Пример: файл конфигурации Microsoft Certificate Store

В данном примере файла показано создание хранилища ключей и базового сертификата сервера для использования в IBM® Engineering Requirements Management DOORS (DOORS), а также возможная настройка Microsoft Certificate Store (MCS) для проверки сертификата сервера. После примера приведено описание команд и параметров.

Пример файла

REM Создание
файла хранилища ключей сервера
gsk8capicmd -keydb -create -db server.kdb -pw ser123 -stash

REM Создание корневого сертификата сервера в файле server.kdb и его добавление в MCS
gsk8capicmd -cert -create -db server.kdb -pw ser123 -label "IBMEDCA1" -dn "CN=IBMEDCA1"
gsk8capicmd -cert -extract -db server.kdb -pw ser123 -label "IBMEDCA1" -target temp1.arm
gsk8capicmd -cert -add -db GSK_MS_CERTIFICATE_STORE -label "IBMEDCA1" -file temp1.arm

REM Создание и подписание сертификата сервера
gsk8capicmd -certreq -create -db server.kdb -label IBMSV1 -dn "CN=IBMEDSERV,dc=ukednode1" -file temp2.arm
gsk8capicmd -cert -sign -db server.kdb -pw ser123 -label IBMEDCA1 -file temp2.arm -target temp3.arm
gsk8capicmd -cert -receive -file temp3.arm -db server.kdb -pw ser123

REM Извлечение корневого сертификата из MCS и его добавление в файл kdb сервера
gsk8capicmd -cert -extract -db GSK_MS_CERTIFICATE_STORE -label "CN=Coy Root" -target temp4.arm
gsk8capicmd -cert -add -db server.kdb -pw ser123 -label "CN=Coy Root" -file temp4.arm

Создание файла хранилища ключей сервера

gsk8capicmd -keydb -create -db server.kdb -pw ser123 -stash
gsk8capicmd -keydb -create
Команда gsk8capicmd предназначена для управления ключами, сертификатами и запросами сертификатов в базе данных ключей. Синтаксис команды gsk8capicmd: gsk8capicmd модификаторы объект действие опции. В этом примере -keydb - это объект базы данных ключей, -create - выполняемое действие, а -db - опция. Команда создает базу данных.
-db server.kdb -pw ser123
База данных ключей с именем server.kdb и паролем (-pwd). В этом примере применяется пароль ser123.
-stash
Шифрование пароля ключа базы данных после создания. Файл бумажника применяется в качестве автоматического способа предоставления пароля. При обращении к базе данных ключей система сначала проверяет существование файла бумажника. Если он существует, то его содержимое расшифровывается и применяется в качестве пароля. Если тег -stash указан для действия создания, то пароль добавляется в файл бумажника со следующим именем: имя-базы-данных-ключей.sth.

Создание корневого сертификата сервера в хранилище ключей и его добавление в MCS

Корневой сертификат применяется для создания сертификата сервера. Так как базовый сертификат расположен в MCS, клиенты DOORS могут с его помощью проверить сертификат сервера.
gsk8capicmd -cert -create -db server.kdb -pw ser123 -label "IBMEDCA1" -dn "CN=IBMEDCA1"
-cert -create
Это команда create certificate (действие -create и объект -cert).
-label "IBMEDCA1"
В сертификат добавляется метка. В этом примере применяется метка "IBMEDCA1". Она служит для однозначной идентификации сертификата пользователем.
-dn "CN=IBMEDCA1"
Отличительное имя -dn выполняет роль уникального идентификатора сертификата. Укажите строку в кавычках в следующем формате (обязательным является только параметр CN):
  • CN=общее имя
  • O=организация
  • OU=подразделение организации
  • L=расположение
  • ST=область
  • C=страна
  • DC=компонент домена
  • EMAIL=адрес электронной почты
В этом примере применяется отличительное имя "CN=IBMEDCA1".
gsk8capicmd -cert -extract -db server.kdb -pw ser123 -label "IBMEDCA1" -target temp1.arm
-cert -extract -label "IBMEDCA1"
Это команда extract certificate (действие -extract и объект -cert). Команда извлекает данные сертификата (-label"IBMEDCA1") из базы данных ключей и сохраняет их в файле.
-target temp1.arm
Файл для извлечения сертификата.
gsk8capicmd -cert -add -db GSK_MS_CERTIFICATE_STORE -label "IBMEDCA1" -file temp1.arm
-cert -add -db GSK_MS_CERTIFICATE_STORE
Это команда add certificate (действие -add и объект -cert). Команда добавляет извлеченный сертификат (-label"IBMEDCA1" -file temp1.arm) в (-db GSK_MS_CERTIFICATE_STORE).

