IKEYCMD は、iKeyman に加えて、鍵、証明書、認証要求の管理に使用できるツー
ルです。機能的には iKeyman と類似していますが、IKEYCMD ではコマンド行構 文を使用し、グラフィカル・ユーザー・インターフェースは使用しません。
IKEYCMD は、証明書と鍵管理タスクにカスタム・インターフェースの追加を行う
アプリケーションのために、ネイティブ・シェル・スクリプトおよびプログラムか ら呼び出すことができます。そして、iKeyman が現在サポートしているすべてのタ イプの鍵データベース・ファイルを作成できます。IKEYCMD を使用すれば、認証 要求の作成、CA 署名証明書のインポート、および自己署名証明書の管理ができま す。IKEYCMD は Java ベースで、SSL ツールキットがサポートするすべてのプラ ットフォームで使用できます。
IKEYCMD は、公開/秘密鍵の作成と管理に関連する構成タスクに使用します。ただ
し、サーバー構成ファイル httpd.conf を更新する構成オプションには IKEYCMD を 使用できません。サーバー構成ファイルを更新するオプションには、IBM 管理サー バーを使用する必要があります。
IKEYCMD は Java およびネイティブ・コマンド行呼び出しを使用して、IKEYMAN
タスク・スクリプトを使用可能にします。
IKEYCMD コマンド行インターフェースの環境設定
IKEYMAN は、gsk7cmd コマンド (適切なパラメーターを使用して Java を呼び出
す UNIX スクリプトまたは Windows 実行可能ファイル) を使用して実行できま す。または、Java を使用してクラスを直接実行することもできます。
IKEYMAN コマンド行インターフェースでは、gsk7cmd を使用する方法を推奨し
ます。 gsk7cmd を使用して IKEYCMD を実行するには、以下の手順で環境変数
を設定します。
1. Java または JRE 実行可能ファイルのロケーションへのパスを設定します。
UNIX export PATH=/opt/IBMJava/bin:/usr/local/ibm/gsk7/bin:$PATH Windows
「マイ コンピュータ」を右クリックします。「プロパティ」を選択しま す。「詳細」タブをクリックします。「環境変数」ボタンをクリックし ます。「システム環境変数」セクションで次のエントリーを新規に作成 します。
JAVA_HOME=C:¥Program Files¥IBM¥Java
次に既存の PATH エントリーを次のように変更します。
PATH=<existingentries>;C:¥Program Files¥IBM¥GSK7¥bin;C:¥Program Files¥IBM¥Java¥bin;
ここまで完了したら、gsk7cmd をどのディレクトリーからも実行できます。
gsk7cmd コマンドを実行するには、以下の構文を使用します。
gsk7cmd command
© Copyright IBM Corp. 2004
29
(command は必須のコマンド名です)。
2. クラスを直接指定して IKEYMAN を実行するには、以下のように環境変数を設
定して IKEYCMD コマンド行インターフェースを使用します。
a. Java または JRE 実行可能ファイルのロケーションへのパスを設定します。
UNIX
export PATH=/opt/IBMJava/bin:$PATH Windows
「マイ コンピュータ」を右クリックします。「プロパティ」を選択 します。「詳細」タブをクリックします。「環境変数」ボタンをクリ ックします。「システム環境変数」セクションでエントリーを次のよ うに編集します。
PATH=<existingentries>;C:¥Program Files¥IBM¥Java¥bin;C:¥Program Files¥IBM¥GSK7¥bin;C:¥Program Files¥IBM¥GSK7¥lib;
b. 次の CLASSPATH 環境変数を設定します。
UNIX 1 行で入力します。
export CLASSPATH=/usr/local/ibm/gsk7/classes/cfwk.zip:/usr/local/ibm /gsk/classes/gsk7cls.jar:$CLASSPATH
注: UNIX によっては、さらに CLASSPATH 環境変数の設定が必要 な場合があります。必要に応じて gsk7cmd スクリプトを参照 して設定する環境変数を決定してください。
Windows
「マイ コンピュータ」を右クリックします。「プロパティ」を選択 します。「詳細」タブをクリックします。「環境変数」ボタンをクリ ックします。「システム環境変数」セクションで次の新規変数を作成 します (1 行で入力します)。
