(cache) 鍵管理ユーティリティー (IKEYMAN) の使用: IBM HTTP Server
システム管理 IBM HTTP Server 文書

鍵管理ユーティリティー (IKEYMAN) の使用

はじめに

セキュア・ネットワーク通信を持つには、 セキュア・ネットワーク通信の鍵を作成し、 サーバー上にトラステッド CA として指定された認証局 (CA) から認証を受け取ります。 キー・データベース、公開鍵と秘密鍵のペア、および認証要求を作成するには、IKEYMAN を使用します。 独自の CA として活動している場合には、IKEYMAN を使用して、自己署名付き証明書を作成することができます。 私設 Web ネットワークに対する独自の CA として活動している場合には、サーバーの CA ユーティリティーを使用し、 私用ネットワーク内のクライアントおよびサーバーに対して署名付き証明書を生成し、発行するオプションがあります。

公開鍵と秘密鍵の作成および管理と関連した構成タスクに IKEYMAN を使用します。 IKEYMAN は、サーバー構成ファイル httpd.conf を更新する構成オプションには使用できません。 サーバー構成ファイルを更新するオプションの場合には、IBM Administration Server を使用する必要があります。
Linux for S/390 の場合

Linux for S/390 ユーザー: IKEYCMD コマンド行インターフェースを使用して、IKEYMAN と同じような機能を実行します。

IKEYCMD に関する詳細情報に ついては、IKEYCMD コマンド行インターフェースの使用を参照してください。

 

セキュリティー構成の例を検討する

このセクションでは、IBM 鍵管理ユーティリティー (IKEYMAN) を使って実行できるタスクについての詳しい情報を提供します。 この情報は、サーバー構成ファイルの更新が必要なセキュリティー・オプションの構成方法について説明するものではありません。

システム環境を設定する

IKEYMAN GUI は Java ベースなので実行するのに JDK または JRE が必要です。 IKEYMAN サポートのための最小 JDK レベルは次のとおりです。  

AIX の場合 1.1.6+ または 1.1.8
Windows の場合 1.1.8
HP の場合 Solaris の場合 Linux の場合 1.1.7      
 
HP の場合 Linux の場合 Solaris の場合 Windows の場合

Windows および Solaris では、SSL コンポーネントの一部としてインストールされた GSKit ライブラリーは JRE を含みます。 これらのプラットフォームには、追加の環境設定は必要ありません。 AIX、HP、または Linux で実行する場合または、Solaris 上の別の JDK を使用するには、 以下のガイドラインを使ってシステム環境を設定してください。

  • JDK で使用する変数を設定します。 これらの変数は、JDK バージョンによって異なるので、JDK に含まれている資料を読んで検証する必要があります。
    • JDK バージョン 1.1.x には、JAVA_HOME 変数を設定します: 
                EXPORT JAVA_HOME=JDK のホーム・ディレクトリーの全パス名
    • JDK バージョン 1.2.x には、PATH 変数を更新します: 
      	  EXPORT PATH = <JDK のホーム・ディレクトリーの全パス名>
	  /jre/sh:<JDK のホーム・ディレクトリーの全パス名>/sh:$PATH
  • どのディレクトリーからも IKEYMAN を実行できるようにしたい場合は、 IKEYMAN がインストールされているパスを PATH 環境変数に追加してください。 
    	  EXPORT PATH=$IKEYMAN_HOME/bin:$PATH

Linux for S/390 の場合

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については IKEYCMD コマンド行インターフェースの使用を参照してください。

Linux for S/390 で IKEYMAN を実行するには、 IKEYCMD コマンド行インターフェースを使用するために環境変数を以下のように設定します:
  1. Java または JRE 実行プログラムが駐在する場所に PATH を設定します: 
    	  EXPORT PATH=/opt/IBMJava/bin:$PATH
  2. 以下の CLASSPATH 環境変数を設定します: 
    	  EXPORT CLASSPATH=/usr/local/ibm/gsk/classes/cfwk.zip:/usr/local/IBM/
		gsk/classes/gsk4cls.jar:$CLASSPATH

完了後、IKEYCMD はどのディレクトリーからも実行します。 IKEYCMD コマンドを実行するには、 次の構文を使用してください。 

	  java com.ibm.gsk.ikeyman.ikeycmd <コマンド>
注: JRE を使用しているか、JDK を使用しているかによって Java を JRE で置き換えることができます。 例:
jre com.ibm.gsk.ikeyman.ikeycmd <コマンド>

それぞれの IKEYCMD (データベースの作成以外) は、 キー・データベースおよびキー・データベースのパスワードを指定する必要があります。 データベースはそれぞれのコマンドでオープンされるため、 これは必要なアクションです。 IKEYCMD に関する詳細情報に ついては、IKEYCMD コマンド行インターフェースの使用を参照してください。

