Amministrazione del sistema Documentazione IBM HTTP Server

Uso del programma di utilità IKEYMAN

In questa sezione vengono fornite informazioni sulla pianificazione, preparazione e uso del programma di utilità IKEYMAN. I collegamenti agli argomenti correlati vengono visualizzati alla fine di questa sezione.

Pianificazione per l'uso del programma di utilità IKEYMAN

La connessione di rete utilizzata non sarà protetta fino a quando non verrà creata una chiave per le comunicazioni di rete protette e non si riceverà un certificato da una CA (autorità di certificazione) sul server. Utilizzare IKEYMAN per creare database di chiavi, coppie di chiavi pubbliche e private e richieste di certificati. Le CA possono utilizzare IKEYMAN per creare autocertificazioni. Se si opera come una CA per una rete Web privata, si ha la possibilità di utilizzare il programma di utilità CA del server per creare ed emettere certificati firmati ai client e ai server nella rete privata.

Utilizzare IKEYMAN per le attività di configurazione relative alla creazione e gestione delle chiavi pubbliche e private. Non è possibile utilizzare IKEYMAN per le operazioni di configurazione che aggiornano il file di configurazione del server, httpd.conf. Per le opzioni che aggiornano il file di configurazione del server, utilizzare IBM Administration Server.

Riservato agli utenti S/390 Linux

Linux per S/390: Utilizzare l'interfaccia della riga comandi IKEYCMD per eseguire questo tipo di funzioni in IKEYMAN.

Per ulteriori informazioni su IKEYCMD, consultare la sezione Uso dell'interfaccia della riga comandi IKEYCMD.

 

Descrizione degli esempi relativi alla configurazione di sicurezza

In questa sezione sono contenute informazioni dettagliate relative alle attività che si possono eseguire con il programma di utilità IKEYMAN. Queste informazioni non spiegano come configurare le opzioni relative alla sicurezza che richiedono gli aggiornamenti sul file di configurazione del server.

Impostazione dell'ambiente del sistema

L'interfaccia grafica di IKEYMAN è basata su Java e per l'esecuzione necessita di un IBM Developer Kit per la piattaforma JAVA o di JRE (Java Runtime Environment). Verificare di disporre di Developer Kit level V1.3 o versioni successive per il supporto IKEYMAN.

Riservato agli utenti HP Riservato agli utenti Linux Riservato agli utenti Solaris Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Sui sistemi operativi Windows e Solaris, le librerie GSKit installate come parte del componente SSL comprendono un JRE. Non è prevista alcuna ulteriore impostazione di ambiente su queste piattaforme. Per eseguire il programma sui sistemi operativi AIX, HP o Linux o per utilizzare un altro IBM Developer Kit per la piattaforma Java sul sistema operativo Solaris, impostare l'ambiente del sistema seguendo le istruzioni riportate di seguito:

  • Impostare le variabili per IBM Developer Kit per la piattaforma Java. Queste variabili variano a seconda della versione. È possibile verificare tali variabili mediante la lettura della documentazione fornita con il Developer Kit.
  • Per IBM Developer Kit per la piattaforma Java, Versione 1.3.x, aggiornare la variabile PATH:
    	  EXPORT PATH = <IBM Developer Kit per il nome del percorso completo della directory home della piattaforma Java>
    	  /jre/sh:<IBM Developer Kit per il nome del percorso completo della directory
    home della piattaforma Java>/sh:$PATH
    
  • Su piattaforme UNIX: eseguire <root di installazione IHS>/bin/ikeyman per attivare l'interfaccia grafica di IKEYMAN. Se si desidera eseguire IKEYMAN da qualsiasi directory, aggiungere il percorso in cui IKEYMAN viene installato alla variabile di ambiente PATH:
    EXPORT PATH=/bin:$PATH

Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Per eseguire IKEYMAN sul sistema operativo Linux for S/390, impostare le variabili di ambiente per utilizzare l'interfaccia della riga comandi IKEYCMD nel seguente modo:

  1. Impostare la variabile PATH in cui risiede l'eseguibile Java o JRE:
    	  EXPORT PATH=/opt/IBMJava/bin:$PATH
    
  2. Impostare la seguente variabile di ambiente CLASSPATH:
    	  EXPORT CLASSPATH=/usr/local/ibm/gsk/classes/cfwk.zip:/usr/local/IBM/
    		gsk/classes/gsk5cls.jar:$CLASSPATH
    

Una volta completata l'operazione, IKEYCMD deve poter essere eseguito da qualsiasi directory. Per eseguire un comando IKEYCMD, utilizzare la seguente sintassi:

	  java com.ibm.gsk.ikeyman.ikeycmd <comando>
Nota E' possibile sostituire jre con java, a seconda che si utilizzi un eseguibile JRE o IBM Developer Kit per la piattaforma Java. Esempio:
jre com.ibm.gsk.ikeyman.ikeycmd <comando>

Ciascun IKEYCMD, eccetto quello per la creazione del database, richiede che vengano specificati il database di chiavi e la password per il database di chiavi poiché tutti i comandi aprono il database. Per ulteriori informazioni su IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Uso dell'interfaccia utente grafica del programma di utilità IKEYMAN

Nella seguente sezione viene illustrato come utilizzare l'interfaccia della riga comandi IKEYCMD o IKEYMAN.

