鍵管理ユーティリティーの使用 (Using the Key Management Utility)

このセクションでは、鍵管理ユーティリティー (IKEYMAN) の計画、準備、および使用に関する情報を提供します。 このセクションの終わりに、関連トピックへのリンクがあります。

• 鍵管理ユーティリティー使用の計画
• セキュリティーの構成の例を検討する
• システム環境を設定する
• 鍵管理ユーティリティーのグラフィカル・ユーザー・インターフェースの使用
• 鍵管理ユーティリティーの開始
• 鍵管理ユーティリティーの行インターフェースの使用
• ユーザー・インターフェース・タスクの参照
• PKCS11 装置に鍵を保管するための鍵管理ユーティリティーの使用
• Linux for S/390 オペレーティング・システムでの鍵管理ユーティリティー・コマンド行インターフェースの使用
• 鍵管理ユーティリティーのコマンド行構文について
• 鍵管理ユーティリティーのコマンド行パラメーターの検討
• 鍵管理ユーティリティーのコマンド行オプションの検討
• コマンド行呼び出しの使用
• ユーザー・プロパティー・ファイルの設定
• 関連情報

鍵管理ユーティリティー使用の計画

セキュア・ネットワーク通信を持つには、 セキュア・ネットワーク通信の鍵を作成し、 サーバー上にトラステッド CA として指定された認証局 (CA) から認証を受け取ります。 鍵のデータベース、公開鍵と秘密鍵のペア、および認証要求を作成するには、IKEYMAN を使用します。 独自の CA として活動する場合には、IKEYMAN を使用して、自己署名付き証明書を作成することができます。 私設 Web ネットワークに対する独自の CA として活動している場合には、サーバーの CA ユーティリティーを使用し、 私用ネットワーク内のクライアントおよびサーバーに対して署名付き証明書を生成し、発行するオプションがあります。

公開鍵と秘密鍵の作成および管理と関連した構成タスクに IKEYMAN を使用します。 IKEYMAN は、サーバー構成ファイル httpd.conf を更新する構成オプションには使用できません。 サーバー構成ファイルを更新するオプションの場合には、IBM Administration Server を使用します。

Linux for S/390 ユーザー: IKEYCMD コマンド行インターフェースを使用して、IKEYMAN と同じような機能を実行します。

セキュリティーの構成の例を検討する

このセクションでは、IBM 鍵管理ユーティリティー (IKEYMAN) を使って実行できるタスクについての詳しい情報を提供します。 この情報は、サーバー構成ファイルの更新が必要なセキュリティー・オプションの構成方法について説明するものではありません。

システム環境を設定する

IKEYMAN GUI は Java ベースなので、実行するのに IBM Developer Kit for the Java プラットフォームまたは Java Runtime Environment (JRE) が必要です。IKEYMAN サポートのためには、Developer Kit レベル V1.3 以降があることを確認してください。

Windows および Solaris オペレーティング・システムでは、SSL コンポーネントの一部としてインストールされた GSKit ライブラリーに JRE が含まれます。 これらのプラットフォームでは、追加の環境設定要件はありません。 AIX、HP、または Linux オペレーティング・システムで実行する場合または、Solaris オペレーティング・システム上で別の IBM Developer Kit for Java プラットフォームを使用する場合は、 以下のガイドラインを使ってシステム環境を設定してください。

• IBM Developer Kit for the Java プラットフォームの変数を設定します。これらの変数は、バージョンによって異なるので、 Developer Kit に含まれているドキュメンテーションを読んで確認してください。
• IBM Developer Kit for the Java プラットフォーム、バージョン 1.1.x の場合は、以下のように JAVA_HOME 変数を設定します:

            EXPORT JAVA_HOME=the IBM Developer Kit for the Java platform home directory full path name
  

• IBM Developer Kit for the Java プラットフォーム、バージョン 1.3.x の場合は、以下のように PATH 変数を更新します。

  	  EXPORT PATH = <the IBM Developer Kit for the Java platform home directory full path name>
  	  /jre/sh:<the IBM Developer Kit for the Java platform home directory full path name>/sh:$PATH
  