IKEYMAN グラフィカル・ユーザー・インターフェースを使用する

以下のセクションでは、IKEYMAN または IKEYCMD コマンド行インターフェースを始め、使用する方法を説明しています。

IKEYMAN を始動する

IKEYMAN グラフィカル・ユーザー・インターフェースを始動するには、次のようにしてください。

 
AIX の場合 Linux の場合 Solaris の場合 コマンド行に ikeyman と入力します。
Windows の場合 スタート UI に進み、「鍵管理ユーティリティーの始動」を選択してください。
 

注: 新規キー・データベース・ファイルを作成するために IKEYMAN を始動する場合は、このファイルは IKEYMAN を始動したディレクトリーに保管されます。

IKEYMAN または IKEYCMD コマンド行インターフェースの使用

セキュア・ネットワーク通信を持つには、 セキュア・ネットワーク通信の鍵を作成し、 サーバー上にトラステッド CA として指定された認証局 (CA) から認証を受け取ります。 キー・データベース・ファイル、公開鍵と秘密鍵のペア、 および認証要求を作成するには IKEYMAN (または Linux for S/390 上の IKEYCMD) を使用します。 CA 署名付き証明書を受け取ったあと、 IKEYMAN (または Linux for S/390 上の IKEYCMD) を使ってオリジナルの認証要求を作成したキー・データベースに認証を受け取ります。

このセクションでは IKEYMAN および IKEYCMD タスクおよび共通タスクの説明を提供します。

ユーザー・インターフェースのタスク解説

IKEYMAN ユーザー・インターフェースおよび IKEYCMD コマンド行インターフェース・タスクは次の表にまとめられています。  

IKEYMAN および IKEYCMD タスク 指示については、次へ移動:
新規キー・データベースを作成して、そのデータベースのパスワードを指定する
「新規キー・データベースの作成」

新規の鍵ペアおよび認証要求を作成する
「鍵ペアおよび認証要求の新規作成」

自己署名付き証明書を作成する
「自己署名付き証明書の作成」

鍵を別のデータベースまたは PKCS12 ファイルにエクスポートする
「鍵のエクスポート」

別のデータベースまたは PKCS12 ファイルから鍵をインポートする
「鍵のインポート」

認証局 (CA) と認証要求をリストする
「CA のリスト」

キー・データベースをオープンする
「キー・データベースのオープン」

CA 署名付き証明書をキー・データベースに受け取る
「CA 署名付き証明書の受け取り」

キー・データベースのデフォルト鍵を表示する
「キー・データベースにデフォルト鍵を表示」

CA のルート証明書を保管する
「CA 証明書の保管」

暗号化されたデータベース・パスワードを stash ファイルに保管する
「暗号化されたデータベース・パスワードを stash ファイルに保管」

新規キー・データベースの作成

キー・データベースとは、 サーバーが 1 つ以上の鍵のペアと証明書を保管するために使用するファイルのことです。 すべての鍵のペアと認証に対して 1 つのキー・データベースを使うこともできれば、 複数のデータベースを作成することもできます。

新規のキー・データベースを作成するには、次のようにしてください。

UNIX の場合 Windows NT の場合
  1. UNIX の場合は、コマンド行に ikeyman を入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動してください。
  2. メイン UI から「キー・データベース・ファイル」を選択し、次に「新規作成」を選択します。
  3. 「新規作成」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用する場合は、key.kdb をクリックしてください。 OK をクリックします。
  4. 「パスワード・プロンプト」ダイアログ・ボックス内で、 正しいパスワードを入力し、確認のためのパスワードを入力してください。 OK をクリックします。
Linux for S/390 の場合

Linux for S/390 ユーザー:

IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。 各キー・データベース操作には、パスワードが必要です。 データベースのタイプ sslight は、指定されたパスワードが必要ですが、 パスワードは NULL ストリングも使用できます。("" として指定)。 IKEYCMD コマンド行インターフェースを使用して新規キー・データベースを作成するには、 次のコマンドを入力してください。 
Java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db <filename>.kdb -pw <password>
 -type cms -expire <日数> -stash

オプション:
-type: IBM HTTP Server が処理するのは CMS キー・データベースだけです。
-expire: パスワードが失効するまでの日数。
-stash: キー・データベースのパスワードを隠しておきます。IBM HTTP Server では、 パスワードを隠しておく必要があります。

キー・データベース作成時に -stash オプションが指定された場合、 以下のファイル名で作成されたファイル内に隠されます。 

	   <キー・データベースのファイル名>.sth
たとえば、作成されたデータベース名が keydb.kdb である場合、stash ファイル名は keydb.sth です。

データベース・パスワードの設定

新規キー・データベースを作成した場合は、キー・データベース・パスワードを指定します。 このパスワードは、秘密鍵を保護します。 秘密鍵は、ドキュメントに署名したり、公開鍵で暗号化されたメッセージを暗号化解除することのできる唯一の鍵です。 キー・データベースのパスワードを頻繁に変更することをお勧めします。