Avvio del programma di utilità IKEYMAN

Per avviare l'interfaccia grafica per l'utente di IKEYMAN:

 
Riservato agli utenti AIX Riservato agli utenti Linux Riservato agli utenti Solaris Digitare <root IHS>/bin/ikeyman sulla riga comandi o modificare la directory <root IHS>/bin e digitare ikeyman sulla riga comandi.
Riservato agli utenti Windows NT Riservato agli utenti Windows 2000 Andare all'interfaccia utente di avvio e fare clic su Avvia programma di utilità gestione chiavi.
 

Nota: Se IKEYMAN viene avviato per creare un nuovo file database di chiavi, il file viene memorizzato nella directory di avvio di IKEYMAN.

Uso dell'interfaccia della riga comandi del programma di utilità IKEYMAN

La connessione di rete utilizzata non sarà protetta fino a quando non verrà creata una chiave per le comunicazioni di rete protette e non si riceverà un certificato da una CA indicata sul server come una CA protetta. Utilizzare IKEYMAN o IKEYCMD sui sistemi operativi Linux per S/390 per creare il file database di chiavi, la coppia di chiavi pubblica e privata e la richiesta di certificati. Dopo aver ricevuto il certificato firmato da CA, utilizzare IKEYMAN o IKEYCMD sui sistemi operativi Linux per S/390, per ricevere il certificato nel database di chiavi in cui è stata creata la richiesta originale del certificato.

Questa sezione fornisce una rapida panoramica delle attività di IKEYMAN e IKEYCMD e una descrizione dettagliata delle attività più comuni.

Riferimento alle attività dell'interfaccia utente

Le attività dell'interfaccia della riga comandi IKEYCMD e dell'interfaccia utente IKEYMAN vengono riepilogate nella tabella seguente:


Attività IKEYMAN e IKEYCMD Per istruzioni, andare a:
Creazione di un nuovo database di chiavi e della relativa password
"Creazione di un nuovo database di chiavi"

Creazione di una nuova coppia di chiavi e una richiesta di certificati
"Creazione di una nuova coppia di chiavi e di una richiesta di certificati"

Crea un'autocertificazione
"Creazione di un'autocertificazione"

Esportazione di una chiave in un altro database o in un file PKCS12
"Esportazione di chiavi"

Importazione di una chiave da altro database o da un file PKCS12
"Importazione di chiavi"

Elenco di CA e di richieste di certificato
"Elenco di CA"

Apertura di un database di chiavi
"Apertura di un database di chiavi"

Ricezione di un certificato firmato da una CA in un database di chiavi
"Ricezione di un certificato firmato da una CA"

Visualizzazione della chiave predefinita in un database di chiavi
"Visualizzazione della chiave predefinita in un database di chiavi"

Memorizzazione di un certificato root di una CA
"Memorizzazione di un certificato CA"

Memorizzazione della password del database codificata in un file stash
"Memorizzazione della password del database codificata in un file stash"


Creazione di un nuovo database di chiavi

Un database di chiavi è un file utilizzato dal server per memorizzare una o più coppie di chiavi e certificati. E' possibile utilizzare un solo database di chiavi per tutte le coppie di chiavi e per i certificati oppure creare più database.

Per creare un nuovo database:

Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000
  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su file database di chiavi dall'interfaccia utente principale, quindi fare clic su Nuovo.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Nuovo o fare clic su key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password corretta nella finestra di dialogo Richiesta password, quindi confermare la password. Fare clic su OK.

Riservato agli utenti S/390 Linux

Linux per utenti S/390:

Per ulteriori informazioni riguardanti IKEYCMD, consultare la sezioneUso dell'interfaccia della riga comandi IKEYCMD . Ciascuna operazione del database di chiavi richiede una password. Anche se un database sslight richiede che venga specificata una password, questa può essere una stringa NULL specificata come "". Per creare un nuovo database di chiavi utilizzando l'interfaccia della riga comandi IKEYCMD, immettere il seguente comando:
Java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db <nome file>.kdb -pw <password>
 -type cms -expire <giorni> -stash

dove:
-type: indica il tipo di database di chiavi. IBM HTTP Server gestisce solo un database di chiavi CMS.
-expire: indica i giorni prima della scadenza della password.
-stash: indica la password per il database di chiavi. Questa operazione è obbligatoria per IBM HTTP Server.

Quando viene specificata l'opzione -stash durante la creazione del database di chiavi, la password viene inserita in un file con il seguente nome file:

	   <nome file database di chiavi>.sth
Ad esempio, se il database creato ha come nome keydb.kdb, il nome del file sarà keydb.sth.