• 非 UNIX プラットフォーム: どのディレクトリーからも IKEYMAN を実行できるようにしたい場合は、 IKEYMAN がインストールされているパスを PATH 環境変数に追加してください。

  	  EXPORT PATH=$IKEYMAN_HOME/bin:$PATH
  

• UNIX プラットフォーム: <IHS install root>/bin/ikeyman を実行して、 IKEYMAN GUI を呼び出します。IKEYMAN GUI を呼び出す IKEYMAN スクリプトはすでに /usr/bin ディレクトリーにないため、 どのディレクトリーからも IKEYMAN を呼び出すことはできません。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、 IKEYCMD コマンド行インターフェースの使用を参照してください。

1. Java または JRE 実行プログラムが常駐する場所に PATH を設定します。

   	  EXPORT PATH=/opt/IBMJava/bin:$PATH
   

2. 以下の CLASSPATH 環境変数を設定します:

   	  EXPORT CLASSPATH=/usr/local/ibm/gsk/classes/cfwk.zip:/usr/local/IBM/
   		gsk/classes/gsk4cls.jar:$CLASSPATH
   

完了後、IKEYCMD はどのディレクトリーからも実行します。 IKEYCMD コマンドを実行するには、 次の構文を使用してください。

	  java com.ibm.gsk.ikeyman.ikeycmd <command>

jre com.ibm.gsk.ikeyman.ikeycmd <command>

それぞれの IKEYCMD では、各コマンドでデータベースがオープンされるので、データベースの作成を除いて、鍵のデータベースおよび鍵のデータベース用のパスワードを指定する必要があります。 IKEYCMD の詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

鍵管理ユーティリティーのグラフィカル・ユーザー・インターフェースの使用

以下のセクションでは、IKEYMAN または IKEYCMD コマンド行インターフェースの開始および使用の方法を説明しています。

鍵管理ユーティリティーの開始

IKEYMAN グラフィカル・ユーザー・インターフェースを始動するには、次のようにしてください。

	コマンド行で <IHS root>/bin/ikeyman と入力するか、 あるいはコマンド行で <IHS root>/bin ディレクトリーに変更してから ikeyman と入力します。
	「ユーザー・インターフェースの始動」に進み、鍵管理ユーティリティーの開始を選択してください。

新規の鍵のデータベース・ファイルを作成するために IKEYMAN を始動する場合は、ユーティリティーはこのファイルを IKEYMAN を開始したディレクトリーに保管します。

鍵管理ユーティリティーの行インターフェースの使用

セキュア・ネットワーク通信を持つには、 セキュア・ネットワーク通信の鍵を作成し、 サーバー上にトラステッド CA として指定された認証局 (CA) から認証を受け取ります。 鍵のデータベース・ファイル、公開鍵と秘密鍵のペア、 および認証要求を作成するには IKEYMAN または Linux for S/390 オペレーティング・システム上の IKEYCMD を使用します。 CA 署名付き証明書を受け取ったあと、 IKEYMAN または Linux for S/390 オペレーティング・システム上の IKEYCMD を使ってオリジナルの認証要求を作成した鍵のデータベースに認証を受け取ります。

このセクションでは IKEYMAN および IKEYCMD タスクおよび共通タスクの説明を提供します。

ユーザー・インターフェース・タスクの参照

IKEYMAN ユーザー・インターフェースおよび IKEYCMD コマンド行インターフェース・タスクの要約は以下のようになります。

新規の鍵のデータベースの作成

鍵のデータベースとは、 サーバーが 1 つ以上の鍵のペアと証明書を保管するために使用するファイルのことです。 すべての鍵のペアと証明書に対して 1 つの鍵のデータベースを使うこともできれば、 複数のデータベースを作成することもできます。

新規の鍵のデータベースを作成するには、次のようにしてください。

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルを選択し、次に、新規作成をクリックします。
3. 「新規作成」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は、key.kdb をクリックしてください。 OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックス内で、 正しいパスワードを入力し、さらに確認のためのパスワードを入力してください。 OK をクリックします。