パスワードを指定する場合、次のガイドラインを使用してください。

  • パスワードは米国英語の文字セットにある文字を使用する必要があります。
  • パスワードは最低 6 文字であり、連続していない数字が少なくとも 2 つ含まれている必要があります。 パスワードが、公的に取得できる自分に関する情報 (たとえば、ご自分、配偶者、 または子供のイニシアルや誕生日) から構成したものでないことを確認してください。
  • パスワードを隠しておきます。
注: パスワードの有効期限を覚えておいてください。 パスワードが失効すると、エラー・ログにメッセージが書き込まれます。 サーバーは始動されますが、 パスワードが期限切れになっている場合はセキュア・ネットワーク接続はありません。

データベース・パスワードの変更

データベースのパスワードを変更するには、次のようにします。

  1. コマンド行に ikeyman と入力します。
  2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
  3. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、 デフォルトを使用するのであれば key.kdb をクリックします。 OK をクリックします。
  4. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
  5. メイン UI から「キー・データベース・ファイル」を選択し、次にパスワード変更を選択します。
  6. 「パスワード変更」ダイアログ・ボックスに、 新規パスワードおよび新規の確認パスワードを入力します。 OK をクリックします。
Linux for S/390 の場合 Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。
データベースのパスワードを変更するには、以下を入力します: 
Java com.ibm.gsk.ikeyman.ikeycmd -keydb -changepw dB <filename> .kdb -pw <password> -new_pw
<新規パスワード> -expire <日数> -stash

オプション:
-new_pw: 新規キー・データベース・パスワード; このパスワードは、古いパスワードと異なる必要があります。
-expire: パスワードが失効するまでの日数。
-stash: キー・データベースのパスワードを隠しておきます。IBM HTTP Server では、 パスワードを隠しておく必要があります。

サーバーにキー・データベースを登録する

デフォルトのキー・データベース名の初期構成設定は key.kdb です。 key.kdb をデフォルトのキー・データベース名として使用する場合には、サーバーにデータベースを登録する必要はありません。 サーバーは、構成ファイルの中の KeyFile ディレクティブの初期設定を使用します。 デフォルトのキー・データベース名として key.kdb を使用しない場合、 あるいは追加のキー・データベースを作成した場合には、これらのデータベースを登録する必要があります。

Windows NT の場合 UNIX の場合

鍵ペアおよび認証要求の新規作成

鍵のペアと認証要求はキー・データベースの中に保管されます。 公開鍵と秘密鍵のペア、および認証要求を作成するには、次のようにします。

  1. キー・データベースをまだ作成していない場合は、その作成方法について、 新規キー・データベースの作成を参照してください。
  2. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
  3. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
  4. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用するのであれば key.kdb をクリックします。 OK をクリックします。
  5. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
  6. メイン UI から作成を選択し、次に認証要求の新規作成を選択します。
  7. 「鍵および認証要求の新規作成」ダイアログ・ボックスに、次のように入力してください。
    • 鍵ラベル : データベースの中の鍵と証明書を識別するために使用する記述の注釈を入力してください。
    • 鍵長
    • 組織名
    • 組織単位 (オプション)
    • 市町村名 (オプション)
    • 都道府県名 (オプション)
    • 郵便番号 (オプション)
    • 国名 : 国別コードを入力します。少なくとも 2 文字を指定してください。 例: US
    • 認証要求ファイル名を入力するか、デフォルト名を使用します。
  8. OK をクリックします。
  9. 「情報」ダイアログ・ボックスで、OK をクリックします。 このファイルを認証局に送るよう促すメッセージが表示されます。
Linux for S/390 の場合

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、 IKEYCMD コマンド行インターフェースの使用を参照してください。

公開鍵と秘密鍵のペア、および認証要求を作成するには、次のようにします。
  1. 以下のコマンドを入力してください: 
    Java com.ibm.gsk.ikeyman.ikeycmd -certreq -create dB <dB_name>.kdb -pw 
<パスワード> -size <1024 | 512> -dn<識別名>
-file <ファイル名> -label <ラベル>
    オプション:
    -size: キー・サイズ 512 または 1024
    -label: 証明書または認証要求に添付されるラベル
    -dn: X.500 識別名。 これは、以下の書式を引用符付きストリングで入力します。 (CN、O、および C のみが必須です) CN=共通名、O=組織、OU=組織単位、L=位置、ST=都道府県、C=国。
    例: 
    "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"

    -file: 認証要求が保管されるファイルの名前。
  2. 証明書が正常に作成されたことを確認してください。
    1. 作成した認証要求ファイルの内容を表示してください。
    2. キー・データベースが認証要求を記録したことを確認してください。 
      Java com.ibm.gsk.ikeyman.ikeycmd -certreq -list dB <filename> 
-pw <パスワード>
      作成したばかりのラベルのリストを見ることができます。
  3. 新規に作成されたファイルを認証局に送ります。

自己署名付き証明書の作成

予約済みの CA から証明書を取得するには通常、2 - 3 週間を要します。 証明書の発行を待つ間 IKEYMAN を使って、 クライアントとサーバー間の SSL セッションを可能にする自己署名付きサーバー証明書を作成することができます。 私設 Web ネットワークで、そのネットワーク内の CA として活動している場合に、この手順を使用します。

