ibm证书_使用IBM GSKit管理证书

ibm证书

在你开始前

本教程描述了如何将IBM GSKit和OpenSSL工具用于常见的证书管理任务。 它不是关于公用密钥加密，X.509证书或SSL / TLS的一般教程。

关于本教程

IBM全球安全工具包（GSKit）是一个通用组件，许多IBM产品使用其加密和SSL / TLS功能。 虽然每种产品都提供了一些有关如何使用GSKit的最少文档，但本教程提供了有关如何执行常见证书管理任务的全面的，与产品无关的教程。

本教程中的任务通过命令行方法进行描述，以确保可以将其合并到自动化脚本中。

目标

在本教程中，您将学习如何查找和设置GSKit命令行实用程序，如何创建各种数字证书，如何设置自己的证书颁发机构和签名证书，以及如何安装，使用和在证书之间切换。

先决条件

本教程是为使用包含GSKit的IBM产品的系统管理员，安全专家和开发人员编写的。

系统要求

您需要包含GSKit版本7或8的IBM产品。除非需要安装可选的OpenSSL软件，否则通常不需要管理或root用户访问系统。 但是，您需要对产品的证书密钥数据库进行读写访问，这可能需要管理或root用户特权。

总览

IBM全球安全套件

IBM Global Security Kit（GSKit）是一个库和一组命令行工具，可提供SSL实现以及基本的加密功能（对称和非对称密码，随机数生成，哈希等等）和密钥管理。

底层加密库IBM Crypto for C（ICC）已通过FIPS认证 。

GSKit已被许多IBM软件产品使用，以实现其安全性，可用性和FIPS认证。 一些产品公开甚至要求用户使用GSKit实用程序执行某些任务，而其他产品则将GSKit的功能包装在自己的界面中。

GSKit的可用性

GSKit是组件而不是独立产品。 不能单独获得它的产品。 GSKit支持和更新是其他产品支持和更新的一部分。

建立

了解GSKit安装方法和版本

GSKit支持两种安装方法：全局和本地。 两种类型的安装可能同时存在于系统上。

• 在全局安装中，单个GSKit实例由多个产品共享。 在此配置中，GSKit库和可执行文件位于产品安装目录之外的系统上的公共位置。 如果多个产品使用相同的GSKit版本，则这些产品将不会创建GSKit的多个副本，而是共享一个全局副本。
• 在本地安装中，每个产品都有其自己的专用版本的GSKit。 在此配置中，GSKit文件放置在产品目录结构中的某个位置，并且它们的位置可能会（也可能不会）记录在案。 如果系统上存在全局安装，则该产品将忽略该安装，该产品仅使用其本地GSKit安装。

GSKit的不同主要版本（例如，版本7和版本8）是分开的，并且可以作为全局安装共存。

本教程仅讨论GSKit版本7和8，而不讨论任何先前版本。 给出了GSKit 8的所有示例。除非另有说明，否则示例中提供的相同命令和选项也适用于版本7。

在系统上找到GSKit

GSKit命令行工具的名称如下：

gsk<version>capicmd[_64]

其中<version>是GSKit主版本（7或8）。 在64位平台上添加了_64后缀。

要在系统上找到GSKit安装：

1. 阅读产品文档以获取有关定位和运行GSKit的任何指导。 通常，如果产品需要运行GSKit命令行工具，它也会记录其位置。 某些产品可能会提供自己的包装器脚本，这些脚本可设置正确的GSKit环境，并将参数传递给GSKit命令行工具的正确实例。 如果是这种情况，请跳过本节的其余部分和下一节“ 配置环境以运行GSKit ”，并使用脚本名称代替gsk8capicmd_64 。
2. 确定是否存在GSKit的全局安装：
   • 在UNIX或Linux®上，在命令行上输入以下命令之一， gsk7capicmd_64或gsk8capicmd_64 。 如果返回除错误消息以外的其他任何内容，则表明GSKit已安装并可以使用。
   • 在Windows®上，打开注册表编辑器，然后寻找以下项之一：
     HKEY_LOCAL_MACHINE\SOFTWARE\IBM\gsk8\CurrentVersion\InstallPath
     要么
     HKEY_LOCAL_MACHINE\SOFTWARE\IBM\gsk7\CurrentVersion\InstallPath
     这些键指示GSKit的安装位置。
3. 您可以在产品的安装目录或整个文件系统/磁盘中搜索包含“ gsk”的文件和目录。 有两个子目录lib和bin ，它们包含GSKit共享库和二进制文件。

配置环境以运行GSKit

配置环境以运行GSKit的过程取决于所使用的平台类型。