Linux for S/390 ユーザー:

Java com.ibm.gsk.ikeyman.ikeycmd -keydb -create -db <file name>.kdb -pw <password>
 -type cms -expire <days> -stash

鍵のデータベース作成時に -stash オプションを指定した場合、以下のようなファイル名で作成されたファイルにパスワードは隠されます。

	   <file name of key database>.sth

データベース・パスワードの設定

新規の鍵のデータベースを作成した場合は、鍵のデータベース・パスワードを指定します。 このパスワードは、秘密鍵を保護します。 秘密鍵は、ドキュメントに署名したり、公開鍵で暗号化されたメッセージを暗号化解除することのできる唯一の鍵です。 鍵のデータベースのパスワードを頻繁に変更することをお勧めします。

パスワードを指定する場合、次のガイドラインを使用してください。

• パスワードは米国英語の文字セットにある文字を使用する必要があります。
• パスワードは最低 6 文字であり、連続していない数字が少なくとも 2 つ含まれている必要があります。 パスワードが、公的に取得できる自分に関する情報 (たとえば、ご自分、配偶者、 または子供のイニシアルや誕生日) から構成したものでないことを確認してください。
• パスワードを隠しておきます。

パスワードの有効期限を覚えておいてください。 パスワードが失効すると、メッセージがエラー・ログに書き込まれます。 パスワードの有効期限が切れると、サーバーは始動しますが、セキュア・ネットワーク接続は存在しません。

データベース・パスワードの変更

データベースのパスワードを変更するには、次のようにします。

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。 OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックスにパスワードを入力して、OK をクリックします。
5. メイン UI から鍵のデータベース・ファイルをクリックし、次にパスワード変更をクリックします。
6. 「パスワード・プロンプト」ダイアログ・ボックス内に、 新規パスワードを入力し、さらに確認のための新規パスワードを入力してください。 OK をクリックします。

Java com.ibm.gsk.ikeyman.ikeycmd -keydb -changepw dB <file name> .kdb -pw <password> -new_pw
<new_password> -expire <days> -stash

サーバーに鍵のデータベースを登録する

デフォルトの鍵のデータベース名の初期構成設定は key.kdb です。 key.kdb をデフォルトの鍵のデータベース名として使用する場合には、 サーバーにデータベースを登録する必要はありません。 サーバーは、構成ファイルの中の KeyFile ディレクティブの初期設定を使用します。 デフォルトの鍵の データベース名として key.kdb を使用しない場合、あるいは追加の鍵のデータベースを作成した場合には、 これらのデータベースを登録する必要があります。

新規の鍵ペアおよび認証要求を作成する

鍵のペアと認証要求は鍵のデータベースの中に保管されています。公開鍵と秘密鍵のペア、および認証要求を作成するには、次のようにします。

1. 鍵のデータベースをまだ作成していない場合は、その作成方法について、 新規の鍵のデータベースの作成を参照してください。
2. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
3. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
4. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。 OK をクリックします。
5. 「パスワード・プロンプト」ダイアログ・ボックスに、正しいパスワードを入力して、OK をクリックします。
6. メイン UI から作成をクリックし、次に認証要求の新規作成をクリックします。
7. 「鍵および認証要求の新規作成」ダイアログ・ボックスに、次のように入力してください。
   • 鍵ラベル : データベースの中の鍵と証明書を識別するために使用する記述の注釈を入力してください。
   • 鍵長
   • 組織名
   • 組織単位 (オプション)
   • 市町村名 (オプション)
   • 都道府県名 (オプション)
   • 郵便番号 (オプション)
   • 国名 : 国別コードを入力します。少なくとも 2 文字を指定してください。 例: US
   • 認証要求ファイル名を入力するか、デフォルト名を使用します。
8. OK をクリックします。
9. 「情報」ダイアログ・ボックスで OK をクリックします。 このファイルを認証局に送るよう促すメッセージが表示されます。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

1. 以下のコマンドを入力してください:

   Java com.ibm.gsk.ikeyman.ikeycmd -certreq -create dB <dB_name>.kdb -pw 
   <password> -size <1024 | 512> -dn<distinguished_name>
   -file <file name> -label <label>
   

