Cet exemple de fichier vous explique comment créer un fichier de clés de serveur
et un certificat racine de serveur à utiliser avec Rational DOORS,
et comment définir Microsoft Certificate
Store (MCS) pour valider le certificat du serveur. Le fichier d'exemple
est suivi d'une panne des commandes et des paramètres.
Exemple de fichier
REM Create a server keystore file
gsk8capicmd -keydb -create -db server.kdb -pw ser123 -stash
REM Create a server root certificate in server.kdb, and add it to the MCS
gsk8capicmd -cert -create -db server.kdb -pw ser123 -label "IBMEDCA1" -dn "CN=IBMEDCA1"
gsk8capicmd -cert -extract -db server.kdb -pw ser123 -label "IBMEDCA1" -target temp1.arm
gsk8capicmd -cert -add -db GSK_MS_CERTIFICATE_STORE -label "IBMEDCA1" -file temp1.arm
REM Create and sign a server certificate
gsk8capicmd -certreq -create -db server.kdb -label IBMSV1 -dn "CN=IBMEDSERV,dc=ukednode1" -file temp2.arm
gsk8capicmd -cert -sign -db server.kdb -pw ser123 -label IBMEDCA1 -file temp2.arm -target temp3.arm
gsk8capicmd -cert -receive -file temp3.arm -db server.kdb -pw ser123
REM Extract the root certificate from the MCS and add it to the server kdb file
gsk8capicmd -cert -extract -db GSK_MS_CERTIFICATE_STORE -label "CN=Coy Root" -target temp4.arm
gsk8capicmd -cert -add -db server.kdb -pw ser123 -label "CN=Coy Root" -file temp4.arm
Création d'un fichier de clés de serveur
gsk8capicmd -keydb -create -db server.kdb -pw ser123 -stash
- gsk8capicmd -keydb -create
- La commande gsk8capicmd est un outil permettant de gérer
les clés, les certificats et les demandes de certificats dans une base de données de clés. La
syntaxe pour gsk8capicmd est : gsk8capicmd modificateurs objet action options.
Dans cet exemple, -keydb est un objet de base de données de clés, -create est
l'action à entreprendre et -db est
l'option. La commande permet de créer une base de données de clés.
- -db server.kdb -pw ser123
- La base de données de clés est appelée server.kdb et
comporte un mot de passe (-pwd). Dans cet exemple, le mot de passe
est ser123.
- -stash
- Dissimulez le mot de passe de la base de données de clés après sa création. Un fichier de dissimulation
est utilisé de manière automatique pour fournir un mot de passe. Lorsque vous
accédez à une base de données de clés, le système commence par vérifier l'existence d'un
fichier de dissimulation. Le cas échéant, le contenu du fichier est déchiffré
et utilisé comme entrée pour le mot de passe. Si la balise -stash
est spécifiée lors de l'action de création, le mot de passe est dissimulé dans un
fichier nommé comme suit : nom_bdd_clés.sth.
Création d'un certificat racine dans le fichier de clés et ajout
à MCS
Le certificat racine permet de créer un certificat
de serveur. Etant donné que le certificat racine se trouve dans MCS, les clients Rational DOORS
peuvent valider le certificat du serveur à l'aide de MCS.
gsk8capicmd -cert -create -db server.kdb -pw ser123 -label "IBMEDCA1" -dn "CN=IBMEDCA1"
- -cert -create
- Il s'agit de la commande create certificate (action -create
et objet -cert).
- -label "IBMEDCA1"
- Un libellé est associé au certificat. Dans cet exemple, le nom
est "IBMEDCA1". Le libellé permet à un utilisateur d'identifier
le certificat de manière unique.
- -dn "CN=IBMEDCA1"
- Le nom distinctif -dn unique identifie
le certificat. L'entrée doit être une chaîne entre guillemets au
format suivant (seul le nom usuel est obligatoire) :
- CN=nom usuel
- O=organisation
- OU=unité organisationnelle
- L=emplacement
- ST=état, province
- C=pays
- DC=composant de domaine
- EMAIL=adresse électronique
Dans cet exemple, le nom distinctif est "CN=IBMEDCA1".
gsk8capicmd -cert -extract -db server.kdb -pw ser123 -label "IBMEDCA1" -target temp1.arm
- -cert -extract -label "IBMEDCA1"
- Il s'agit de la commande extract certificate (action -extract
et objet -cert). La commande permet d'extraire les données du certificat
nommé (-label"IBMEDCA1") de la base de données de clés
et de les placer dans un fichier.
