Installer un certificat sur IBM HTTP
Afin de pouvoir utiliser un certificat avec IBM HTTP, il faudra créer un fichier de base de donnée de clé à l'aide de l'Utilitaire gkcapicmd.
Cette documentation vise à permettre l'installation d'un certificat dans une base contenant la clé associée. Pour importer un certificat avec clé, veuillez consulter la documentation spécifique.
Utiliser gskcmd
La première étape consiste à localiser l'exécutable gkcapicmd. Par défaut, celui-ci est localisé dans le répertoire bin du répertoire d'installation. L'exécutable se nomme gskcmd.bat sous Windows et gskcmd sous les autres plateformes.
Il est également possible d'utiliser l'utilitaire gskcapicmd afin de réaliser la majorité des mêmes opérations. Cet outil est destiné à gérer les supports cryptographiques, type PKCS#11. Son répertoire est le même. L'exécutable se nomme gskcapicmd.bat sous Windows et gskcapicmd sous les autres plateformes.
Ajouter les autorités à la base
Tout d'abord, il faut ajouter les autorités à votre base de clé et configurer leur confiance. La documentation officielle ne précise pas si la racine est nécessaire. Nous recommandons dans un premier temps de l'ajouter, sauf information contraire. Il faut ajouter les certificats dans l'ordre inverse :
- Certificat Racine
- Intermédiaire 2
- Intermédiaire 1
- (Votre certificat)
Commande pour ajouter une autorité :
repertoire_installation/bin/gskcmd -cert -add -db votreBase.kdb -stashed -stash votreBase.sth -label Intermediaire1 -format ascii -trust enable -file intermediaire1.crt
Installer le certificat dans la base
Il convient maintenant d'importer votre certificat dans la base:
repertoire_installation/bin/gskcmd -cert -receive -file votreCertificat.cer -db votreBase.kdb -stashed -stash votreBase.sth -format ascii -label votreLabel -default_cert yes
Votre certificat est désormais prêt à être utilisé.
Configurer IBM HTTP pour utiliser le certificat
Tout d'abord, activez le module SSL dans le fichier de configuration httpd.conf pour utiliser le module SSL :
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Ensuite, assurez-vous que votre virtualhost utilise bien SSL, ait des options sécurisées et référence votre fichier de base :
Listen 443 <VirtualHost *:443> SSLEnable SSLClientAuth None SSLProtocolDisable SSLv2 SSLProtocolDisable SSLv3 SSLProtocolEnable TLSv10 SSLProtocolEnable TLSv11 SSLProtocolEnable TLSv12 SSLCipherSpec -SSL_RSA_WITH_DES_CBC_SHA -SSL_RSA_EXPORT_WITH_RC4_40_MD5 -SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 -TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA -TLS_RSA_EXPORT1024_WITH_RC4_56_SHA -SSL_RSA_WITH_NULL_SHA -SSL_RSA_WITH_NULL_MD5 -TLS_RSA_WITH_NULL_SHA256 -SSL_NULL_WITH_NULL_NULL -SSL_DES_192_EDE3_CBC_WITH_MD5 -SSL_RC4_128_WITH_MD5 -SSL_RC2_CBC_128_CBC_WITH_MD5 -SSL_DES_64_CBC_WITH_MD5 -SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 -SSL_RC4_128_EXPORT40_WITH_MD5 -SSL_RSA_FIPS_WITH_DES_CBC_SHA -SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA SSLServerCert votreLabel KeyFile "c:/chemin/vers/votreBase.kdb" </VirtualHost> SSLDisable
Vous pouvez désormais relancer le serveur HTTP pour utiliser votre certificat.