   オプション：
   -size: 鍵長が 512 か 1024 を示します。
   -label: 証明書または認証要求に添付するラベルを示します。
   -dn: X.500 識別名を示します。以下の書式を引用符付きストリングで入力します。 (CN、O、および C のみが必須です) CN=共通名、O=組織、OU=組織単位、L=位置、ST=都道府県、C=国。
   例:

   "CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"

   
   オプション：

   -file: 認証要求が保管されるファイル名を表します。

2. 証明書が正常に作成されたことを確認してください。
   1. 作成した認証要求ファイルの内容を表示してください。
   2. 鍵のデータベースが認証要求を記録したことを確認してください。

      Java com.ibm.gsk.ikeyman.ikeycmd -certreq -list dB <file name>
      -pw <password>
      

      作成したばかりのラベルのリストを見ることができます。
3. 新規に作成されたファイルを認証局に送ります。

自己署名付き証明書の作成

予約済みの CA から証明書を取得するには通常、2 - 3 週間を要します。 証明書の発行を待つ間 IKEYMAN を使って、 クライアントとサーバー間の SSL セッションを可能にする自己署名付きサーバー証明書を作成することができます。 私設 Web ネットワークで、そのネットワーク内の CA として活動する場合に、この手順を使用します。

自己署名付き証明書を作成するには、次のようにします。

1. 鍵のデータベースをまだ作成していない場合は、その作成方法について、新規の鍵のデータベースの作成を参照してください。
2. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
3. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
4. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。 OK をクリックします。
5. 「パスワード・プロンプト」ダイアログ・ボックスにパスワードを入力して、OK をクリックします。
6. 「鍵のデータベース」コンテンツ・フレームの中から個人証明書をクリックして、自己署名付き証明書の新規作成ラジオ・ボタンをクリックします。
7. 「パスワード・プロンプト」ダイアログ・ボックスに、以下の情報を入力します。
   • 鍵ラベル : データベースの中の鍵と証明書を識別するために使用する記述の注釈を入力してください。
   • 鍵長
   • 共通名 : 共通名として Web サーバーの完全修飾ホスト名を入力してください。 例 : www.myserver.com.
   • 組織名
   • 組織単位 (オプション)
   • 市町村名 (オプション)
   • 都道府県名 (オプション)
   • 郵便番号 (オプション)
   • 国名 : 国別コードを入力します。少なくとも 2 文字を指定してください。 例: US
   • 有効期間
8. OK をクリックします。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、 鍵管理ユーティリティー・コマンド行インターフェースの使用を参照してください。

Java com.ibm.gsk.ikeyman.ikeycmd -cert -create dB <dB_name>.kdb -pw <password>
-size <1024 | 512> -dn<distinguished name> -label <label> -default_cert
<yes or no>

"CN=weblinux.raleigh.ibm.com,O=IBM,OU=IBM HTTP Server,L=RTP,ST=NC,C=US"

鍵のエクスポート

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「パスワード・プロンプト」ダイアログ・ボックスに鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力して、OK をクリックします。
5. 「鍵のデータベース」コンテンツ・フレームの中から個人証明書をクリックし、 次にラベル上のエクスポート/インポートをクリックします。
6. 「鍵のエクスポート/インポート」ウィンドウで、次のようにしてください。
   • 鍵のエクスポートをクリックします。
   • ターゲット・データベース・タイプをクリックします。
   • ファイル名を入力するか、「参照」オプションを使用します。
   • 正しい位置を入力します。
7. OK をクリックします。
8. 「パスワード・プロンプト」ダイアログ・ボックスで OK をクリックして、 選択した鍵を別の鍵のデータベースにエクスポートします。