Windows NT の場合 UNIX の場合

自己署名付き証明書を作成するには、次のようにします。

  1. キー・データベースをまだ作成していない場合は、その作成方法について、 新規キー・データベースの作成を参照してください。
  2. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
  3. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
  4. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用するのであれば key.kdb をクリックします。 OK をクリックします。
  5. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
  6. 「キー・データベース」コンテンツ・フレームの中から個人証明書を選択して、「自己署名付き証明書の新規作成」ボタンをクリックします。
  7. 「自己署名付き証明書の新規作成」ダイアログ・ボックスに、 次のように入力してください。
    • 鍵ラベル : データベースの中の鍵と証明書を識別するために使用する記述の注釈を入力してください。
    • 鍵長
    • 共通名 : 共通名として Web サーバーの完全修飾ホスト名を入力してください。 例 : www.myserver.com.
    • 組織名
    • 組織単位 (オプション)
    • 市町村名 (オプション)
    • 都道府県名 (オプション)
    • 郵便番号 (オプション)
    • 国名 : 国別コードを入力します。少なくとも 2 文字を指定してください。 例: US
    • 有効期間
  8. OK をクリックします。
Linux for S/390 の場合

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報について IKEYCMD コマンド行インターフェースの使用を参照してください。

自己署名付き証明書を作成するには、次のようにします。
以下のコマンドを入力してください: 
Java com.ibm.gsk.ikeyman.ikeycmd -cert -create dB <dB_name>.kdb -pw <password>
-size <1024 | 512> -dn<識別名> -label <ラベル> -default_cert
<yes または no>
オプション:
-size: キー・サイズ 512 または 1024
-label : データベースの中の鍵と証明書を識別するために使用する記述の注釈を入力してください。
-dn: X.500 識別名を入力します。 これは、以下の書式を引用符付きストリングで入力します。 (CN、O、および C のみが必須です): CN=共通名、O=組織、OU=組織単位、L=位置、ST=都道府県、C=国。
例: 
"CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"

-default_cert: この証明書をキー・データベース内のデフォルト証明書にするには、「yes」を入力してください。 この証明書をキー・データベースのデフォルト証明書にしない場合は、「no」を入力してください。

Windows NT の場合 UNIX の場合

鍵のエクスポート

  • 鍵を別のキー・データベースにエクスポートするには、次のようにします。
    1. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
    2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
    3. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用するのであれば key.kdb をクリックしてください。 OK をクリックします。
    4. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
    5. 「キー・データベース」コンテンツ・フレームの中から「個人証明書」を選択し、 次にラベル上のエクスポート/インポートボタンをクリックします。
    6. 「鍵のエクスポート/インポート」ウィンドウで、次のようにしてください。
      • 鍵のエクスポートを選択する
      • ターゲット・データベース・タイプを選択する
      • ファイル名を入力するか、「参照」オプションを使用する
      • 正しい場所を入力する
    7. OK をクリックします。
    8. 「パスワード・プロンプト」ダイアログ・ボックスで OK をクリックして、 選択した鍵を別のキー・データベースにエクスポートします。

  • 鍵を PKCS12 ファイルにエクスポートするには、次のようにしてください。
    1. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
    2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
    3. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用するのであれば key.kdb をクリックしてください。 OK をクリックします。
    4. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
    5. 「キー・データベース」コンテンツ・フレームの中から個人証明書を選択し、 次にラベル上のエクスポート/インポートボタンをクリックします。
    6. 「鍵のエクスポート/インポート」ウィンドウで、次のようにしてください。
      • KeyM のエクスポートを選択する
      • PKCS12 データベース・ファイル・タイプを選択する
      • ファイル名を入力するか、「参照」オプションを使用する
      • 正しい場所を入力する
    7. OK をクリックします。
    8. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力し、 再度確認のパスワードを入力してから OK をクリックして、選択した鍵を PKCS12 ファイルにエクスポートします。
Linux for S/390 の場合

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報について IKEYCMD コマンド行インターフェースの使用を参照してください。
UNIX の場合 Windows の場合

鍵のインポート

  • 別のキー・データベースから鍵をインポートするには、次のようにします。
    1. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
    2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
    3. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用するのであれば key.kdb をクリックします。 OK をクリックします。
    4. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
    5. 「キー・データベース」コンテンツ・フレームの中から個人証明書を選択し、 次にラベル上のエクスポート/インポートボタンをクリックします。
    6. 「鍵のエクスポート/インポート」ウィンドウで、次のようにしてください。
      • 鍵のインポートを選択する
      • キー・データベース・ファイル・タイプを選択する
      • ファイル名を入力するか、「参照」オプションを使用する
      • 正しい場所を選択する
    7. OK をクリックします。
    8. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、 OK をクリックします。
    9. 「選択元鍵ラベル」リストから正しいラベル名を選択して、OK をクリックします。
UNIX の場合 Windows の場合