Impostazione della password del database

Durante la creazione di un nuovo database di chiavi, specificare una password. Questa password è importante, in quanto il suo ruolo è di proteggere la chiave privata. Tale chiave è l'unica in grado di firmare documenti o di decodificare messaggi codificati attraverso la chiave pubblica. Si consiglia di cambiare spesso la password del database.

Per specificare la password, utilizzare le istruzioni riportate di seguito:

  • La password deve essere costituita da caratteri inclusi nelle serie di caratteri inglese U.S.
  • Deve contenere almeno sei caratteri e due numeri non consecutivi. E' consigliabile che la password non sia composta da informazioni facilmente individuabili, ad esempio le iniziali e la data di nascita dell'utente, del coniuge o dei figli.
  • Memorizzare la password in un file.

Nota: Tenere traccia delle date di scadenza della password. Se la password scade, viene scritto un messaggio nel log degli errori. Il server viene avviato, ma se la password è scaduta il collegamento non sarà protetto alla rete.

Modifica della password del database

Per modificare la password del database:

  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Apri o fare clic sul file key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password nella finestra di dialogo Richiesta password e fare clic su OK.
  5. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Modifica Password.
  6. Immettere una nuova password nella finestra di dialogo Richiesta password, quindi confermarla. Fare clic su OK.

Riservato agli utenti S/390 Linux Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD .
Per modificare la password del database, immettere:
Java com.ibm.gsk.ikeyman.ikeycmd -keydb -changepw dB <nome file> .kdb -pw <password> -new_pw
<nuova_password> -expire <giorni> -stash

dove:
-new_pw: indica la nuova password del database di chiavi. È necessario che questa password sia differente dalla precedente.
-expire: indica i giorni prima della scadenza della password.
-stash: indica la password per il database di chiavi. Questa operazione è obbligatoria per IBM HTTP Server.

Registrazione di un database di chiavi con il server

L'impostazione della configurazione iniziale del nome del database di chiavi è key.kdb. Se viene utilizzato key.kdb come nome del database di chiavi predefinito, non è necessario registrare il database con il server. Il server utilizza l'impostazione iniziale contenuta nella direttiva KeyFile nel file di configurazione. Se key.kdb non viene utilizzato come nome predefinito oppure se vengono creati ulteriori database di chiavi, sarà necessario registrare tali database.

Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Creazione di una nuova coppia di chiavi e di una richiesta di certificato

Le coppie di chiavi e le richieste di certificati vengono memorizzate in un database di chiavi. Per creare una una coppia di chiavi pubblica e privata e una richiesta di certificati, procedere come segue:

  1. Se il database di chiavi non è stato creato, consultare, per le istruzioni, la sezione Creazione di un nuovo database di chiavi.
  2. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  3. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  4. Immettere il nome del database di chiavi nella finestra di dialogo Apri o fare clic sul file key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  5. Nella finestra di dialogo Richiesta password, immettere la password corretta e fare clic su OK.
  6. Fare clic su Crea dall'interfaccia utente principale, quindi fare clic su Nuova richiesta certificato.
  7. Nella finestra di dialogo Nuova chiave e richiesta di certificato, immettere:
    • Etichetta chiavi: immettere un commento descrittivo utilizzato per identificare la chiave e il certificato nel database.
    • Dimensione chiave
    • Nome organizzazione
    • Unità organizzativa (facoltativo)
    • Località (facoltativo)
    • Stato/Provincia (facoltativo)
    • Codice di avviamento postale (facoltativo)
    • Paese: immettere il codice della nazione. E' necessario specificare almeno due caratteri. Esempio: IT
    • Nome file richiesta di certificati, oppure utilizzare il nome predefinito.
  8. Fare clic su OK.
  9. Fare clic su OK nella finestra di dialogo Informazioni. Viene visualizzato un promemoria per inviare il file a una CA.

Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Per creare una una coppia di chiavi pubblica e privata e una richiesta di certificati, procedere come segue:

  1. Immettere il seguente comando:
    Java com.ibm.gsk.ikeyman.ikeycmd -certreq -create dB <nome_dB>.kdb -pw 
    <password> -size <1024 | 512> -dn<distinguished_name>
    -file <nome file> -label <etichetta>
    
    dove:
    -size: indica una dimensione chiavi di 512 o 1024.
    -label: indica un'etichetta di un certificato o di una richiesta di certificati.
    -dn: indica un DN (nome distinto, distinguished name) X.500. Il formato della stringa tra apici da utilizzare è CN=nome_comune, O=organizzazione, OU=unità_organizzativa, L=località, ST=stato/provincia, C=paese (sono obbligatori solo CN, O e C).
    Esempio:
    "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"

    dove:

    -file: indica il nome del file nel quale è memorizzata la richiesta di certificati.