鍵を PKCS12 ファイルにエクスポートするには、次のようにしてください。

1. UNIX プラットフォームの場合は、コマンド行に ikeyman を入力し、Windows NT オペレーティング・システムの場合は、IBM HTTP Server フォルダーから鍵管理ユーティリティーを開始してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。 OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックスにパスワードを入力して、OK をクリックします。
5. 「鍵のデータベース」コンテンツ・フレームの中から個人証明書をクリックし、 次にラベル上のエクスポート/インポートをクリックします。
6. 「鍵のエクスポート/インポート」ウィンドウで、次のようにしてください。
   • 鍵のエクスポートをクリックします。
   • PKCS12 データベース・ファイル・タイプをクリックします。
   • ファイル名を入力するか、「参照」オプションを使用します。
   • 正しい位置を入力します。
7. OK をクリックします。
8. 「パスワード・プロンプト」ダイアログ・ボックス内で、 正しいパスワードを入力し、確認のためのパスワードを再度入力してください。 OK をクリックして選択した鍵を PKCS12 ファイルにエクスポートします。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

鍵のインポート

別の鍵のデータベースから鍵をインポートするには、次のようにします。

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。 OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックスにパスワードを入力して、OK をクリックします。
5. 「鍵のデータベース」コンテンツ・フレームの中から個人証明書をクリックし、 次にラベル上のエクスポート/インポートをクリックします。
6. 「鍵のエクスポート/インポート」ウィンドウで、次のようにしてください。
   • 鍵のインポートをクリックします。
   • 鍵のデータベース・ファイル・タイプをクリックします。
   • ファイル名を入力するか、「参照」オプションを使用します。
   • 正しい位置を選択します。
7. OK をクリックします。
8. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力して、OK をクリックします。
9. 「選択元鍵ラベル」リストから正しいラベル名をクリックして、OK をクリックします。

PKCS12 ファイルから鍵をインポートするには、次のようにします。

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。 OK をクリックします。
4. パスワードを入力して、OK をクリックします。
5. 「鍵のデータベース」コンテンツ・フレームの中から個人証明書をクリックし、 次にラベル上のエクスポート/インポートボタンをクリックします。
6. 「鍵のエクスポート/インポート」ウィンドウで、次のようにしてください。
   • 鍵のインポートをクリックします。
   • PKCS12 をクリックします。
   • ファイル名を入力するか、「参照」オプションを使用します。
   • 正しい位置を選択します。
7. OK をクリックします。
8. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力してから、OK をクリックします。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報について IKEYCMD コマンド行インターフェースの使用を参照してください。

認証局のリスト表示

鍵のデータベースの中のトラステッド認証局 (CA) のリストを表示するには、次のようにします。

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。 OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力して、OK をクリックします。
5. 「鍵のデータベース」コンテンツ・フレームから署名者証明書をクリックします。
6. 署名者証明書、個人証明書、または認証要求をクリックして、 「鍵情報」ウィンドウに「CA のリスト」を表示します。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

Java com.ibm.gsk.ikeyman.ikeycmd -cert -list CA dB <dbname>.kdb -pw <password>
-type CMS

鍵のデータベースのオープン

既存の鍵のデータベースをオープンするには、次のようにします。

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb ファイルをクリックします。 OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力して、OK をクリックします。
5. 鍵のデータベース名が「ファイル名」テキスト・ボックスに表示されます。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

認証局からの署名付き証明書の受け取り

この手順を使用して、ご使用のサーバーのトラステッド CA として指定された、 認証局 (CA) から電子メールで送信された証明書を受信します。 デフォルトでは、 次の CA 証明書が鍵のデータベースに保管され、トラステッド CA 証明書としてマークされます。

• RSA Secure Server Certification Authority (VeriSign から)
• Thawte Personal Basic CA
• Thawte Personal Freemail CA
• Thawte Personal Premium CA
• Thawte Premium Server CA
• Thawte Server CA
• Verisign Class 1 CA Individual-Persona Not Validated
• Verisign Class 2 CA Individual-Persona Not Validated
• Verisign Class 3 CA Individual-Persona Not Validated
• VeriSign Class 1 Public Primary Certification Authority
• VeriSign Class 2 Public Primary Certification Authority
• VeriSign Class 3 Public Primary Certification Authority
• VeriSign Test CA Root Certificate

