Понимание хранилища ключей IBM cms
У меня есть IBM HTTP Server, который уже использует хранилище ключей cms. Когда команда развертывания создала хранилище ключей типа cms, инструмент ikeyman сгенерировал 4 файла (key.kdb, key.sth, key.crl, key.rdb). Я не знаю, какое из них является хранилищем ключей, а какие именно другие. Мне нужно знать, что они из себя представляют, так как в последнее время я почти работаю с продуктами IBM. Я слышал, что key.sth - это stash-файл, но я не знаю, что это означает на самом деле. Я был бы очень признателен, если кто-нибудь может мне помочь в этом
2 ответа
Вы должны рассматривать их как атомарный набор файлов и никогда не копировать подмножество. Вы всегда ссылаетесь только на *.kdb из конфигурации или с помощью инструментов управления сертификатами.
*.Kdb содержит закрытые ключи, сертификаты и CA. Он зашифрован паролем, который можно спрятать в файле *.sth.
*.Rdb содержит информацию о невыполненных запросах сертификата. Очень важно поддерживать это 1:1 с помощью KDB.
*.Crl содержит информацию об аннулировании. Как правило, это не интересно, если только оно не повреждено или не соответствует, и в этом случае это может вызвать ошибки во время выполнения.
*.Sth - это способ сохранить обфусцированный пароль в файле. Инструменты времени выполнения могут использовать этот пароль вместо того, чтобы запрашивать его в интерактивном режиме. Это очевидно должно быть защищено, если у вас есть закрытые ключи в соответствующей KDB.
Набор все вместе подобен файлу PKCS12 в других инструментах.
От ftp://ftp.software.ibm.com/software/webserver/appserv/library/v80/GSK_CapiCmd_UserGuide.pdf
Как организована база данных ключей CMS? Хранилище ключей CMS состоит из файла с расширением.kdb и, возможно, двух других файлов с расширением.rdb и.crl соответственно.
Запись ключа в файле.kdb представляет собой либо отдельный сертификат, либо сертификат плюс его зашифрованную информацию личного ключа. Закрытые ключи не могут храниться в хранилище ключей CMS без соответствующего сертификата.
Когда создается запрос сертификата, создается файл.rdb с тем же основанием файла, что и файл базы данных ключей. Этот файл используется для хранения запрошенной пары ключей вместе с данными запроса сертификата PKCS#10. Запись запроса удаляется из базы данных ключей запроса только тогда, когда подписанный сертификат получен от подписывающего органа и принят в базу данных ключей. Подписанный сертификат сопоставляется с закрытым ключом в файле.rdb, и вместе они добавляются в файл.kdb как сертификат с информацией о секретном ключе.
Файл.crl также создается исключительно по старым причинам (в прошлом он содержал списки отзыва сертификатов (CRL)). Этот файл больше не используется и всегда пуст.