ibm证书
在你开始前
本教程描述了如何将IBM GSKit和OpenSSL工具用于常见的证书管理任务。 它不是关于公用密钥加密,X.509证书或SSL / TLS的一般教程。
关于本教程
IBM全球安全工具包(GSKit)是一个通用组件,许多IBM产品使用其加密和SSL / TLS功能。 虽然每种产品都提供了一些有关如何使用GSKit的最少文档,但本教程提供了有关如何执行常见证书管理任务的全面的,与产品无关的教程。
本教程中的任务通过命令行方法进行描述,以确保可以将其合并到自动化脚本中。
目标
在本教程中,您将学习如何查找和设置GSKit命令行实用程序,如何创建各种数字证书,如何设置自己的证书颁发机构和签名证书,以及如何安装,使用和在证书之间切换。
先决条件
本教程是为使用包含GSKit的IBM产品的系统管理员,安全专家和开发人员编写的。
系统要求
您需要包含GSKit版本7或8的IBM产品。除非需要安装可选的OpenSSL软件,否则通常不需要管理或root用户访问系统。 但是,您需要对产品的证书密钥数据库进行读写访问,这可能需要管理或root用户特权。
总览
IBM全球安全套件
IBM Global Security Kit(GSKit)是一个库和一组命令行工具,可提供SSL实现以及基本的加密功能(对称和非对称密码,随机数生成,哈希等等)和密钥管理。
底层加密库IBM Crypto for C(ICC)已通过FIPS认证 。
GSKit已被许多IBM软件产品使用,以实现其安全性,可用性和FIPS认证。 一些产品公开甚至要求用户使用GSKit实用程序执行某些任务,而其他产品则将GSKit的功能包装在自己的界面中。
GSKit的可用性
GSKit是组件而不是独立产品。 不能单独获得它的产品。 GSKit支持和更新是其他产品支持和更新的一部分。
建立
了解GSKit安装方法和版本
GSKit支持两种安装方法:全局和本地。 两种类型的安装可能同时存在于系统上。
- 在全局安装中,单个GSKit实例由多个产品共享。 在此配置中,GSKit库和可执行文件位于产品安装目录之外的系统上的公共位置。 如果多个产品使用相同的GSKit版本,则这些产品将不会创建GSKit的多个副本,而是共享一个全局副本。
- 在本地安装中,每个产品都有其自己的专用版本的GSKit。 在此配置中,GSKit文件放置在产品目录结构中的某个位置,并且它们的位置可能会(也可能不会)记录在案。 如果系统上存在全局安装,则该产品将忽略该安装,该产品仅使用其本地GSKit安装。
GSKit的不同主要版本(例如,版本7和版本8)是分开的,并且可以作为全局安装共存。
本教程仅讨论GSKit版本7和8,而不讨论任何先前版本。 给出了GSKit 8的所有示例。除非另有说明,否则示例中提供的相同命令和选项也适用于版本7。
在系统上找到GSKit
GSKit命令行工具的名称如下:
gsk<version>capicmd[_64]
其中<version>
是GSKit主版本(7或8)。 在64位平台上添加了_64
后缀。
要在系统上找到GSKit安装:
- 阅读产品文档以获取有关定位和运行GSKit的任何指导。 通常,如果产品需要运行GSKit命令行工具,它也会记录其位置。 某些产品可能会提供自己的包装器脚本,这些脚本可设置正确的GSKit环境,并将参数传递给GSKit命令行工具的正确实例。 如果是这种情况,请跳过本节的其余部分和下一节“ 配置环境以运行GSKit ”,并使用脚本名称代替
gsk8capicmd_64
。 - 确定是否存在GSKit的全局安装:
- 在UNIX或Linux®上,在命令行上输入以下命令之一,
gsk7capicmd_64
或gsk8capicmd_64
。 如果返回除错误消息以外的其他任何内容,则表明GSKit已安装并可以使用。 - 在Windows®上,打开注册表编辑器,然后寻找以下项之一:
HKEY_LOCAL_MACHINE\SOFTWARE\IBM\gsk8\CurrentVersion\InstallPath
要么
HKEY_LOCAL_MACHINE\SOFTWARE\IBM\gsk7\CurrentVersion\InstallPath
这些键指示GSKit的安装位置。
- 在UNIX或Linux®上,在命令行上输入以下命令之一,
- 您可以在产品的安装目录或整个文件系统/磁盘中搜索包含“ gsk”的文件和目录。 有两个子目录
lib
和bin
,它们包含GSKit共享库和二进制文件。
配置环境以运行GSKit
配置环境以运行GSKit的过程取决于所使用的平台类型。