  2. Verificare che il certificato sia stato creato correttamente.
    1. Visualizzare il contenuto del file di richiesta certificati creato.
    2. Assicurarsi che il database di chiavi abbia registrato la richiesta di certificati:
      Java com.ibm.gsk.ikeyman.ikeycmd -certreq -list dB <nome file> 
      -pw <password>
      
      E' necessario controllare l'etichetta elencata appena creata.
  3. In seguito, inviare il file ad una CA.

Creazione di un'autocertificazione

Generalmente sono necessarie due o tre settimane per ricevere un certificato da una CA nota. Durante questo periodo, è possibile utilizzare IKEYMAN per la creazione di un'autocertificazione server per abilitare le sessioni SSL tra i client e i server. Utilizzare questa procedura se si opera come una CA per una rete Web privata.

Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Per creare un'autocertificazione, procedere come segue:

  1. Se il database di chiavi non è stato creato, consultare Creazione di un nuovo database di chiavi per le istruzioni.
  2. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  3. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  4. Immettere il nome del database di chiavi nella finestra di dialogo Apri o fare clic sul file key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  5. Immettere la password nella finestra di dialogo Richiesta password, quindi fare clic su OK.
  6. Fare clic su Certificati personali nel database di chiavi, quindi fare clic su Nuova autocertificazione.
  7. Immettere le seguenti informazioni nella finestra di dialogo Richiesta password:
    • Etichetta chiavi: immettere un commento descrittivo utilizzato per identificare la chiave e il certificato nel database.
    • Dimensione chiavi
    • Nome comune: immettere il nome host completo del server Web. Esempio: www.myserver.com.
    • Nome organizzazione
    • Unità organizzativa (facoltativo)
    • Località (facoltativo)
    • Stato/Provincia (facoltativo)
    • Codice di avviamento postale (facoltativo)
    • Paese: immettere il codice della nazione. E' necessario specificare almeno due caratteri. Esempio: IT
    • Periodo di validità
  8. Fare clic su OK.
Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi del programma di utilità IKEYMAN.

Per creare un'autocertificazione, procedere come segue:
Immettere il seguente comando:
Java com.ibm.gsk.ikeyman.ikeycmd -cert -create dB <nome_dB>.kdb -pw <password>
-size <1024 | 512> -dn<distinguished name> -label <etichetta> -default_cert 
<sì o no>
dove:
-size: indica una dimensione chiavi di 512 o 1024.
-label: indica un commento descrittivo utilizzato per identificare la chiave e il certificato nel database.
-dn: indica un DN (nome distinto, distinguished name) X.500. Il formato della stringa tra apici da utilizzare è CN=nome_comune, O=organizzazione, OU=unità_organizzativa, L=località, ST=stato/provincia, C=paese (sono obbligatori solo CN, O e C).
Esempio:
"CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"

-default_cert: immettere , se si desidera che questo certificato sia il certificato predefinito nel database di chiavi. Altrimenti, immettere no.

Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Esportazione di chiavi

Per esportare le chiavi in un altro database, procedere come segue:
  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Richiesta password o fare clic su key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password corretta nella finestra di dialogo Richiesta password, quindi fare clic su OK.
  5. Fare clic su Certificati personali nel database di chiavi, quindi fare clic sull'etichetta Esporta/Importa.
  6. Nella finestra Esporta/Importa chiave, eseguire le seguenti operazioni:
    • Fare clic su Esporta chiave.
    • Fare clic sul tipo di database di destinazione.
    • Immettere il nome del file o utilizzare l'opzione Sfoglia.
    • Immettere l'ubicazione corretta.
  7. Fare clic su OK.
  8. Fare clic su OK nella finestra di dialogo Richiesta password per esportare la chiave selezionata su un altro database di chiavi.

Per esportare le chiavi in un file PKCS12:

  1. Immettere ikeyman su una riga comandi sulla piattaforma UNIX o avviare il programma di utilità IKEYMAN nella cartella IBM HTTP Server sul sistema operativo Windows NT.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Apri o fare clic su key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password nella finestra di dialogo Richiesta password e fare clic su OK.
  5. Fare clic su Certificati personali nel database di chiavi, quindi fare clic sull'etichetta Esporta/Importa.
  6. Nella finestra Esporta/Importa chiave, eseguire le seguenti operazioni:
    • Fare clic su Esporta chiave.
    • Fare clic sul tipo di file database PKCS12.
    • Immettere il nome del file o utilizzare l'opzione Sfoglia.
    • Immettere l'ubicazione corretta.
  7. Fare clic su OK.
  8. Immettere la password corretta nella finestra di dialogo Richiesta password, quindi immettere di nuovo la password per confermare. Fare clic su OK per esportare la chiave selezionata in un file PKCS12.
Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Importazione di chiavi

Per importare le chiavi da un altro database di chiavi, procedere come segue:

