD 指令行介面。
啟動 Key Management Utility
如果要啟動 IKEYMAN 圖形使用者介面:
|
在指令行中輸入 <IHS root>/bin/ikeyman, 或切換至 <IHS root>/bin 目錄,在指令行中輸入 ikeyman。 |
|
|
移至啟動使用者介面,按一下啟動 Key Management Utility。 |
如果您啟動 IKEYMAN 來建立新的金鑰資料庫檔案,公用程式會將檔案儲存在啟動 IKEYMAN 的目錄中。
使用 Key Management Utility 指令行介面
如果要有安全的網路連線,請建立安全網路通信的金鑰, 以及接收伺服器中指定為具公信力的 CA 之憑證管理中心 (CA) 所提供之憑證。 請使用 IKEYMAN(或在 Linux for S/390 作業系統中使用 IKEYCMD)來建立金鑰資料庫檔、公開和私密金鑰組及憑證要求。 在收到 CA 簽章的憑證之後,請利用 IKEYMAN(或在 Linux for S/390 作業系統中使用 IKEYCMD),將憑證接收到您在其中建立原始憑證要求的金鑰資料庫中。
這一節提供 IKEYMAN 和 IKEYCMD 工作的快速參照以及一般工作說明。
參照使用者介面作業
以下彙總 IKEYMAN 使用者介面和 IKEYCMD 指令行介面作業:
| IKEYMAN 與 IKEYCMD 作業 | 相關指示請移至: |
| 建立新的金鑰資料庫,並指定資料庫密碼 |
|
| 建立新的金鑰組及憑證要求 |
|
| 建立自行簽章的憑證 |
|
| 將金鑰匯出至另一個資料庫或 PKCS12 檔案 |
|
| 從另一個資料庫或 PKCS12 檔案匯入金鑰 |
|
| 列出憑證管理中心 (CA) 及憑證要求 |
|
| 開啟金鑰資料庫 |
|
| 將 CA 簽認的憑證接收至金鑰資料庫中 |
|
| 顯示金鑰資料庫中的預設金鑰 |
|
| 儲存 CA 的主要憑證 |
|
| 將加密的資料庫密碼儲存在貯藏檔中 |
|
建立新的金鑰資料庫
金鑰資料庫是伺服器用來儲存一或多個金鑰組和憑證的檔案。 您可以利用一個金鑰資料庫來儲存所有金鑰組和憑證,或建立多個資料庫。
如果要建立新的金鑰資料庫:
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再按一下新建。
- 在「新建」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。 按一下確定。
- 在「密碼提示」對話框中,輸入正確的密碼,再輸入一次,以確認密碼。 按一下確定。
Linux for S/390 使用者:
Java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db <檔案名稱>.kdb -pw <密碼> -type cms -expire <days> -stash
其中:
-type: 代表金鑰資料庫的類型。IBM HTTP Server 只會處理 CMS 金鑰資料庫。
-expire: 代表密碼過幾天到期。
-stash: 指出貯藏的金鑰資料庫密碼。 IBM HTTP Server 需要貯藏密碼。
當您在建立資料庫期間指定 -stash 選項時,會將密碼貯藏在依下列方式來建置名稱的檔案中:
<金鑰資料庫的檔案名稱>.sth比方說,如果建立的資料庫名稱為 keydb.kdb,貯藏檔的名稱就是 keydb.sth。
設定資料庫密碼
當您建立新的金鑰資料庫時,您會指定金鑰資料庫密碼。 這個密碼會保護私密金鑰。 私密金鑰是唯一可以簽認文件或將公開金鑰加密之訊息解密的金鑰。 您最好經常變更金鑰資料庫密碼。
指定密碼時,請遵循下列指示:
- 密碼必須是美式英文的字集。
- 密碼必須至少六個字元,且至少要有二個不連續的號碼。 確定密碼不是由一般可取得的資訊所組成;例如,關於您自己、配偶或子女的姓名字首及生日。
- 貯藏密碼。
請追蹤密碼的到期日。
如果密碼到期,這時會將一則訊息寫入錯誤日誌中。
如果密碼到期,伺服器仍會啟動,但不會使用安全網路連線。
變更資料庫密碼
如果要變更資料庫密碼:
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。按一下確定。
- 在「密碼提示」對話框中輸入密碼,再按一下確定。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取變更密碼。
- 在「密碼提示」對話框中輸入新密碼,這時會出現新的確認密碼。 按一下確定。
Java com.ibm.gsk.ikeyman.ikeycmd -keydb -changepw dB <檔案名稱> .kdb -pw <密碼> -new_pw <new_password> -expire <天數> -stash
其中:
-new_pw: 代表新的金鑰資料庫密碼。 這個密碼必須不同於舊密碼。