  • PKCS12 ファイルから鍵をインポートするには、次のようにします。
    1. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
    2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
    3. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用するのであれば key.kdb をクリックしてください。 OK をクリックします。
    4. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
    5. 「キー・データベース」コンテンツ・フレームの中から個人証明書を選択し、 次にラベル上のエクスポート/インポートボタンをクリックします。
    6. 「鍵のエクスポート/インポート」ウィンドウで、次のようにしてください。
      • 鍵のインポートを選択する
      • PKCS12 を選択する
      • ファイル名を入力するか、「参照」オプションを使用する
      • 正しい場所を選択する
    7. OK をクリックします。
    8. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力してから、OK をクリックします。
    Linux for S/390 の場合

    Linux for S/390 ユーザー: IKEYCMD に関する詳細情報について IKEYCMD コマンド行インターフェースの使用を参照してください。
    UNIX の場合 Windows の場合

    CA のリスト

    キー・データベースの中のトラステッド認証局 (CA) のリストを表示するには、次のようにします。

    1. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
    2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
    3. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、 デフォルトを使用する場合、key.kdb をクリックしてください。 OK をクリックします。
    4. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
    5. 「キー・データベース」コンテンツ・フレームから署名者証明書を選択します。
    6. 署名者証明書、個人証明書、または認証要求をクリックして、 「鍵情報」ウィンドウに「CA のリスト」を表示します。
    Linux for S/390 の場合

    Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、 IKEYCMD コマンド行インターフェースの使用を参照してください。

    キー・データベースの中のトラステッド CA のリストを表示するには、次のようにします。 
    Java com.ibm.gsk.ikeyman.ikeycmd -cert -list CA dB <dbname>.kdb -pw <password>
-type CMS

    UNIX の場合 Windows の場合

    キー・データベースのオープン

    既存のキー・データベースをオープンするには、次のようにします。

    1. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
    2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
    3. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用するのであれば key.kdb をクリックしてください。 OK をクリックします。
    4. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
    5. キー・データベース名が「ファイル名」テキスト・ボックスに表示されます。
    Linux for S/390 の場合

    Linux for S/390 ユーザー: IKEYCMD に関する詳細情報について IKEYCMD コマンド行インターフェースの使用を参照してください。

    キー・データベースの明示的なオープンはありません。 それぞれのコマンドごとにデータベースおよびパスワード・オプションは指定され、 これらの指定により、キー・データベースで操作するために必要な情報を与えます。

    CA 署名付き証明書の受け取り

    この手順を使用して、ご使用のサーバーのトラステッド CA として指定された、 認証局 (CA) から電子メールで送信された証明書を受信します。 デフォルトでは、次の CA 証明書がキー・データベースに保管され、トラステッド CA 証明書としてマークされます。

    • RSA Secure Server Certification Authority (VeriSign から)
    • Thawte Personal Basic CA
    • Thawte Personal Freemail CA
    • Thawte Personal Premium CA
    • Thawte Premium Server CA
    • Thawte Server CA
    • Verisign Class 1 CA Individual-Persona Not Validated
    • Verisign Class 2 CA Individual-Persona Not Validated
    • Verisign Class 3 CA Individual-Persona Not Validated
    • VeriSign Class 1 Public Primary Certification Authority
    • VeriSign Class 2 Public Primary Certification Authority
    • VeriSign Class 3 Public Primary Certification Authority
    • VeriSign Test CA Root Certificate

    認証局は複数の証明書を送ることがあります。 ご使用のサーバーの証明書に加え、CA は追加の署名付き証明書や中間 CA 証明書も送ってくることがあります。 たとえば、Verisign がグローバル・サーバー ID 証明書を送るときには、中間 CA 証明書が含まれています。 サーバー証明書を受け取る前に、追加の中間 CA 証明書があれば受け取る必要があります。 CA 証明書の保管の指示にしたがって、中間 CA 証明書を受け取ってください。

    注: CA 署名の証明書を発行する CA がキー・データベースの中でトラステッド CA となっていない場合は、まず最初にその CA の証明書を保管して、その CA をトラステッド CA に指名する必要があります。 そのあとで、CA 署名付き証明書をデータベースに受け取ることができます。 トラステッド CA でない CA から CA 署名付き証明書を受け取ることはできません。 詳しいやり方については、CA 証明書の保管を参照してください。

    UNIX の場合 Windows の場合

    CA 署名付き証明書をキー・データベースに受け取るには、次のようにします。

    1. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
    2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
    3. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用するのであれば key.kdb をクリックしてください。 OK をクリックします。
    4. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力してから、OK をクリックします。
    5. 「キー・データベース」コンテンツ・フレームの中から個人証明書を選択してから、受信ボタンをクリックします。
    6. 「ファイルから証明書を受け取る」ダイアログ・ボックスで、 「証明書ファイル名」テキスト・フィールドに、有効な Base64 エンコード・ファイル名を入力します。 OK をクリックします。
    Linux for S/390 の場合

