[16.0.0.3 以及更新版本]

設定現有群體的第三方憑證

您可以設定現有群體的第三方憑證。

關於這項作業

如果要設定現有群體的第三方憑證,您必須變更下圖所示的金鑰儲存庫和信任儲存庫:

圖表顯示需要變更的群體金鑰儲存庫
提示: 您可以在 Java™ 安裝目錄中找到 keytool 公用程式。
重要: 所有成員和控制器都必須使用 CA 憑證。

程序

  1. 為控制器擷取一個 SSL 個人憑證,由第三方 CA 簽署。 例如,憑證在 keystore controller_pers_cert.jksmember_pers_cert.jks 中。
  2. 擷取控制器個人憑證和成員個人憑證兩者的簽章者憑證。 例如,憑證在 controller_signer_cert.cermember_signer_cert.cer 檔中。
  3. 配置群體控制器端。
    1. 停止控制器和成員。
    2. 移至 {controller_server_dir}/resources/collective 目錄。
    3. 移除 serverIdentity.jks 中的憑證。
    4. 將控制器個人憑證匯入至 serverIdentity.jks 檔。您可以使用 JDK 隨附的 keytool 公用程式。
      keytool -importkeystore -srckeystore 
      controller_pers_cert.jks -destkeystore
                 serverIdentity.jks
    5. 移除 collectiveTrust.jks 中的簽章者。
    6. 將控制器和成員個人憑證簽章者新增至 collectiveTrust.jks 檔。
      keytool -import -trustcacerts -file 
      controller_signer_cert.cer
              -keystore collectiveTrust.jks -alias "controllerSignerAlias"
      keytool -import -trustcacerts -file member_signer_cert.cer
                    -keystore collectiveTrust.jks -alias 
      "MemberSignerAlias"
    7. 移至 {controller_server_dir}/resources/security 目錄。
    8. serveIdentity.jks 的內容取代 key.jks 的內容。
    9. collectiveTrust.jks 取代 trust.jks 的內容。
    10. 啟動群體控制器。
  4. 配置每一個群體成員端。
    1. 對於成員,擷取由成員簽章者憑證所簽署的個人憑證。您可以將一個個人憑證用於所有成員,或為每一個成員建立不同的憑證。例如,憑證在 member_pers_cert.jks 中。
    2. 移至 {member_server_dir}/resources/collective
    3. 移除 serverIdentity.jks 中的憑證。
    4. 將憑證管理中心所簽署的成員個人憑證新增至 serverIdentity.jks 檔中。
      keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  
      serverIdentity.jks
    5. 移除 collectiveTrust.jks 中的簽章者。
    6. 將控制器憑證簽章者新增至 collectiveTrust.jks 檔
      keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  
      serverIdentity.jks
    7. serveIdentity.jks 的內容取代 key.jks 的內容。
    8. 以控制器中個別信任儲存庫的內容,取代 trust.jkscontrollerTrust.jks 的內容。

指示主題類型的圖示 作業主題

檔名:tagt_wlp_setup_exist_collective.html