-expire: 代表密碼過幾天到期。
-stash: 指出貯藏的金鑰資料庫密碼。 IBM HTTP Server 需要貯藏密碼。
在伺服器登錄金鑰資料庫
預設金鑰資料庫名稱的起始配置設定為 key.kdb。如果您使用 key.kdb 來作為您的預設金鑰資料庫名稱, 即不需要在伺服器登錄資料庫。伺服器會使用配置檔中的 KeyFile 指引起始設定。 如果您不使用 key.kdb 來作為您的預設金鑰資料庫名稱, 或者如果您建立其他的金鑰資料庫,則您必須登錄這些資料庫。
建立新的金鑰組合及憑證要求
您會發現金鑰組和憑證要求都儲存在金鑰資料庫中。 如果要建立公開和私密金鑰組和憑證要求:
- 如果您尚未建立金鑰資料庫,請參閱建立新的金鑰資料庫,以取得說明。
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。按一下確定。
- 在「密碼提示」對話框中,輸入您的正確密碼,然後按一下確定。
- 在主要的 UI 中,按一下建立,再按一下新憑證要求。
- 在「新金鑰和憑證要求」對話框中,輸入下列各項:
- 金鑰標籤:輸入要用來識別資料庫中的金鑰和憑證的說明備註。
- 金鑰大小
- 組織名稱
- 組織單位(選用)
- 地區(選用)
- 州/省/市(選用)
- 郵遞區號(選用)
- 國家:輸入國碼。至少指定兩個字元。例如: US
- 憑證要求檔案名稱,或使用預設名稱。
- 按一下確定。
- 在「資訊」對話框中,按一下確定。 這時會提醒您將檔案傳送至憑證管理中心。
Linux for S/390 使用者:請參閱使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資料。
- 輸入下列指令:
Java com.ibm.gsk.ikeyman.ikeycmd -certreq -create dB <dB_name>.kdb -pw <密碼> -size <1024 | 512> -dn<distinguished_name> -file <檔案名稱> -label <label>
其中:
-size:代表金鑰大小 512 或 1024。
-label:代表附加到憑證或憑證要求的標籤。
-dn:代表 X.500 識別名稱。 這是附加引號採用下列格式輸入的字串(只有 CN、O 和 C 是必要的): CN=共用名稱,O=組織,OU=組織單位,L=位置,ST=州/省/巿,C=國家。
範例:"CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"
其中:-file:代表憑證要求儲存其中的檔案名稱。
- 確認已順利建立憑證。
- 檢視您建立的憑證要求檔的內容。
- 確認金鑰資料庫已記錄憑證要求:
Java com.ibm.gsk.ikeyman.ikeycmd -certreq -list dB <檔案名稱> -pw <密碼>
這時應該會列出剛建立的標籤。
- 將最新建立的檔案傳送到憑證管理中心。
建立自行簽章的憑證
要從知名的 CA 處取得憑證,通常都得等候二到三個星期。 在等待發出憑證期間,您可以利用 IKEYMAN 建立一個自行簽章的伺服器憑證,以啟用從屬站和伺服器之間的 SSL 階段作業。 如果您在專用 Web 網路上扮演自己的 CA,請利用這個程序。
如果要建立自行簽章的憑證:
- 如果您還沒有建立金鑰資料庫,請參閱建立新的金鑰資料庫,以取得指示。
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。按一下確定。
- 在「密碼提示」對話框中輸入密碼,再按一下確定。
- 在「金鑰資料庫」內容框中,按一下個人憑證,並按一下新的自行簽章按鈕。
- 在「密碼提示」對話框中,輸入下列資訊:
- 金鑰標籤:輸入要用來識別資料庫中的金鑰和憑證的說明備註。
- 金鑰大小
- 共同名稱:輸入 Web 伺服器的完整主電腦名稱來作為共同名稱。例如: www.myserver.com。
- 組織名稱
- 組織單位 (選用)
- 地區 (選用)
- 州/省/市(選用)
- 郵遞區號(選用)
- 國家:輸入國碼。至少指定兩個字元。例如: US
- 有效期間
- 按一下確定。
Linux for S/390 使用者:請參閱使用 Key Management Utility 指令行介面,以取得 IKEYCMD 的詳細資料。
輸入下列指令:
Java com.ibm.gsk.ikeyman.ikeycmd -cert -create dB <dB_name>.kdb -pw <密碼> -size <1024 | 512> -dn<distinguished name> -label <label> -default_cert <yes or no>其中:
-size:指出金鑰大小 512 或 1024
-label:指出要用來識別資料庫中的金鑰和憑證的說明註解。