    Linux for S/390 ユーザー: IKEYCMD に関する詳細情報について IKEYCMD コマンド行インターフェースの使用を参照してください。

    CA 署名付き証明書をキー・データベースに受け取るには、次のコマンドを入力します。 
    Java com.ibm.gsk.ikeyman.ikeycmd -cert -receive -file <filename> dB <dB_name>
.kdb -pw <パスワード> -format <ascii | binary> -default_cert <yes | no>

    オプション:
    -format: 認証局は、CA 証明書を ASCII またはバイナリー・フォーマットで提供します。
    -label: CA 証明書に添付されるラベル。
    -trust: この CA がトラストできるかどうかを示します。 CA 証明書を受信するときは、 enable オプションを使用してください。
    -file: CA 証明書を含むファイル。

    UNIX の場合 Windows の場合

    キー・データベースにデフォルト鍵を表示

    デフォルト鍵エントリーを表示するには、次のようにします。

    1. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
    2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
    3. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用するのであれば key.kdb をクリックしてください。 OK をクリックします。
    4. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力してから、OK をクリックします。
    5. 「キー・データベース」コンテンツ・フレームの中から個人証明書を選択して、CA 証明書のラベル名を選択します。
    6. 表示/編集ボタンをクリックして、「鍵情報」ウィンドウに証明書デフォルト鍵情報を表示します。
    Linux for S/390 の場合

    Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

    デフォルト鍵エントリーを表示するには、次のようにします。 
    Java com.ibm.gsk.ikeyman.ikeycmd -cert -getdefault dB <dbname>.kdb -pw <password>

    UNIX の場合 Windows の場合

    CA 証明書の保管

    トラステッド CA でない CA からの証明書を保管するには、次のようにします。

    1. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
    2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
    3. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用するのであれば key.kdb をクリックしてください。 OK をクリックします。
    4. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
    5. 「キー・データベース」コンテンツ・フレームの中で署名者証明書を選択してから、追加ボタンをクリックします。
    6. 「ファイルから CA の証明書を追加」ダイアログ・ボックスで Base64 エンコード ASCII データ証明書ファイル名を選択するか、「参照」オプションを選択します。 OK をクリックします。
    7. 「ラベル」ダイアログ・ボックスにラベル名を入力し、OK をクリックします。
    Linux for S/390 の場合

    Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

    トラステッド CA でない CA からの証明書を保管するには、次のようにします。 
    Java com.ibm.gsk.ikeyman.ikeycmd -cert -add dB <filename>.kdb -pw <password>
-label <label> -format <ASCII | binary> -trust <enable |disable> -file
<ファイル>
    オプション:
    -label: 証明書または認証要求に添付されるラベル
    -format: 認証局は、バイナリー ASCII ファイルを供給する場合があります。
    -trust: この CA がトラストできるかどうかを示します。 Yes にしてください。

    UNIX の場合 Windows の場合

    暗号化されたデータベース・パスワードを stash ファイルに保管

    セキュア・ネットワーク接続を実現するには、 stash ファイルに暗号化されたデータベース・パスワードを保管します。

    データベースが作成されている間にパスワードを保管するには、次のようにします。

    1. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
    2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
    3. 「新規作成」ダイアログ・ボックスに、キー・データベース名を入力するか、あるいはデフォルトを使用する場合は、key.kdb を選択してください。 OK をクリックします。
    4. 「パスワード・プロンプト」ダイアログ・ボックス内で、 正しいパスワードを入力し、確認のためのパスワードを入力してください。
    5. 「隠す」ボックスを選択して、OK をクリックします。
    6. キー・データベース・ファイルを選択し、次にパスワードを隠すを選択します。
    7. 「情報」ダイアログ・ボックスで、OK をクリックします。
    Linux for S/390 の場合

    Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

    データベースが作成されている間にパスワードを保管するには、次のようにします。 
    Java com.ibm.gsk.ikeyman.ikeycmd -keydb -create dB <path_to_dB>/<dB_name>.kdb
-pw <password> -type CMS -expire <days> -stash

    UNIX の場合 Windows の場合

    データベースが作成されたあとにパスワードを保管するには、次のようにします。

    1. UNIX の場合は、コマンド行に ikeyman と入力し、Windows NT の場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを始動します。
    2. メイン UI からキー・データベース・ファイルを選択し、次にオープンを選択します。
    3. 「オープン」ダイアログ・ボックスに、キー・データベース名を入力するか、 デフォルトを使用するのであれば key.kdb をクリックします。 OK をクリックします。
    4. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
    5. キー・データベース・ファイルを選択し、次にパスワードを隠すを選択します。
    6. 「情報」ダイアログ・ボックスで、OK をクリックします。
    Linux for S/390 の場合

    Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

    データベースが作成されたあとにパスワードを保管するには、次のようにします。 
    Java com.ibm.gsk.ikeyman.ikeycmd -keydb -stashpw dB <dB_name>.kdb -pw <password>