  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Apri o fare clic sul file key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password nella finestra di dialogo Richiesta password, quindi fare clic su OK.
  5. Fare clic su Certificati personali nel database di chiavi, quindi fare clic sull'etichetta Esporta/Importa.
  6. Nella finestra Esporta/Importa chiave, eseguire le seguenti operazioni:
    • Fare clic su Importa chiave.
    • Fare clic sul tipo di file database di chiavi.
    • Immettere il nome del file o utilizzare l'opzione Sfoglia.
    • Selezionare l'ubicazione corretta.
  7. Fare clic su OK.
  8. Immettere la password corretta nella finestra di dialogo Richiesta password, quindi fare clic su OK.
  9. Fare clic sul nome dell'etichetta corretto nell'elenco Seleziona dall'etichetta chiave, quindi fare clic su OK.
Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Per importare le chiavi da un file PKCS12:

  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Apri o fare clic sul file key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password e fare clic su OK.
  5. Fare clic su Certificati personali nel database di chiavi, quindi fare clic sul pulsante Esporta/Importa dell'etichetta.
  6. Nella finestra Esporta/Importa chiave, eseguire le seguenti operazioni:
    • Fare clic su Importa chiave.
    • Fare clic su PKCS12.
    • Immettere il nome del file o utilizzare l'opzione Sfoglia.
    • Selezionare l'ubicazione corretta.
  7. Fare clic su OK.
  8. Nella finestra di dialogo Richiesta password, immettere la password corretta, quindi fare clic su OK.
Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Elenco di autorità di certificazione

Per visualizzare un elenco di CA protette in un database di chiavi, procedere come segue:

  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Apri o fare clic sul file key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password corretta nella finestra di dialogo Richiesta password, quindi fare clic su OK.
  5. Fare clic su Certificati firmatario nel database di chiavi.
  6. Fare clic su Certificati firmatario, Certificati personali o Richieste certificati, per visualizzare l'elenco di CA nella finestra Informazioni chiave.
Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Per visualizzare un elenco di CA protette in un database di chiavi, procedere come segue:
Java com.ibm.gsk.ikeyman.ikeycmd -cert -list CA dB <nome db>.kdb -pw <password>
-type CMS

Riservato agli utenti AIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Apertura di un database di chiavi

Per aprire un database di chiavi esistente:

  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Nella finestra di dialogo Apri, immettere il nome del database di chiavi oppure, se si utilizza il nome predefinito, fare clic su key.kdb. Fare clic su OK.
  4. Immettere la password corretta nella finestra di dialogo Richiesta password, quindi fare clic su OK.
  5. Il nome del database di chiavi viene visualizzato nella casella di testo Nome file.
Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Non si verifica un'apertura esplicita del database di chiavi. Per ciascun comando, specificare le opzioni della password e del database. Queste specifiche forniscono le informazioni necessarie per utilizzare un database di chiavi.

Ricezione di un certificato firmato da una CA

Seguire questa procedura per ricevere un certificato inviato via posta elettronica da una CA indicata come protetta sul server. Per impostazione predefinita, i seguenti certificati CA sono memorizzati sul server e indicati come certificati CA protetti:

  • Autorità di certificazione RSA Secure Server (da VeriSign)
  • AC Thawte Personal Basic
  • AC Thawte Personal Freemail
  • AC Thawte Personal Premium
  • AC Thawte Premium Server
  • AC Thawte Server
  • Verisign Class 1 CA Individual-Persona Not Validated
  • Verisign Class 2 CA Individual-Persona Not Validated
  • Verisign Class 3 CA Individual-Persona Not Validated
  • VeriSign Class 1 Public Primary Certification Authority
  • VeriSign Class 2 Public Primary Certification Authority
  • VeriSign Class 3 Public Primary Certification Authority
  • VeriSign Test CA Root Certificate

La CA può inviare più di un certificato. Oltre al certificato per il server, la CA può inviare ulteriori certificati di firma o certificati CA intermedi. Ad esempio, Verisign include un certificato CA intermedio quando invia un certificato Global Server ID. Prima di ricevere il certificato del server, occorre ricevere tutti gli ulteriori certificati CA intermedi. Seguire le istruzioni contenute in Memorizzazione di un certificato CA per ricevere i certificati CA intermedi.

Nota: Se la CA che emette il certificato non è una CA indicata come protetta nel database di chiavi, memorizzare il certificato della CA, quindi specificare quella CA come protetta. A questo punto, è possibile ricevere il certificato nel database. Non è possibile ricevere un certificato proveniente da una CA non protetta. Per istruzioni più dettagliate, consultare la sezione Memorizzazione di un certificato CA.

Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Per ricevere un certificato firmato da una CA in un database di chiavi:

  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Apri o fare clic sul file key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password corretta nella finestra di dialogo Richiesta password, quindi fare clic su OK.
  5. Fare clic su Certificati personali nel database di chiavi, quindi fare clic su Ricevi.
  6. Immettere il nome di un file valido codificato con la codifica Base64 nel campo Nome file certificato nella finestra di dialogo Ricevi certificato da un file. Fare clic su OK.
Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Per ricevere un certificato firmato da una CA in un database di chiavi, immettere:
Java com.ibm.gsk.ikeyman.ikeycmd -cert -receive -file <nome file> dB <dB_name>
.kdb -pw <password> -format <ascii | binario> -default_cert <sì | no>

dove:
-format: indica il formato del certificato CA, che può essere binario o ASCII
-label: indica l'etichetta del certificato CA.
-trust: indica se questo certificato CA è protetto. Utilizzare le opzioni 'enable' quando si riceve un certificato CA.
-file: indica il file contenente il certificato CA.