-dn:指出 X.500 識別名稱。 這是附加引號採用下列格式輸入的字串(只有 CN、O 和 C 是必要的): CN=共用名稱,O=組織,OU=組織單位,L=位置,ST=州/省,C=國家
範例:
"CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"
-default_cert:如果您要這個憑證成為金鑰資料庫中的預設憑證,請輸入 yes。 否則,請輸入 no。
匯出金鑰
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「密碼提示」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。按一下確定。
- 在「密碼提示」對話框中,輸入您的正確密碼,再按一下確定。
- 在「金鑰資料庫」內容框中,按一下個人憑證,再按一下標籤中的匯入/匯出。
- 在「匯入/匯出金鑰」視窗中:
- 按一下匯出金鑰。
- 按一下目標資料庫類型。
- 輸入檔案名稱或使用「瀏覽」選項。
- 輸入正確的位置。
- 按一下確定。
- 在「密碼提示」對話框中,按一下確定,將所選金鑰匯出至另一個金鑰資料庫中。
如果要將金鑰匯出至 PKCS12 檔案:
- 在 UNIX 平台的指令行中輸入 ikeyman,或在 Windows NT 作業系統中啟動 IBM HTTP Server 資料夾中的 Key Management Utility。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。 按一下確定。
- 在「密碼提示」對話框中輸入密碼,再按一下確定。
- 在「金鑰資料庫」內容框中,按一下個人憑證,再按一下標籤中的匯入/匯出。
- 在「匯入/匯出金鑰」視窗中:
- 按一下匯出金鑰。
- 按一下 PKCS12 資料庫檔類型。
- 輸入檔案名稱或使用「瀏覽」選項。
- 輸入正確的位置。
- 按一下確定。
- 在「密碼提示」對話框中,輸入正確的密碼,再輸入一次密碼,以進行確認。 按一下確定,將所選的金鑰匯出至 PKCS12 檔案中。
Linux for S/390 使用者:請參閱使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資料。
匯入金鑰
如果要從另一個金鑰資料庫匯入金鑰:
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。按一下確定。
- 在「密碼提示」對話框中輸入密碼,再按一下確定。
- 在「金鑰資料庫」內容框中,按一下個人憑證,再按一下標籤中的匯入/匯出。
- 在「匯入/匯出金鑰」視窗中:
- 按一下匯入金鑰。
- 按一下金鑰資料庫檔案類型。
- 輸入檔案名稱或使用「瀏覽」選項。
- 選取正確的位置。
- 按一下確定。
- 在「密碼提示」對話框中,輸入正確的密碼,再按一下確定。
- 在「從金鑰標籤選取」清單中,按一下正確的標籤名稱,再按一下確定。
如果要從 PKCS12 檔案匯入金鑰:
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。按一下確定。
- 輸入您的密碼,按一下確定。
- 在「金鑰資料庫」內容框中,按一下個人憑證,再按一下標籤中的匯入/匯出按鈕。
- 在「匯入/匯出金鑰」視窗中:
- 按一下匯入金鑰。
- 按一下 PKCS12。
- 輸入檔案名稱或使用「瀏覽」選項。
- 選取正確的位置。
- 按一下確定。
- 在「密碼提示」對話框中,輸入正確的密碼,然後按一下確定。
Linux for S/390 使用者: 請參閱使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資料。
列出憑證管理中心
如果要顯示金鑰資料庫中具公信力的憑證管理中心 (CA) 的清單:
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。按一下確定。
- 在「密碼提示」對話框中,輸入您的正確密碼,再按一下確定。
- 在「金鑰資料庫」內容框中,按一下簽章者憑證。
- 按一下簽認者憑證、個人憑證或憑證要求, 以檢視「金鑰資訊」視窗中的 CA 清單。
Linux for S/390 使用者:請參閱使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資料。
Java com.ibm.gsk.ikeyman.ikeycmd -cert -list CA dB <dbname>.kdb -pw <密碼> -type CMS
開啟金鑰資料庫
如果要開啟現存的金鑰資料庫:
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。 按一下確定。
- 在「密碼提示」對話框中,輸入您的正確密碼,再按一下確定。
- 金鑰資料庫名稱會出現在「檔案名稱」文字框中。