    Linux for S/390 の場合

    Linux for S/390: IKEYCMD コマンド行インターフェースの使用

    Linux for S/390 上で、IKEYCMD、IKEYCMD の Java コマンド行インターフェースは、 鍵の作成および管理、証明書および認証要求を提供します。 独自の CA として活動している場合には、IKEYCMD を使用して、 自己署名付き証明書を作成することができます。 私設 Web ネットワークに対する独自の CA として活動している場合には、サーバーの CA ユーティリティーを使用し、 私用ネットワーク内のクライアントおよびサーバーに対して署名付き証明書を生成し、発行するオプションがあります。

    公開鍵と秘密鍵の作成および管理と関連した構成タスクに IKEYCMD を使用します。 IKEYCMD は、サーバー構成ファイル httpd.conf を更新する構成オプションには使用できません。 サーバー構成ファイルを更新するオプションの場合には、IBM Administration Server を使用する必要があります。

    IKEYCMD は、Java および固有コマンド行呼び出しを使用し、IKEYMAN はタスク・スクリプトを使用可能にします。

    IKEYCMD コマンド行構文

    Java CLI の構文: 

     	Java [-Dikeycmd.properties=<properties_file>] com.ibm.gsk.ikeyman.ikeycmd 
		<オブジェクト> <アクション> [オプション]

    オプション:

    -Dikeycmd.properties
    Java 呼び出しに使用するオプションのプロパティー・ファイルの名前を指定します。 デフォルト・プロパティー・ファイル、ikeycmd.properties は、修正可能で、Java アプリケーションで使用できるサンプル・ファイルとして提供されています。

    「オブジェクト」は以下のいずれかです。

    -keydb
    キー・データベース上で取られるアクション (CMS キー・データベース・ファイル、 または WebDB keyring ファイル、または SSLight クラス)

    -cert
    証明書に取られるアクション

    -certreq
    認証要求で取られるアクション

    -help
    IKEYCMD 呼び出しのヘルプを表示

    -version
    IKEYCMD のバージョン情報を表示

    アクション はオブジェクトに対して取られる特定のアクションであり、オプション はオブジェクトおよびアクションのペアに対して指定される必須と任意指定の両方のオプションです。

    注: オブジェクトアクションのキーワードは、位置が決まっていて、選択された順序で指定する必要があります。 しかし、オプションの位置は決まっておらず、オプションおよびオペランドのペアで指定され、 どの順序で指定しても構いません。

    IKEYCMD コマンド行パラメーター概要

    以下の表は、指定された object に対して実行できる、それぞれの action を説明します。

    オブジェクト アクション 説明
    -keydb -changepw キー・データベースのパスワードを変更します
    -convert キー・データベースのフォーマットを変換します
    -create キー・データベースを作成します
    -delete キー・データベースを削除します
    -stashpw キー・データベースのパスワードをファイル内に隠しておきます
    -cert -add ファイルから CA 証明書をキー・データベースに追加します
    -create 自己署名付き証明書を作成します
    -delete CA 証明書を削除します
    -details 特定の証明書のための詳細情報をリストします
    -export パーソナル証明書および関連する秘密鍵を PKCS#12 ファイルまたは他のキー・データベースにエクスポートします
    -extract キー・データベースから証明書を抽出します
    -getdefault デフォルト・パーソナル証明書を取得します
    -import 証明書からキー・データベースまたは PKCS#12 ファイルをインポートします
    -list すべての証明書をリストします
    -modify 証明書を修正します (注: 現在、修正できるフィールドは「証明書トラスト」フィールドのみです。)
    -receive ファイルからキー・データベースに証明書を受信します
    -setdefault デフォルト・パーソナル証明書を設定します
    -sign ファイルに保管された証明書とキー・データベースに保管された証明書に署名し、 署名された証明書をファイルに保管します
    -certreq -create 認証要求を作成します
    -delete 認証要求データベースから認証要求を削除します
    -details 特定の認証要求の詳細情報をリストします
    -extract 認証要求データベースから認証要求をファイルに抽出します
    -list 認証要求データベースのすべての認証要求をリストします
    -recreate 認証要求を再作成します
    -help IKEYCMD コマンドのヘルプ情報を表示します
    -version IKEYCMD バージョン情報を表示します

    IKEYCMD コマンド行オプション概要

    以下の表は、コマンド行で使用できる各オプションを表示します。 オプションは、 完全なグループとしてリストされます。 しかし、これらの使用法はコマンド行上のオブジェクト およびアクション に依存します。


    オプション 説明
    dB キー・データベースの完全修飾パス名。
    -default_cert クライアント認証のためのデフォルト証明書として使用される証明書を設定します。 デフォルトは no です。
    -dn X.500 識別名。 以下の書式を引用符付きストリングで入力します。 (CN、O、および C のみが必須です): 
    "CN=Jane Doe,O=IBM,OU=Java Development,L=Endicott,
ST=NY,ZIP=13760,C=country"