Riservato agli utenti AIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Visualizzazione della chiave predefinita in un database di chiavi

Per visualizzare la voce relativa alla chiave predefinita:

  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Apri o fare clic sul file key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password nella finestra di dialogo Richiesta password, quindi fare clic su OK.
  5. Fare clic su Certificati personali nel database di chiavi, quindi fare clic sul nome dell'etichetta del certificato CA.
  6. Fare clic su Visualizza/Modifica e visualizzare le informazioni della chiave predefinita del certificato nella finestra Informazioni chiavi.
Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Per visualizzare la voce relativa alla chiave predefinita:
Java com.ibm.gsk.ikeyman.ikeycmd -cert -getdefault dB <nome db>.kdb -pw <password>

Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Memorizzazione di un certificato CA

Per memorizzare un certificato proveniente da una CA non protetta, procedere come segue:

  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Apri o fare clic sul file key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password corretta nella finestra di dialogo Richiesta password, quindi fare clic su OK.
  5. Fare clic su Certificati firmatario nel database di chiavi, quindi fare clic su Aggiungi.
  6. Nella finestra di dialogo Aggiungi certificati CA da un file, fare clic su Nome file certificato dati ASCII codificati Base64 o utilizzare l'opzione Sfoglia. Fare clic su OK.
  7. Nella finestra di dialogo Etichetta, immettere un nome etichetta e fare clic su OK.
Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Per memorizzare un certificato proveniente da una CA non protetta, procedere come segue:
Java com.ibm.gsk.ikeyman.ikeycmd -cert -add dB <nome file>.kdb -pw <password>
-label <etichetta> -format <ASCII | binario> -trust <abilita |disabilita> -file
<file>
dove:
-label: indica l'etichetta del certificato o della richiesta del certificato
-format: indica che le CA possono fornire un file ASCII binario
-trust: indica se questo certificato CA è protetto. Questo valore dovrebbe essere Sì.

Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Memorizzazione della password del database codificata in un file stash

Per una connessione di rete protetta, memorizzare la password del database codificata in un file stash.

Per memorizzare la password durante la creazione di un database, procedere come segue:

  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Nuovo o fare clic sul file key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password corretta nella finestra di dialogo Richiesta password, quindi confermare la password.
  5. Selezionare la casella stash e fare clic suOK.
  6. Fare clic su File database di chiavi > Stash password.
  7. Fare clic su OK nella finestra di dialogo Informazioni.
Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Per memorizzare la password durante la creazione di un database, procedere come segue:
Java com.ibm.gsk.ikeyman.ikeycmd -keydb -create dB <percorso_al_dB>/<nome:dB>.kdb
-pw <password> -type CMS -expire <giorni> -stash

Riservato agli utenti UNIX Riservato agli utenti Windows NT Riservato agli utenti Windows 2000

Per memorizzare la password dopo aver creato un database, procedere come segue:

  1. Avviare l'interfaccia grafica di IKEYMAN. Fare riferimento a Avvio del programma di utilità IKEYMAN per istruzioni specifiche relative alla piattaforma.
  2. Fare clic su File database di chiavi dall'interfaccia utente principale, quindi fare clic su Apri.
  3. Immettere il nome del database di chiavi nella finestra di dialogo Apri o fare clic sul file key.kdb se si utilizza il nome predefinito. Fare clic su OK.
  4. Immettere la password corretta nella finestra di dialogo Richiesta password, quindi fare clic su OK.
  5. Fare clic su File database di chiavi, quindi fare clic su Stash Password.
  6. Fare clic su OK nella finestra di dialogo Informazioni.
Riservato agli utenti S/390 Linux

Linux per utenti S/390: per ulteriori informazioni riguardanti IKEYCMD, consultare Uso dell'interfaccia della riga comandi IKEYCMD.

Per memorizzare la password dopo aver creato un database, procedere come segue:
Java com.ibm.gsk.ikeyman.ikeycmd -keydb -stashpw dB <nome_dB>.kdb -pw <password>

Riservato agli utenti S/390 Linux

Su Linux per S/390: Uso dell'interfaccia della riga comandi del programma di utilità IKEYMAN

Sul sistema operativo Linux per S/390, IKEYCMD, l'interfaccia della riga comandi Java per IKEYMAN fornisce le opzioni necessarie per creare e gestire le chiavi, i certificati e le richieste di certificati. Se si opera come una CA, è possibile utilizzare IKEYCMD per creare autocertificazioni. Se si opera come una CA per una rete Web privata è possibile utilizzare il programma di utilità CA del server per creare ed emettere certificati firmati ai client e ai server nella rete privata.