Linux for S/390 使用者:請參閱使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資料。
接收憑證管理中心所發出已簽章的憑證
您可以利用這個程序來接收伺服器指定為具公信力的 CA 之憑證管理中心 (CA) 以電子郵件寄給您的憑證。 依預設,下列 CA 憑證會存放在金鑰資料庫中,且會標示為具公信力的 CA 憑證:
- RSA 安全伺服器憑證管理中心(出自 VeriSign)
- Thawte Personal Basic CA
- Thawte Personal Freemail CA
- Thawte Personal Premium CA
- Thawte Premium Server CA
- Thawte Server CA
- Verisign Class 1 CA Individual-Persona Not Validated
- Verisign Class 2 CA Individual-Persona Not Validated
- Verisign Class 3 CA Individual-Persona Not Validated
- VeriSign Class 1 Public Primary Certification Authority
- VeriSign Class 2 Public Primary Certification Authority
- VeriSign Class 3 Public Primary Certification Authority
- VeriSign Test CA Root Certificate
憑證管理中心可能會傳送一個以上的憑證。 除了伺服器的憑證,CA 也會傳送額外的簽章憑證或中間 CA 憑證。 比方說,當 Verisign 傳送廣域伺服器 ID 憑證時,Verisign 會併入中間 CA 憑證。 在接收伺服器憑證之前,請先接收任何額外的中間 CA 憑證。 請遵循儲存 CA 憑證中的指示來接收中間 CA 憑證。
如果發出您的 CA 簽章憑證的 CA 不是金鑰資料庫中具公信力的 CA,您必須先儲存 CA 憑證,並將這個 CA 指定為具公信力的 CA。
之後,您就可以將您的 CA 簽章憑證接收到資料庫中。
您不能從不是具公信力的 CA 接收 CA 簽章憑證。
如果需要相關指示,請參閱儲存 CA 憑證。
如果要將 CA 簽認的憑證接收至金鑰資料庫中:
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。按一下確定。
- 在「密碼提示」對話框中,輸入您的正確密碼,再按一下確定。
- 在「金鑰資料庫」內容框中,按一下個人憑證,再按一下接收。
- 在「從檔案接收憑證」對話框的「憑證檔案名稱」文字欄位中,輸入有效的 Base64 編碼檔案的名稱。 按一下確定。
Linux for S/390 使用者:請參閱使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資料。
Java com.ibm.gsk.ikeyman.ikeycmd -cert -receive -file <檔案名稱> dB <dB_name> .kdb -pw <密碼> -format <ascii | 二進位> -default_cert <是 | 否>
其中:
-format:代表憑證管理中心可採 ASCII 或二進位格式來提供 CA 憑證
-label:代表附加於 CA 憑證的標籤。
-trust:指出這個 CA 是否可信。 當接收 CA 憑證時,請利用啟用選項。
-file:指出包含 CA 憑證的檔案。
顯示金鑰資料庫中的預設金鑰
如果要顯示預設金鑰項目:
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。按一下確定。
- 在「密碼提示」對話框中輸入密碼,再按一下確定。
- 在「金鑰資料庫」內容框中,按一下個人憑證,按一下 CA 憑證標籤名稱。
- 按一下檢視/編輯,並在「金鑰資訊」視窗中檢視憑證的預設金鑰資訊。
Linux for S/390 使用者: 請參閱使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資料。
Java com.ibm.gsk.ikeyman.ikeycmd -cert -getdefault dB <dbname>.kdb -pw <密碼>
儲存憑證管理中心憑證
如果要儲存不是具公信力的 CA 所傳來的憑證:
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。按一下確定。
- 在「密碼提示」對話框中,輸入您的正確密碼,再按一下確定。
- 在「金鑰資料庫」內容框中,按一下簽章者憑證,再按一下新增。
- 在「從檔案新增 CA 憑證」對話框中,選取 Base64 編碼的 ASCII 資料憑證檔案名稱,或使用「瀏覽」選項。 按一下確定。
