建立金鑰資料庫

金鑰資料庫可讓 VPN 端點透過有效的數位憑證來連接。金錀資料庫 (*.kdb) 格式搭配 IP 安全 VPN 使用。

IBM Key Manager 提供下列類型的 CA 數位憑證:

  • RSA Secure Server Certification Authority
  • Thawte Personal Premium Certification Authority
  • Thawte Personal Freemail Certification Authority
  • Thawte Personal Basic Certification Authority
  • Thawte Personal Server Certification Authority
  • Thawte Server Certification Authority
  • Verisign Class 1 Public Primary Certification Authority
  • Verisign Class 2 Public Primary Certification Authority
  • Verisign Class 3 Public Primary Certification Authority
  • Verisign Class 4 Public Primary Certification Authority

這些簽章數位憑證可讓用戶端連接到具有這些簽章者有效數位憑證的伺服器。建立金鑰資料庫之後,您可用它來連接具有其中一個簽章者有效數位憑證的伺服器。

若要使用此清單上不存在的簽章數位憑證,您必須向 CA 要求並新增至您的金鑰資料庫中。請參閱新增 CA root 數位憑證

若要使用 certmgr 指令建立金鑰資料庫,可使用下列程序:

  1. 鍵入下列指令來啟動 Key Manager 工具: 
    
# certmgr
  2. 從「金鑰資料庫檔」清單中,選取新建
  3. 接受金鑰資料庫類型欄位的預設值:CMS 金鑰資料庫檔
  4. 檔名欄位中輸入下列檔名: 
    ikekey.kdb
  5. 位置欄位中輸入下列資料庫位置: 
    /etc/security
    註: 金鑰資料庫的名稱必須是 ikekey.kbd,而且必須位於 /etc/security 目錄下。否則,「IP 安全」無法正常運作。
  6. 按一下確定。即顯示密碼提示畫面。
  7. 密碼欄位中輸入密碼,並在確認密碼欄位中再次輸入該密碼。
  8. 如果您要變更密碼到期天數,請在設定到期時間?欄位中輸入想要的天數。此欄位的預設值為 60 天。如果您不要密碼到期,請清除設定到期時間?欄位。
  9. 若要將加密的密碼版本儲存在隱藏檔中,請選取將密碼隱藏至檔案中?欄位,然後輸入「是」。
    註: 您必須隱藏密碼才能在「IP 安全」中使用數位憑證。
  10. 按一下確定。會顯示一個確認畫面,確定您已建立金鑰資料庫。
  11. 再按一下確定,即會返回「IBM® 金鑰管理」畫面。您可以選擇執行其他作業或結束工具。