Utilizzare IKEYCMD per le attività di configurazione relative alla creazione e gestione delle chiavi pubbliche e private. Non è possibile utilizzare IKEYCMD per le operazioni di configurazione che aggiornano il file di configurazione del server, httpd.conf. Per le opzioni che aggiornano il file di configurazione del server, utilizzare IBM Administration Server.

L'interfaccia utente IKEYCMD utilizza chiamate della riga comandi nativa e Java e abilita gli script per le attività IKEYMAN.

Sintassi della riga comandi del programma di utilità IKEYMAN

La sintassi dell'interfaccia della riga comandi Java è la seguente:

 	Java [-Dikeycmd.properties=<file_proprietà>] com.ibm.gsk.ikeyman.ikeycmd 
		<oggetto> <azione> [opzioni]

dove:

-Dikeycmd.properties
Specifica il nome del file proprietà facoltativo da utilizzare per questa richiesta Java. Come file di esempio, viene fornito un file delle proprietà predefinito, ikeycmd.properties, che può essere modificato e utilizzato da una qualsiasi applicazione Java.

Oggetto comprende una delle seguenti voci:

-keydb
Le azioni eseguite sul database di chiavi (un file database di chiavi CMS, un file di chiavi WebDB o una classe SSLight)

-cert
Le azioni eseguite su un certificato

-certreq
Le azioni eseguite per una richiesta di certificati

-help
Visualizza la guida per le chiamate IKEYCMD

-version
Visualizza le informazioni sulla versione di IKEYCMD

Azione indica l'azione specifica da eseguire sull'oggetto e opzioni indica le opzioni, obbligatorie e facoltative, specificate per l'oggetto e per l'azione.

Nota: Le parole chiave oggetto e azione sono posizionali e devono essere specificate nell'ordine selezionato. Tuttavia, le opzioni non sono posizionali e possono essere specificate in qualsiasi ordine come opzione e coppia di operandi.

Descrizione dei parametri della riga comandi del programma di utilità IKEYMAN

La seguente tabella descrive ogni azione in un oggetto specificato.

Oggetto Azioni Descrizione
-keydb -changepw Modifica la password per un database di chiavi
-convert Converte il formato del database di chiavi
-create Crea un database di chiavi
-delete Cancella il database di chiavi
-stashpw Nasconde la password di un database di chiavi in un file
-cert -add Aggiunge un certificato CA da un file in un database di chiavi
-create Crea un'autocertificazione
-delete Elimina un certificato CA
details Fornisce informazioni dettagliate riguardanti un determinato certificato
-export Esporta un certificato personale e la relativa chiave privata associata da un database di chiavi in un file PKCS#12 o in un altro database di chiavi
-extract Estrae un certificato da un database di chiavi
-getdefault Richiama il certificato personale predefinito
-import Importa un certificato da un database di chiavi o dal file PKCS#12
-list Elenca tutti i certificati
-modify Modifica un certificato (Nota: Correntemente, l'unico campo che può essere modificato è Certificate Trust)
-receive Riceve un certificato CA da un file in un database di chiavi
-setdefault Imposta il certificato personale predefinito
-sign Esegue la firma di un certificato memorizzato in un file con un certificato memorizzato in un database di chiavi e memorizza il certificato firmato in un file
-certreq -create Crea una richiesta di certificati
-delete Cancella una richiesta di certificati da un database
-details Fornisce informazioni dettagliate riguardanti una richiesta di certificati specifica
extract Estrae una richiesta di certificati da un database in un file
-list Elenca tutte le richieste di certificato nel relativo database
-recreate Ricrea una richiesta di certificati
-help Visualizza le informazioni per il comando IKEYCMD
-version Visualizza le informazioni sulla versione IKEYCMD

Descrizione delle opzioni della riga comandi del programma di utilità IKEYMAN

La seguente tabella visualizza le opzioni disponibili sulla riga comandi. Le opzioni vengono elencate come gruppo completo. Tuttavia, l'utilizzo dipende dall'oggetto e dall'azione specificata sulla riga comandi.


Opzione Descrizione
dB Il nome percorso completo di un database di chiavi.
-default_cert Imposta un certificato da utilizzare come certificato predefinito per l'autenticazione del client (Sì o No). Il valore predefinito è No.
-dn Il DN (nome distinto, Distinguished Name) X.500. Il formato della stringa tra apici è (sono richiesti solo CN, O e C):
"CN=Jane Doe,O=IBM,OU=Java Development,L=Endicott,
ST=NY,ZIP=13760,C=nazione"