- 在「標籤」對話框中,輸入標籤名稱,並按一下確定。
Linux for S/390 使用者: 請參閱使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資料。
Java com.ibm.gsk.ikeyman.ikeycmd -cert -add dB <檔案名稱>.kdb -pw <密碼> -label <標籤> -format <ASCII | 二進位> -trust <啟用 |停用> -file <檔案>其中:
-label:代表附加於憑證或憑證要求的標籤
-format:指出憑證管理中心可提供二進位 ASCII 檔
-trust:指出這個 CA 是否可信。這個值應該是 Yes。
將已加密的資料庫密碼儲存在貯藏檔案中
如果要進行安全網路連線,請將加密的資料庫密碼儲存在貯藏檔中。
如果要在建立資料庫時儲存密碼:
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「新建」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。 按一下確定。
- 在「密碼提示」對話框中,輸入正確的密碼,再輸入一次,以確認密碼。
- 選取貯藏框,再按一下確定。
- 按一下金鑰資料庫檔案 > 貯藏密碼。
- 在「資訊」對話框中,按一下確定。
Linux for S/390 使用者: 請參閱使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資料。
Java com.ibm.gsk.ikeyman.ikeycmd -keydb -create dB <path_to_dB>/<dB_name>.kdb -pw <password> -type CMS -expire <days> -stash
如果在建立好資料庫之後,要儲存密碼:
- 啟動 IKEYMAN GUI。請參閱啟動 Key Management Utility,以取得特定平台專用指示。
- 在主要 UI 中,按一下金鑰資料庫檔案,再選取開啟。
- 在「開啟舊檔」對話框中輸入您的金鑰資料庫名稱,如果您使用預設值,請按一下 key.kdb。按一下確定。
- 在「密碼提示」對話框中,輸入您的正確密碼,再按一下確定。
- 按一下金鑰資料庫檔案,再按一下貯藏密碼。
- 在「資訊」對話框中,按一下確定。
Linux for S/390 使用者: 請參閱使用 IKEYCMD 指令行介面,以取得 IKEYCMD 的詳細資料。
Java com.ibm.gsk.ikeyman.ikeycmd -keydb -stashpw dB <dB_name>.kdb -pw <密碼>
在 Linux for S/390 中:使用 Key Management Utility 指令行介面
在 Linux for S/390 作業系統中,IKEYMAN 的 Java 指令行介面 IKEYCMD 負責提供建立和管理金鑰、憑證和憑證要求的必要選項。 如果您是自己的 CA,您可以利用 IKEYCMD 來建立自行簽章的憑證。 如果您在專用 Web 網路中充當自己的 CA,您可以選擇使用伺服器 CA 公用程式來產生及發出已簽章的憑證給專用網路中的從屬站及伺服器。
請將 IKEYCMD 用在建立和管理公開和私密金鑰的相關配置作業上。 您不能在更新伺服器配置檔 httpd.conf 的配置選項上使用 IKEYMAN。 如果是更新伺服器配置檔的選項,請利用 IBM 管理伺服器。
IKEYCMD 使用者介面會利用 Java 和原生指令行呼叫來啟用 IKEYMAN 作業 Script。
檢視 Key Management Utility 指令行語法
以下是 Java 指令行介面的語法:
Java [-Dikeycmd.properties=<properties_file>] com.ibm.gsk.ikeyman.ikeycmd <object> <action> [options]
其中:
| -Dikeycmd.properties |
|
object 包括下列項目之一:
| -keydb |
|
| -cert |
|
| -certreq |
|
| -help |
|
| -version |
|
action 代表要在物件上採取的特定動作,options 代表指定給物件動作配對的選項,有必要和選用兩種。
object 和 action 關鍵字有固定位置,您必須依選取的順序來指定它們。
不過,選項沒有固定位置,您可以用任何次序來指定它們,但必須指定成選項和運算元配對。
檢視 Key Management Utility 指令行參數
下表說明在指定的物件上所可能執行的每個動作。
| 物件 | 動作 | 說明 |
| -keydb | -changepw | 變更金鑰資料庫的密碼
|