    -encryption 証明書エクスポート・コマンドで使用される暗号化の強度 (strong または weak)。 デフォルトは strong です。
    -expire 証明書またはデータベース・パスワードの有効期限 (日数)。 デフォルトは: 証明書には 365 日、データベース・パスワードには 60 日。
    -file 証明書または認証書要求のファイル名 (指定されたオブジェクト に依存します)。
    -format 証明書の形式 (Base64 エンコードされた ASCII には ASCII またはバイナリー DER データには binary)。 デフォルトは ASCII です。
    -label 証明書または認証要求に添付するラベル。
    -new_format キー・データベースの新規フォーマット。
    -new_pw 新規データベース・パスワード。
    -old_format キー・データベースの古い形式。
    -pw キー・データベースまたは PKCS#12 ファイルのパスワード。 新規キー・データベースの作成を参照してください。
    -size キー・サイズ (512 または 1024)。 デフォルトは 1024 です。
    -stash キー・データベースのパスワードをファイルに隠しておくことを示します。 指定されている場合、パスワードはファイル内に隠されます。
    -target 宛先ファイルまたはデータベース
    -target_pw -target がキー・データベースを指定する場合のキー・データベースのパスワード。新規キー・データベースの作成を参照してください。
    -target_type -target オペランドで指定されたデータベースのタイプ (-type を参照)。
    -trust CA 証明書のトラスト状況 (enable または disable)。 デフォルトは enable です。
    -type データベースのタイプ。 使用できる値は、CMS (CMS キー・データベースを示す)、 webdb (keyring を示す)、sslight (SSLight .class を示す)、または pkcs12 (PKCS#12 ファイルを示す) です。
    -x509version 作成する X.509 証明書のバージョン (1、2 または 3)。 デフォルトは 3 です。

    コマンド行呼び出し

    以下は、各コマンド行呼び出しのリストで、オプション・パラメーターがイタリック で指定されています。

    : 簡略化のため、実際の Java 呼び出し java com.ibm.gsk.ikeyman,iKeycmd は、各コマンド呼び出しでは省略されています。 

    -keydb -changepw dB <filename> -pw <password> -new_pw <new_password> -stash
	-expire <日数>
-keydb -convert dB <filename> -pw <password> -old_format <CMS | webdb> 
	-new_format <CMS> 
-keydb -create dB <filename> -pw <password> -type <CMS | sslight> -expire 
	<日数> -stash
-keydb -delete dB <filename> -pw <password>
-keydb -stashpw dB <filename> -pw <password>


    -cert -add dB <filename> -pw <password> -label <label> -file <filename> -format
	 <ASCII | binary> -trust <enable | disable> 
-cert -create dB <filename> -pw <password> -label <label> -dn <distinguished_name> 
	-size <1024 | 512> -x509version <3  | 1 | 2> -default_cert <no | yes>
-cert -delete dB <filename> -pw <password> -label <label>
-cert -details dB <filename> -pw <password> -label <label>
-cert -export dB <filename> -pw <password> -label <label> -type <CMS | sslight>
	-target <filename> -target_pw <password> -target_type <CMS | sslight | pkcs12> 
	-encryption <strong | weak> 
-cert -extract dB <filename> -pw <password> -label <label> -target <filename> 
	-format <ASCII | binary> 
-cert -getdefault dB <filename> -pw <password>
-cert -import dB <filename> -pw <password> -label <label> -type <CMS | sslight> 
	-target <filename> -target_pw <password> -target_type <CMS | sslight>
-cert -import -file <ファイル名> -type <pkcs12> -target <ファイル名> -target_pw <パスワード>
	-target_type <CMS | sslight> 
-cert -list <all | personal | CA | site> dB <filename> -pw <password> -type 
	<CMS | sslight>
-cert -modify dB <filename> -pw <password> -label <label>  -trust <enable | disable>
-cert -receive -file <filename> dB <filename> -pw <password> -format <ASCII | binary> 
	-default _cert <no | yes> 
-cert -setdefault dB <filename> -pw <password> -label <label>
-cert -sign -file <filename> dB <filename> -pw <password> -label <label> -target <filename> 
	-format <ASCII | binary>  -expire <days> 


    -certreq -create dB <filename> -pw <password> -label <label> -dn <distinguished_name>
	-size <1024 | 512> -file <ファイル名>
-certreq -delete dB <filename> -pw <password> -label <label>
-certreq -details dB <filename> -pw <password> -label <label>
-certreq -extract dB <filename> -pw <password> -label <label> -target <filename>
-certreq -list dB <filename> -pw <password>
-certreq -recreate dB <filename> -pw <password> -label <label> -target <filename>


    -help


    -version

    ユーザー・プロパティー・ファイル

    Java CLI 呼び出しで、いくつかの入力を省くために、 プロパティー・ファイル内でユーザー・プロパティーを指定することができます。 プロパティー・ファイルは、-Dikeycmd.properties Java オプションを使用して Java コマンド行呼び出し上で指定することができます。 サンプル・プロパティー・ファイル ikeycmd.properties は、 Java アプリケーションで、そのアプリケーションのデフォルト設定を修正できるようにするためのサンプルとして提供されています。

     
    関連情報...
         (トップに戻る)