-encryption Tipo di codifica utilizzata nel comando per l'esportazione del certificato (strong o weak). Il valore predefinito è Strong.
-expire Durata di un certificato o di una password del database (in giorni). I valori predefiniti sono: 365 giorni per un certificato e 60 giorni per una password del database.
-file Nome file di un certificato o di una richiesta di certificati ( a seconda dell'oggetto specificato).
-format Formato di un certificato (sia ASCII per Base64_encoded ASCII o binario per dati Binary DER). Il valore predefinito è ASCII.
-label Etichetta di un certificato o di una richiesta di certificati.
-new_format Nuovo formato del database di chiavi.
-new_pw Nuova password del database.
-old_format Vecchio formato del database di chiavi.
-pw Password per il database di chiavi o per il file PKCS#12. Vedere la sezione Creazione di un nuovo database di chiavi.
-size Dimensione chiave (512 o 1024). Il valore predefinito è 1024.
-stash Indicatore utilizzato per nascondere la password del database di chiavi in un file. Se specificato, la password verrà nascosta in un file.
-target File o database di destinazione.
-target_pw Password per il database di chiavi se -target specifica un database di chiavi. Consultare la sezione Creazione di un nuovo database di chiavi.
-target_type Tipo di database specificato da -target (consultare -type).
-trust Stato di sicurezza di un certificato CA (abilita o disabilita). Il valore predefinito è abilita.
-type Tipo di database. I valori consentiti sono CMS (indica un database di chiavi CMS), webdb (indica un file di chiavi), sslight (indica una classe SSLight) oppure pkcs12 (indica un file PKCS#12).
-x509version La versione del certificato X.509 da creare (1, 2 o 3). Il valore predefinito è 3.

Chiamata dalla riga comandi

Di seguito è riportato un elenco della richiesta della riga comandi, con i parametri facoltativi specificati in corsivo.

Nota: Per semplificare, la chiamata Java reale, Java com.ibm.gsk.ikeyman,iKeycmd, viene omessa per ognuno dei comandi.

-keydb -changepw dB <nome file> -pw <password> -new_pw <password_nuova> -stash
	-expire <giorni> 
-keydb -convert dB <nome file> -pw <password> -old_format <CMS | webdb> 
	-new_format <CMS> 
-keydb -create dB <nome file> -pw <password> -type <CMS | sslight> -expire 
	<giorni> -stash 
-keydb -delete dB <nome file> -pw <password>
-keydb -stashpw dB <nome file> -pw <password>

-cert -add dB <nome file> -pw <password> -label <etichetta> -file <nome file> -format
	 <ASCII | binario> -trust <abilita | disabilita> 
-cert -create dB <nome file> -pw <password> -label <etichetta> -dn <distinguished_name> 
	-size <1024 | 512> -x509version <3  | 1 | 2> -default_cert <no | sì>
-cert -delete dB <nome file> -pw <password> -label <etichetta>
-cert -details dB <nome file> -pw <password> -label <etichetta>
-cert -export dB <nome file> -pw <password> -label <etichetta> -type <CMS | sslight>
	-target <nome file> -target_pw <password> -target_type <CMS | sslight | pkcs12> 
	-encryption <strong | weak> 
-cert -extract dB <nome file> -pw <password> -label <etichetta> -target <nome file> 
	-format <ASCII | binario> 
-cert -getdefault dB <nome file> -pw <password>
-cert -import dB <nome file> -pw <password> -label <etichetta> -type <CMS | sslight> 
	-target <nome file> -target_pw <password> -target_type <CMS | sslight>
-cert -import -file <nome file> -type <pkcs12> -target <nome file> -target_pw <password> 
	-target_type <CMS | sslight> 
-cert -list <all | personal | CA | site> dB <nome file> -pw <password> -type 
	<CMS | sslight>
-cert -modify dB <nome file> -pw <password> -label <etichetta>  -trust <abilita | disabilita>
-cert -receive -file <nome file> dB <nome file> -pw <password> -format <ASCII | binario> 
	-default _cert <no | sì> 
-cert -setdefault dB <nome file> -pw <password> -label <etichetta>
-cert -sign -file <nome file> dB <nome file> -pw <password> -label <etichetta> -target <nome file> 
	-format <ASCII | binario>  -expire <giorni> 

-certreq -create dB <nome file> -pw <password> -label <etichetta> -dn <distinguished_name>
	-size <1024 | 512> -file <nome file>
-certreq -delete dB <nome file> -pw <password> -label <etichetta>
-certreq -details dB <nome file> -pw <password> -label <etichetta>
-certreq -extract dB <nome file> -pw <password> -label <etichetta> -target <nome file>
-certreq -list dB <nome file> -pw <password>
-certreq -recreate dB <nome file> -pw <password> -label <etichetta> -target <nome file>

-help

-version

Uso del file delle proprietà utente

Per ridurre il testo digitato nelle chiamate dell'interfaccia della riga comandi Java, specificare le proprietà dell'utente in un file delle proprietà. Specificare il file delle proprietà nella chiamata della riga comandi Java tramite l'opzione Java -Dikeycmd.properties. Viene fornito un file proprietà, ikeycmd.properties, come esempio per consentire alle applicazioni Java di modificare le impostazioni predefinite per le applicazioni.

 
Informazioni correlate

     (Torna all'inizio)
.