| -convert | 將金鑰資料庫的某種格式轉換成另一種
| |
| -create | 建立金鑰資料庫
| |
| -delete | 刪除金鑰資料庫
| |
| -stashpw | 將金鑰資料庫的密碼貯藏到檔案中
| |
| -cert | -add | 將檔案中的 CA 憑證新增到金鑰資料庫中
|
| -create | 建立自行簽章的憑證
| |
| -delete | 刪除 CA 憑證
| |
| 明細 | 列出特定憑證的詳細資訊
| |
| -export | 從金鑰資料庫中,將個人憑證及其相關私密金鑰匯出到 PKCS#12 檔,或匯出到另一金鑰資料庫
| |
| -extract | 從金鑰資料庫中取出憑證
| |
| -getdefault | 取得預設的個人憑證
| |
| -import | 從金鑰資料庫或 PKCS#12 檔中匯入憑證
| |
| -list | 列示所有憑證
| |
| -modify | 修改憑證(目前只能修改「憑證信任」欄位)
| |
| -receive | 接收檔案中的憑證,並置於金鑰資料庫中
| |
| -setdefault | 設定預設的個人憑證
| |
| -sign | 以儲存在金鑰資料庫中的憑證來簽認儲存在檔案中的憑證,
並將產生的已簽認憑證儲存到檔案中
| |
| -certreq | -create | 建立憑證要求
|
| -delete | 從憑證要求資料庫中刪除憑證要求
| |
| -details | 列出特定憑證的詳細資訊
| |
| extract | 將憑證要求資料庫中的憑證要求擷取到檔案中
| |
| -list | 列出憑證要求資料庫中的所有憑證要求
| |
| -recreate | 重新建立憑證要求
| |
| -help | 顯示 IKEYCMD 指令的說明資訊
| |
| -version | 顯示 IKEYCMD 版本資訊
|
檢視 Key Management Utility 指令行選項
下表顯示指令行能夠使用的每個選項。 這些選項列示為完整群組。 不過,它們的使用會隨著指令行所指定的物件和動作而不同。
| 選項 | 說明 |
| dB | 金鑰資料庫的完整路徑名稱。
|
| -default_cert | 設定要作為從屬站鑑別之預設憑證的憑證(是或否)。
預設值為「否」。
|
| -dn | X.500 區別名稱。
輸入成下列格式附加引號的字串(只有 CN、O 和 C 是必要的):
"CN=Jane Doe,O=IBM,OU=Java Development,L=Endicott,ST=NY,ZIP=13760,C=country" |
| -encryption | 憑證匯出指令中所用的加密強度(強或弱)。
預設值為「強」。
|
| -expire | 憑證或資料庫密碼的期限時間(天數)。
憑證的預設值是 365 天,資料庫密碼的預設值是 69 天。
|
| -file | 憑證或憑證要求的檔案名稱(取決於指定的物件)。 |
| -format | 憑證的格式(如果是 Base64_encoded ASCII,
則其值為 ASCII;如果是二進位 DER 資料,則其值為 binary)。預設值是 ASCII。 |
| -label | 附加到憑證或憑證要求的標籤。
|
| -new_format | 金鑰資料庫的新格式。
|
| -new_pw | 新的資料庫密碼。
|
| -old_format | 金鑰資料庫的舊格式。
|
| -pw | 金鑰資料庫或 PKCS#12 檔的密碼。
請參閱建立新的金鑰資料庫。
|
| -size | 金鑰大小(512 或 1024)。預設值為 1024。
|
| -stash | 將金鑰資料庫密碼貯藏檔案中的指示器。
如果指定的話,密碼會貯藏到檔案中。
|
| -target | 目的檔或資料庫。
|
| -target_pw | 金鑰資料庫的密碼(如果 -target 指定的是金鑰資料庫的話)。
請參閱建立新的金鑰資料庫。
|
| -target_type | -target 運算元所指定的資料庫類型(請參閱 -type)。 |
| -trust | CA 憑證的信任狀態(啟用或停用)。
預設值為「啟用」。
|
| -type | 資料庫類型。
有效值為:CMS(代表 CMS 金鑰資料庫)、webdb(代表金鑰環)、
sslight(代表 SSLight 類別)或 pkcs12(代表 PKCS#12 檔)。 |
| -x509version | 所要建立的 X.509 憑證版本(1、2 或 3)。
預設值為 3。
|
使用指令行呼叫
以下是各指令行呼叫的清單,其中含有以斜體指定的選用參數。
為了簡化,每個指令呼叫都省略了實際的 Java 呼叫 Java com.ibm.gsk.ikeyman,iKeycmd。