CLASSPATH=C:¥Program Files¥IBM¥GSK¥classes¥cfwk.zip;C:¥Program Files
¥IBM¥GSK7¥classes¥gsk7cls.jar;<existingentries>
ここまで完了したら、IKEYCMD を任意のディレクトリーから実行できるようにな
ります。 IKEYCMD コマンドを実行するには、以下の構文を使用します。
java com.ibm.gsk.ikeyman.Ikeycmd command 注:
1. JRE または JDK を使用しているかどうかによっては、Java を JRE に置換でき
ます。たとえば、以下のようにします。
jre com.ibm.gsk.ikeyman.Ikeycmd <command>
2. インストール・ガイドでも説明されているように、IBM JDK 1.4.1 を使用し、
IBM JDK ディレクトリー・ツリーから gskikm.jar を除去していない場合は、
PATH または CLASSPATH の設定に関係なく、IBM JDK Ikeyman を使用しま す。これは、Ikeyman の別のバージョンが IBM JDK 1.4.1 にパッケージされて いるためです。
3. 上記の設定は、Java および SSL ツールキットの 32 ビット・バージョンを使用 していることを想定しています。インストールすると、Ikeyman コマンド行イン ターフェースの 64 ビット・バージョンを gsk7cmd_64 で呼び出すことができ ますが、64 ビット・ライブラリーおよび実行可能ファイルへのパスを環境変数
IKEYCMD コマンド行構文
Java CLI の構文は、以下のとおりです。
gsk7cmd [-Dikeycmd.properties=<properties_file>] <object> <action> [options]
コマンドの説明:
object 以下のいずれかです。
-keydb
鍵データベース (CMS 鍵データベース・ファイル、WebDB 鍵リン グ・ファイル、または SSLight クラス) に対するアクション -version
IKEYCMD のバージョン情報を表示します。
action オブジェクトに対する特定のアクション。options は、オプションで、必
須、オプション、いずれの場合でも、object および action のペアに指定さ れます。オプションのすべてのセットについては、45ページの『IKEYCMD コマンド行オプションの概要』を参照してください。 指定されているオブ ジェクトに許可されるアクションのすべてのセットについては、44ページ の『IKEYCMD コマンド行パラメーターの概要』を参照してください。
注: キーワード、「object」および「action」の位置は定位置であり、指定さ れた順番でなければなりません。ただし、options に定位置はないた め、オプションとオペランドのペアとして指定されている条件に一致す れば、順序は自由です。
-cert 証明書に対するアクション
-certreq
認証要求に対するアクション -Dikeycmd.properties
この Java の呼び出しに使用するオプションのプロパティー・ファイル名を 指定します。デフォルトのプロパティー・ファイル ikeycmd.properties がサ ンプル・ファイルとして提供されます。このファイルは Java アプリケーシ ョンで変更し使用できます。
-help IKEYCMD 呼び出しのヘルプを表示します。
ユーザー・インターフェースのタスクの参照先
以下のテーブルは、IKEYCMD コマンド行インターフェースのタスクを要約したも のです。
IKEYMAN および IKEYCMD のタスク 参照先
パスワードなしでの使用 32ページの『パスワードなしでの使用』
新規鍵データベースの作成とデータベース・
パスワードの指定
33ページの『新規鍵データベースの作成』
鍵ペアと認証要求の新規作成 35ページの『新規の鍵ペアと認証要求の作 成』
自己署名証明書の作成 35ページの『自己署名証明書の作成』
第 3 章 IKEYCMDコマンド行インターフェースの使用
31
IKEYMAN および IKEYCMD のタスク 参照先 別のデータベースまたは PKCS12 ファイル
への鍵のエクスポート
36ページの『鍵のエクスポート』
別のデータベースまたは PKCS12 ファイル からの鍵のインポート
37ページの『鍵のインポート』
認証局 (CA) と認証要求のリスト 38ページの『CA のリスト作成』
鍵データベースのオープン 38ページの『鍵データベースのオープン』
鍵データベースへの CA 署名証明書の受信 38ページの『CA 署名証明書』
