Exporter un certificat pour IBM HTTP
Afin de pouvoir utiliser un certificat avec IBM HTTP, il faudra créer un fichier de base de donnée de clé à l'aide de l'Utilitaire gkcapicmd.
Utiliser gskcmd
La première étape consiste à localiser l'exécutable gkcapicmd. Par défaut, celui-ci est localisé dans le répertoire bin du répertoire d'installation. L'exécutable se nomme gskcmd.bat sous Windows et gskcmd sous les autres plateformes.
Il est également possible d'utiliser l'utilitaire gskcapicmd afin de réaliser la majorité des mêmes opérations. Cet outil est destiné à gérer les supports cryptographiques, type PKCS#11. Son répertoire est le même. L'exécutable se nomme gskcapicmd.bat sous Windows et gskcapicmd sous les autres plateformes.
Exporter le certificat avec clé
Tout d'abord, il vous faudra vous prémunir de votre base de clés. Vous pourrez exporter votre certificat soit au format PKCS#12 ou Keystore Java (JKS). Il est possible de convertir ensuite un fichier PKCS#12 en fichiers pour logiciels basés sur openssl comme Apache. Exemple PKCS#12 :
repertoire_installation/bin/gskcmd -cert -export -legacy -db votreBase.kdb -statshed -stash votreBase.sth -target export.p12 -label monLabel -target_type pkcs12
Exemple keystore Java (JKS) :
repertoire_installation/bin/gskcmd -cert -export -legacy -db votreBase.kdb -statshed -stash votreBase.sth -target export.p12 -label monAlias -target_type JKS
Votre certificat a désormais été exporté et est désomais prêt à être utilisé.
Vous obtenez l'erreur "pkcs12: Unrecognized flag legacy" ?
Dans ce cas retirez le paramètre "-legacy" des commandes ci-dessus.
La version 3 de openSSL a besoin du paramètre "-legacy" pour produire un PFX compatible avec les anciens logiciels. La version 1 de openSSL produit directement un PFX compatible.
Paramètres techniques d’un PFX
Utilisez la commande suivante pour afficher les paramètres techniques d’un PFX à fin de debug :
openssl pkcs12 -noout -info -in fichier.pfx