-keydb -changepw dB <檔案名稱> -pw <密碼> -new_pw <new_password> -stash -expire <天數> -keydb -convert dB <檔案名稱> -pw <密碼> -old_format <CMS | webdb> -new_format <CMS> -keydb -create dB <檔案名稱> -pw <密碼> -type <CMS | sslight> -expire <days> -stash -keydb -delete dB <檔案名稱> -pw <密碼> -keydb -stashpw dB <檔案名稱> -pw <密碼>
-cert -add dB <檔案名稱> -pw <密碼> -label <label> -file <檔案名稱> -format <ASCII | binary> -trust <enable | disable> -cert -create dB <檔案名稱> -pw <密碼> -label <label> -dn <distinguished_name> -size <1024 | 512> -x509version <3 | 1 | 2> -default_cert <no | yes> -cert -delete dB <檔案名稱> -pw <密碼> -label <label> -cert -details dB <檔案名稱> -pw <密碼> -label <label> -cert -export dB <檔案名稱> -pw <密碼> -label <label> -type <CMS | sslight> -target <檔案名稱> -target_pw <password> -target_type <CMS | sslight | pkcs12> -encryption <strong | weak> -cert -extract dB <檔案名稱> -pw <密碼> -label <label> -target <檔案名稱> -format <ASCII | binary> -cert -getdefault dB <檔案名稱> -pw <密碼> -cert -import dB <檔案名稱> -pw <密碼> -label <label> -type <CMS | sslight> -target <file name> -target_pw <密碼> -target_type <CMS | sslight> -cert -import -file <檔案名稱> -type <pkcs12> -target <檔案名稱> -target_pw <密碼> -target_type <CMS | sslight> -cert -list <all | personal | CA | site> dB <檔案名稱> -pw <密碼> -type <CMS | sslight> -cert -modify dB <檔案名稱> -pw <密碼> -label <label> -trust <enable | disable> -cert -receive -file <檔案名稱> dB <檔案名稱> -pw <password> -format <ASCII | binary> -default _cert <no | yes> -cert -setdefault dB <檔案名稱> -pw <密碼> -label <label> -cert -sign -file <檔案名稱> dB <檔案名稱> -pw <密碼> -label <label> -target <檔案名稱> -format <ASCII | binary> -expire <days>
-certreq -create dB <檔案名稱> -pw <密碼> -label <label> -dn <distinguished_name> -size <1024 | 512> -file <檔案名稱> -certreq -delete dB <檔案名稱> -pw <密碼> -label <label> -certreq -details dB <檔案名稱> -pw <密碼> -label <label> -certreq -extract dB <檔案名稱> -pw <密碼> -label <label> -target <檔案名稱> -certreq -list dB <檔案名稱> -pw <密碼> -certreq -recreate dB <檔案名稱> -pw <密碼> -label <label> -target <檔案名稱>
-help
-version
處理使用者內容檔
如果要減少在 Java 指令行介面呼叫中的輸入動作,請在內容檔中指定使用者內容。 請利用 -Dikeycmd.properties Java 選項,在 Java 指令行呼叫中指定內容檔。 提供的範例內容檔 ikeycmd.properties 是一個範例,讓 Java 應用程式能夠修改其應用程式的預設設定。
| 尋找相關資訊 |
(返回最上面)