スマート・カードにおけるディジタル証明書 の管理
41ページの『スマート・カードにおけるデ ィジタル証明書の管理』
鍵データベースのデフォルト鍵の表示 39ページの『鍵データベース内のデフォル ト鍵の表示』
証明書の詳細情報の表示 39ページの『証明書の詳細情報の表示』
CA のルート証明書の保管 40ページの『CA 証明書の保管』
stash ファイルへの暗号化データベース・パ
スワードの保管
28ページの『stash ファイルへの暗号化デー タベース・パスワードの保管』
パスワードなしでの使用
Certificate Management System (CMS) の鍵データベースは、パスワードなしでも操 作できます。つまり、 -pw パラメーターをオプションにすることができます。この 情報は、-Dikeycmd.properties ファイルを使用して指定できます。パスワードなし で CMS 鍵データベースを作成する場合は、使用している ikeycmd.properties フ ァイルに DEFAULT_CMS_PASSWORD_REQUIRED=false を追加し、以下を 1 行で入力す る必要があります。
gsk7cmd -Dikeycmd.properties=<properties file> -keydb -create -db <filename> -type cms -expire <days> -stash
コマンドの説明:
-create
データベースを作成します。
-db <filename>
データベースの名前です。
-expire <days>
パスワードの期限切れまでの日数です。このパラメーターは、CMS 鍵デー タベースにのみ有効です。
-keydb
コマンドが鍵データベース用であることを指定します。
<properties file>
-pw パラメーターが必要な場合にその情報を入れます。CMS 鍵データベー スでは、DEFAULT_CMS_PASSWORD_REQUIRED を使用します。
-stash 鍵データベースのパスワードを隠しておきます。鍵データベースの作成時に
-stash オプションを指定すると、<filename of key database>.sth のよう にパスワードとファイル名がファイルに隠しておかれます。
このパラメーターは、CMS 鍵データベースにのみ有効です。たとえば、作 成中のデータベースの名前を keydb.kdb にすると、stash ファイル名は、
keydb.sth となります。
注: IBM HTTP Server の場合、必ずパスワードを隠しておく必要がありま
す。
-type cms
「パスワードなし」での操作は CMS を使用した場合にのみサポートされま す。
注: IBM HTTP Server では、CMS 鍵データベースのみが処理されます。
新規鍵データベースの作成
鍵データベースとは、サーバーが 1 つ以上の鍵ペアおよび証明書を保管するために 使用するファイルです。1 つの鍵データベースをすべての鍵ペアと証明書に使用す ることも、複数のデータベースを作成することもできます。
IKEYCMD コマンド行インターフェースを使用して新規の鍵データベースを作成す
るには、次のコマンドを 1 行で入力します。
gsk7cmd -keydb -create -db <filename> -pw <password> -type
<cms | jks | jceks | pks12> -expire <days> -stash
コマンドの説明:
-db <filename>
データベースの名前です。
-expire <days>
パスワードの期限切れまでの日数です。このパラメーターは、CMS 鍵デー タベースにのみ有効です。
-keydb
コマンドが鍵データベース用であることを指定します。
-pw <password>
鍵データベースにアクセスするためのパスワードです。
-type <cms | jks | jceks | pkcsk>
データベース・タイプです。
注: IBM HTTP Server では、CMS 鍵データベースのみが処理されます。
-stash 鍵データベースのパスワードを隠しておきます。鍵データベースの作成時に
-stash オプションを指定すると、<filename_of_key_database>.sth のよう にパスワードとファイル名がファイルに隠しておかれます。
このパラメーターは、CMS 鍵データベースにのみ有効です。たとえば、作 成中のデータベースの名前を keydb.kdb にすると、stash ファイル名は、
keydb.sth となります。
注: IBM HTTP Server の場合、必ずパスワードを隠しておく必要がありま
す。
第 3 章 IKEYCMDコマンド行インターフェースの使用