[16.0.0.3 以及更新版本]

以第三方憑證來設定群體

SSL 會保護控制器和成員之間的通訊。 群體中的每一部伺服器都有自己的身分,此身分由其主機名稱、使用者目錄和伺服器名稱組成。群體中的每一部伺服器都有兩個金鑰儲存庫,依預設,會命名為 serverIdentity.jkscollectiveTrust.jks。 金鑰儲存庫包含宣告其自己身分並在群體內建立與其他成員及控制器的安全通訊所需的 SSL 憑證。 應用程式若要建立 HTTPS 入埠連線,每一部伺服器另有兩個金鑰儲存庫,依預設,會命名為 key.jkstrust.jks

開始之前

您需要建構 Liberty 群體。 如需相關資訊,請參閱產品說明文件中的配置 Liberty 群體群體安全

為了在群體控制器與群體成員之間建立安全的 SSL 連線,群體公用程式會建立一組 SSL 憑證。 這些憑證的這些識別名稱 (DN) 包含 OU=controllerRootOU=memberRoot,根據是在群體控制器端還是群體成員端使用憑證而定。它們會新增到控制器或成員的相應的金鑰儲存庫中。 這些憑證可確保在群體的不同構成要素之間,建立安全的 SSL 連線。

您可以利用第三方憑證管理中心 (CA) 所簽署的 SSL 憑證,在群體的不同 Liberty 伺服器之間,達到相同的 SSL 安全連線。

rootkeys.jks
金鑰儲存庫只存在於群體控制器端,包含兩個自簽的個人憑證,別名為 controllerrootmemberroot。 系統利用這些憑證,依照該順序來簽署群體控制器個人憑證及群體成員個人憑證。
提示: 建立控制器之後,您可以選擇性地以您擁有的憑證(由憑證管理中心簽署),取代 rootkeys.jks 金鑰儲存庫中的憑證。
serverIdentity.jks
金鑰儲存庫包含控制器端的控制器個人憑證,以及成員端的成員個人憑證,個人憑證是在群體建立作業期間所自動建立。 依預設,在 rootKeys.jks 中,控制器個人憑證是由 controllerroot 所簽署,成員個人憑證是由 memberroot 所簽署。
collectiveTrust.jks
信任儲存庫包含簽署控制器及成員個人憑證的簽章者憑證,例如,controllerrootmemberroot
key.jks
金鑰儲存庫包含控制器端的控制器個人憑證,以及成員端的成員個人憑證,個人憑證是在群體建立作業期間所自動建立。 依預設,控制器個人憑證是 controllerroot 所簽署,成員個人憑證是 memberroot 所簽署。
trust.jks
信任儲存庫包含簽署控制器及成員個人憑證的簽章者憑證,例如,controllerrootmemberroot

下列影像顯示控制器和成員憑證:

圖表顯示不同的金鑰儲存庫

關於這項作業

請配置及變更群體設定,使它能夠使用第三方憑證管理中心所簽署的 SSL 憑證。 請新增配置到 server.xml 檔中,以支援第三方 CA 所簽署的 SSL 憑證。 這個配置用來識別群體作業所用的非預設憑證。

您的配置包含下列內容:
<collectiveCertificate rdn="name=value"></collectiveCertificate>。
name
憑證識別名稱中的任何屬性名稱
value
識別名稱中的 rdn 屬性值。
比方說,如果憑證的 DN 顯示為:DN: CN=companyName,OU=WebSphere,O=IBM, EMAIL=abcd@xyz.com,您想將所有含有 EMAIL=abcd@xyz.com 的憑證都識別為群體憑證,您會使用下列配置:
<collectiveCertificate rdn="EMAIL=abcd@xyz.com"></collectiveCertificate>

程序

  1. 在建立新群體時設定第三方憑證
  2. 設定現有群體的第三方憑證

指示主題類型的圖示 作業主題

檔名:tagt_wlp_config_collective_3rd_party_cert.html