認証局は複数の証明書を送ることがあります。 ご使用のサーバーの証明書に加え、CA は追加の署名付き証明書や中間 CA 証明書も送ることがあります。 たとえば、Verisign がグローバル・サーバー ID 証明書を送るときには、中間 CA 証明書が含まれています。 サーバー証明書を受け取る前に、追加の中間 CA 証明書があれば受け取る必要があります。 CA 証明書の保管の指示にしたがって、中間 CA 証明書を受け取ってください。

CA 署名の証明書を発行する CA が鍵のデータベースの中でトラステッド CA となっていない場合は、まず最初にその CA の証明書を保管して、その CA をトラステッド CA に指名する必要があります。 そのあとで、CA 署名付き証明書をデータベースに受け取ることができます。 トラステッド CA でない CA から CA 署名付き証明書を受け取ることはできません。 詳しいやり方については、CA 証明書の保管を参照してください。

CA 署名付き証明書を鍵のデータベース内で受け取るには、次のようにします。

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。 OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力して、OK をクリックします。
5. 「鍵のデータベース」コンテンツ・フレームの中から個人証明書をクリックし、 次に受け取りをクリックします。
6. 「ファイルから証明書を受け取る」ダイアログ・ボックスで、 「証明書ファイル名」テキスト・フィールドに、有効な Base64 エンコード・ファイル名を入力します。 OK をクリックします。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

Java com.ibm.gsk.ikeyman.ikeycmd -cert -receive -file <file name> dB <dB_name>
.kdb -pw <password> -format <ascii | binary> -default_cert <yes | no>

鍵のデータベースにデフォルト鍵を表示する

デフォルト鍵エントリーを表示するには、次のようにします。

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。 OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックスにパスワードを入力して、OK をクリックします。
5. 「鍵のデータベース」コンテンツ・フレームの中から個人証明書をクリックして、CA 証明書のラベル名をクリックします。
6. 表示/編集をクリックして、「鍵情報」ウィンドウに証明書デフォルト鍵情報を表示します。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

Java com.ibm.gsk.ikeyman.ikeycmd -cert -getdefault dB <dbname>.kdb -pw <password>

認証局証明書の保管

トラステッド CA でない CA からの証明書を保管するには、次のようにします。

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。 OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力して、OK をクリックします。
5. 「鍵のデータベース」コンテンツ・フレームの中から個人証明書をクリックし、 次に追加をクリックします。
6. 「ファイルから CA 証明書を追加」ダイアログ・ボックスで Base64 エンコード ASCII データ証明書ファイル名をクリックするか、「参照」オプションを使用します。 OK をクリックします。
7. 「ラベル」ダイアログ・ボックスにラベル名を入力し、OK をクリックします。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

Java com.ibm.gsk.ikeyman.ikeycmd -cert -add dB <file name>.kdb -pw <password>
-label <label> -format <ASCII | binary> -trust <enable |disable> -file
<file>

暗号化されたデータベース・パスワードを Stash ファイルに保管する

セキュア・ネットワーク接続を実現するには、 stash ファイルに暗号化されたデータベース・パスワードを保管します。

データベースを作成中にパスワードを保管するには、次のようにします。

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「新規作成」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb ファイルをクリックします。 OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックス内で、 正しいパスワードを入力し、さらに確認のためのパスワードを入力してください。
5. 「隠す」ボックスを選択して、OK をクリックします。
6. 鍵のデータベース・ファイル > パスワードを隠すとクリックします。
7. 「情報」ダイアログ・ボックスで OK をクリックします。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

Java com.ibm.gsk.ikeyman.ikeycmd -keydb -create dB <path_to_dB>/<dB_name>.kdb-pw <password> -type CMS -expire <days> -stash

データベースを作成後にパスワードを保管するには、次のようにします。

1. IKEYMAN GUI を始動します。 プラットフォーム固有の手順については、鍵管理ユーティリティーの始動を参照してください。
2. メイン UI から鍵のデータベース・ファイルをクリックし、次にオープンをクリックします。
3. 「オープン」ダイアログ・ボックスに、鍵のデータベース名を入力するか、あるいはデフォルトを使用する場合は key.kdb をクリックします。 OK をクリックします。
4. 「パスワード・プロンプト」ダイアログ・ボックスに正しいパスワードを入力して、OK をクリックします。
5. 鍵のデータベース・ファイルをクリックし、次にパスワードを隠すをクリックします。
6. 「情報」ダイアログ・ボックスで OK をクリックします。