Создание сертификата, подписанного с помощью корневого сертификата

Сертификат сервера хранится в хранилище ключей. В этом примере отличительное имя записывается для сервера, который запущен на компьютере с именем IBMEDSERV.
gsk8capicmd -certreq -create -db server.kdb -label IBMSV1 -dn "CN=IBMEDSERV,dc=ukednode1" -file temp2.arm
-certreq -create
Это команда создания запроса сертификата (действие -create и объект -certreq).
-label IBMSV1
В сертификат добавляется метка. В этом примере применяется имя IBMSV1. Она служит для однозначной идентификации сертификата пользователем. IBMSV1 - это имя сертификата по умолчанию, используемое сервером DOORS, если имя не было указано при запуске сервера.
-dn "CN=IBMEDSERV,dc=ukednode1"
Отличительное имя -dn выполняет роль уникального идентификатора сертификата. В этом примере применяется отличительное имя "CN=IBMEDSERV,dc=ukednode1".
Прим.: В качестве IBMEDSERV следует указать имя сервера или значение опции -serverhostname (если эта опция была указана при запуске сервера).
-file temp2.arm
Имя файла, в который сертификат был извлечен в ходе создания запроса сертификата.
gsk8capicmd -cert -sign -db server.kdb -pw ser123 -label IBMEDCA1 -file temp2.arm -target temp3.arm
-cert -sign
Это команда подписания сертификата (действие -sign и объект -cert). Она позволяет подписать запрос сертификата с помощью существующего сертификата, сохраненного в базе данных ключей. Команда принимает запроса сертификата и сведения о сертификате, содержащем личный ключ для подписания.
-file temp2.arm
Имя и расположение запроса сертификата для подписания.
-target temp3.arm
Имя файла, который должен содержать подписанный сертификат.
gsk8capicmd -cert -receive -file temp3.arm -db server.kdb -pw ser123
-cert -receive
Это команда приема сертификата (действие -receive и объект -cert). Она сохраняет сертификат, завершенный для подписания запроса сертификата. Имя файла принимаемого сертификата.
-file temp3.arm
Имя файла принимаемого сертификата.

Копирование корневого сертификата из MCS и его добавление в хранилище ключей сервера

Эта часть примера позволяет проверить сертификаты на сервере.
gsk8capicmd -cert -extract -db GSK_MS_CERTIFICATE_STORE -label "CN=Coy Root" -target temp4.arm
-cert -extract -db GSK_MS_CERTIFICATE_STORE -label -"CN=Coy Root" target temp4.arm
Это команда извлечения сертификата (действие -extract и объект -cert). Команда извлекает данные сертификата (-label"CN=Coy Root") из базы данных MCS (-db GSK_MS_CERTIFICATE_STORE) и сохраняет их в файле (temp4.arm).
gsk8capicmd -cert -add -db server.kdb -pw ser123 -label "CN=Coy Root" -file temp4.arm
-cert -add -label "CN=Coy Root" -file temp4.arm
Это команда добавления сертификата (действие -add и объект -cert). Она добавляет сертификат в указанное хранилище ключей.
Прим.: В этих командах применяется корневой сертификат CN=Coy Root. Фактическое имя сертификата может быть более длинным. Кроме того, если организация использует несколько корневых сертификатов, то каждый из них следует извлечь и добавить отдельно. Например, один корневой сертификат может применяться для 500 пользователей, а другой - для 2000 пользователей. В этом случае оба сертификата необходимо добавить в файл server.kdb.

значок видео Видеозапись

Канал Jazz.net
Канал Software Education

значок обучения Курсы

Академия IoT
Шлюз навыков

значок вопроса Сообщество

Jazz.net
Форумы Jazz.net
Библиотека Jazz.net

значок поддержки Поддержка

Сообщество службы поддержки IBM
Вики о развертывании