- -target temp1.arm
- Fichier dans lequel doit être extrait le certificat.
gsk8capicmd -cert -add -db GSK_MS_CERTIFICATE_STORE -label "IBMEDCA1" -file temp1.arm
- -cert -add -db GSK_MS_CERTIFICATE_STORE
- Il s'agit de la commande add certificate (action -add
et objet -cert). La commande permet d'ajouter le certificat
extrait (-label"IBMEDCA1" -file temp1.arm)
à MCS (-db GSK_MS_CERTIFICATE_STORE).
Création d'un certificat de serveur signé avec le
certificat racine
Le certificat du serveur est stocké dans le magasin de clés.
Dans l'exemple, le nom distinctif est écrit pour un serveur
s'exécutant sur un ordinateur appelé
IBMEDSERV.
gsk8capicmd -certreq -create -db server.kdb -label IBMSV1 -dn "CN=IBMEDSERV,dc=ukednode1" -file temp2.arm
- -certreq -create
- Il s'agit de la commande create certificate request
(action -create et objet -certreq).
- -label IBMSV1
- Un libellé est associé au certificat. Dans cet exemple, le nom
est IBMSV1. Le libellé permet à un utilisateur d'identifier
le certificat de manière unique. IBMSV1 est le nom de certificat
par défaut utilisé par le serveur Rational DOORS si aucun nom n'est
spécifié au démarrage du serveur.
- -dn "CN=IBMEDSERV,dc=ukednode1"
- Le nom distinctif -dn unique identifie
le certificat. Dans cet exemple, le nom distinctif est "CN=IBMEDSERV,dc=ukednode1".
Remarque : La partie IBMEDSERV
du nom distinctif doit correspondre au nom du serveur ou
à la valeur utilisée pour -serverhostname si cette
option est utilisée au démarrage du serveur.
- -file temp2.arm
- Nom du fichier dans lequel la demande de certificat est extraite lors
du processus de création de la demande de certificat.
gsk8capicmd -cert -sign -db server.kdb -pw ser123 -label IBMEDCA1 -file temp2.arm -target temp3.arm
- -cert -sign
- Il s'agit de la commande sign certificate (action -sign
et objet -cert). La commande autorise la signature
d'une demande de certificat par un certificat existant stocké
dans une base de données de clés. La commande accepte une demande de certificat dans un
format de fichier spécifié et les détails du certificat contenant
la clé privée à utiliser lors du processus de signature.
- -file temp2.arm
- Nom et emplacement de la demande de certificat à signer.
- -target temp3.arm
- Nom du fichier dans lequel sera placé le certificat signé.
gsk8capicmd -cert -receive -file temp3.arm -db server.kdb -pw ser123
- -cert -receive
- Il s'agit de la commande receive certificate (action -receive
et objet -cert). La commande stocke un certificat
requis pour signer une demande de certificat. Nom de fichier
du certificat à recevoir.
- -file temp3.arm
- Nom de fichier du certificat à recevoir.
Copie du certificat racine pour les certificats de
MCS et ajout au fichier de clés
Cette partie de l'exemple
permet au serveur de valider les certificats.
gsk8capicmd -cert -extract -db GSK_MS_CERTIFICATE_STORE -label "CN=Coy Root" -target temp4.arm
- -cert -extract -db GSK_MS_CERTIFICATE_STORE -label -"CN=Coy
Root" target temp4.arm
- Il s'agit de la commande extract certificate (action -extract
et objet -cert). La commande permet d'extraire les données du
certificat nommé (-label"CN=Coy Root") de la base de données MCS
(-db GSK_MS_CERTIFICATE_STORE) et de les placer
dans un fichier (temp4.arm).
gsk8capicmd -cert -add -db server.kdb -pw ser123 -label "CN=Coy Root" -file temp4.arm
- -cert -add -label "CN=Coy Root" -file temp4.arm
- Il s'agit de la commande add certificate (action -add
et objet -cert). La commande permet d'ajouter un certificat
au fichier de clés nommé.
Remarque : Dans ces commandes, le nom du certificat racine
est CN=Coy Root. Le certificat racine que vous
utilisez a un nom plus long. De même, si votre organisation utilise plusieurs
certificats racine, vous devez extraire et ajouter chaque certificat racine
individuellement. Par exemple, un certificat racine peut s'appliquer aux
cartes utilisées par 500 utilisateurs et un autre certificat racine peut s'appliquer
aux 2 000 autres utilisateurs. Dans ce cas, vous devez ajouter ces deux
certificats racine server.kdb.