Linux for S/390 ユーザー: IKEYCMD に関する詳細情報については、IKEYCMD コマンド行インターフェースの使用を参照してください。

Java com.ibm.gsk.ikeyman.ikeycmd -keydb -stashpw dB <dB_name>.kdb -pw <password>

Linux for S/390 の場合: 鍵管理ユーティリティーのコマンド行インターフェースの使用

Linux for S/390 オペレーティング・システム上で、IKEYCMD、IKEYCMD の Java コマンド行インターフェースは、 鍵の作成および管理、証明書および認証要求に必要なオプションを提供します。 独自の CA として活動する場合には、IKEYCMD を使用して、自己署名付き証明書を作成することができます。 私設 Web ネットワークに対する独自の CA として活動している場合には、サーバーの CA ユーティリティーを使用し、 私用ネットワーク内のクライアントおよびサーバーに対して署名付き証明書を生成し、発行するオプションがあります。

公開鍵と秘密鍵の作成および管理に関連した構成タスクに IKEYCMD を使用します。 IKEYCMD は、サーバー構成ファイル httpd.conf を更新する構成オプションには使用できません。 サーバー構成ファイルを更新するオプションの場合には、 IBM Administration Server を使用します。

IKEYCMD ユーザー・インターフェースは、Java および固有コマンド行呼び出しを使用し、IKEYMAN のタスク・スクリプトを使用可能にします。

鍵管理ユーティリティーのコマンド行構文について

Java コマンド行インターフェースの構文は以下のとおりです。

 	Java [-Dikeycmd.properties=<properties_file>] com.ibm.gsk.ikeyman.ikeycmd 
		<object> <action> [options]

オプション：

「オブジェクト」には以下のいずれかを含みます。

アクション はオブジェクトに対して取られる特定のアクションを表し、オプション はオブジェクトおよびアクションのペアに対して指定される必須と任意指定の両方のオプションを表します。

オブジェクト とアクション のキーワードは、位置が決まっていて、選択した順序で指定する必要があります。 しかし、オプションの位置は決まっておらず、オプションおよびオペランドのペアで任意の順序で指定することができます。

鍵管理ユーティリティーのコマンド行パラメーターの検討

以下のテーブルは、指定されたオブジェクト に対して実行可能なそれぞれのアクション を説明します。

オブジェクト	アクション	説明
-keydb	-changepw	鍵のデータベースのパスワードを変更します
	-convert	鍵のデータベースのフォーマットを変換します
	-create	鍵のデータベースを作成します
	-delete	鍵のデータベースを削除します
	-stashpw	鍵のデータベースのパスワードをファイル内に隠しておきます
-cert	-add	ファイルから CA 証明書を鍵のデータベースに追加します
	-create	自己署名付き証明書を作成します
	-delete	CA 証明書を削除します
	details	特定の証明書のための詳細情報をリストします
	-export	個人証明書とそれに関連する秘密鍵を PKCS#12 ファイルまたは他の鍵のデータベースにエクスポートします
	-extract	鍵のデータベースから証明書を抽出します
	-getdefault	デフォルト・パーソナル証明書を取得します
	-import	鍵のデータベースまたは PKCS#12 ファイルから証明書をインポートします
	-list	すべての証明書をリストします
	-modify	証明書を修正します ( 現在、修正できるフィールドは「証明書トラスト」フィールドのみです。)
	-receive	ファイルから鍵のデータベース内へ証明書を受け取ります
	-setdefault	デフォルト・パーソナル証明書を設定します
	-sign	ファイルに保管された証明書と鍵のデータベースに保管された証明書に署名し、 署名された証明書をファイルに保管します
-certreq	-create	認証要求を作成します
	-delete	認証要求データベースから認証要求を削除します
	-details	特定の認証要求の詳細情報をリストします
	extract	認証要求データベースから認証要求をファイルに抽出します
	-list	認証要求データベースのすべての認証要求をリストします。
	-recreate	認証要求を再作成します
-help		IKEYCMD コマンドのヘルプ情報を表示します
-version		IKEYCMD バージョン情報を表示します

鍵管理ユーティリティーのコマンド行オプションの検討

以下のテーブルは、コマンド行に指定できる各オプションを示します。 オプションは、 完全なグループとしてリストされます。 しかし、これらの使用法はコマンド行上に指定されたオブジェクト およびアクション に依存します。

"CN=Jane Doe,O=IBM,OU=Java Development,L=Endicott,ST=NY,ZIP=13760,C=country"

コマンド行呼び出しの使用

各コマンド行呼び出しのリストは、以下のとおりで、オプション・パラメーターがイタリック体で指定されています。

簡略化のため、実際の Java 呼び出し java com.ibm.gsk.ikeyman,iKeycmd は、各コマンド呼び出しでは省略されています。

-keydb -changepw dB <file name> -pw <password> -new_pw <new_password> -stash
	-expire <days>
-keydb -convert dB <file name> -pw <password> -old_format <CMS | webdb>
	-new_format <CMS>
-keydb -create dB <file name> -pw <password> -type <CMS | sslight> -expire
	<days> -stash
-keydb -delete dB <file name> -pw <password>
-keydb -stashpw dB <file name> -pw <password>

-cert -add dB <file name> -pw <password> -label <label> -file <file name> -format
	 <ASCII | binary> -trust <enable | disable> 
-cert -create dB <file name> -pw <password> -label <label> -dn <distinguished_name>
	-size <1024 | 512> -x509version <3  | 1 | 2> -default_cert <no | yes>
-cert -delete dB <file name> -pw <password> -label <label>
-cert -details dB <file name> -pw <password> -label <label>
-cert -export dB <file name> -pw <password> -label <label> -type <CMS | sslight>
	-target <file name> -target_pw <password> -target_type <CMS | sslight | pkcs12>
	-encryption <strong | weak> -cert -extract dB <file name> -pw <password> -label <label> -target <file name>
	-format <ASCII | binary> -cert -getdefault dB <file name> -pw <password>
-cert -import dB <file name> -pw <password> -label <label> -type <CMS | sslight>
	-target <file name> -target_pw <password> -target_type <CMS | sslight>
-cert -import -file <file name> -type <pkcs12> -target <file name> -target_pw <password>
	-target_type <CMS | sslight>
-cert -list <all | personal | CA | site> dB <file name> -pw <password> -type
	<CMS | sslight>
-cert -modify dB <file name> -pw <password> -label <label>  -trust <enable | disable>
-cert -receive -file <file name> dB <file name> -pw <password> -format <ASCII | binary>
	-default _cert <no | yes>
-cert -setdefault dB <file name> -pw <password> -label <label>
-cert -sign -file <file name> dB <file name> -pw <password> -label <label> -target <file name>
	-format <ASCII | binary>  -expire <days>

-certreq -create dB <file name> -pw <password> -label <label> -dn <distinguished_name>
	-size <1024 | 512> -file <file name>
-certreq -delete dB <file name> -pw <password> -label <label>
-certreq -details dB <file name> -pw <password> -label <label>
-certreq -extract dB <file name> -pw <password> -label <label> -target <file name>
-certreq -list dB <file name> -pw <password>
-certreq -recreate dB <file name> -pw <password> -label <label> -target <file name>

-help

-version

ユーザー・プロパティー・ファイルの設定

Java コマンド行インターフェース呼び出しで、いくつかの入力を省くために、 プロパティー・ファイル内でユーザー・プロパティーを指定します。 Java コマンド行呼び出しでプロパティー・ファイルは、-Dikeycmd.properties Java オプションによって指定します。サンプル・プロパティー・ファイル ikeycmd.properties は、 Java アプリケーションで、そのアプリケーションのデフォルト設定を修正できるようにするためのサンプルとして提供されています。

     (トップに戻る)