![[16.0.0.3 以及更新版本]](../ng_v16003plus.gif)
設定現有群體的第三方憑證
您可以設定現有群體的第三方憑證。
關於這項作業
如果要設定現有群體的第三方憑證,您必須變更下圖所示的金鑰儲存庫和信任儲存庫:

提示: 您可以在 Java™ 安裝目錄中找到 keytool 公用程式。
重要: 所有成員和控制器都必須使用 CA 憑證。
程序
- 為控制器擷取一個 SSL 個人憑證,由第三方 CA 簽署。 例如,憑證在 keystore controller_pers_cert.jks 和 member_pers_cert.jks 中。
- 擷取控制器個人憑證和成員個人憑證兩者的簽章者憑證。 例如,憑證在 controller_signer_cert.cer 和 member_signer_cert.cer 檔中。
- 配置群體控制器端。
- 停止控制器和成員。
- 移至 {controller_server_dir}/resources/collective 目錄。
- 移除 serverIdentity.jks 中的憑證。
- 將控制器個人憑證匯入至 serverIdentity.jks 檔。您可以使用 JDK 隨附的 keytool 公用程式。
keytool -importkeystore -srckeystore controller_pers_cert.jks -destkeystore serverIdentity.jks
- 移除 collectiveTrust.jks 中的簽章者。
- 將控制器和成員個人憑證簽章者新增至 collectiveTrust.jks 檔。
keytool -import -trustcacerts -file controller_signer_cert.cer -keystore collectiveTrust.jks -alias "controllerSignerAlias"
keytool -import -trustcacerts -file member_signer_cert.cer -keystore collectiveTrust.jks -alias "MemberSignerAlias"
- 移至 {controller_server_dir}/resources/security 目錄。
- 以 serveIdentity.jks 的內容取代 key.jks 的內容。
- 以 collectiveTrust.jks 取代 trust.jks 的內容。
- 啟動群體控制器。
- 配置每一個群體成員端。
- 對於成員,擷取由成員簽章者憑證所簽署的個人憑證。您可以將一個個人憑證用於所有成員,或為每一個成員建立不同的憑證。例如,憑證在 member_pers_cert.jks 中。
- 移至 {member_server_dir}/resources/collective。
- 移除 serverIdentity.jks 中的憑證。
- 將憑證管理中心所簽署的成員個人憑證新增至 serverIdentity.jks 檔中。
keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore serverIdentity.jks
- 移除 collectiveTrust.jks 中的簽章者。
- 將控制器憑證簽章者新增至 collectiveTrust.jks 檔。
keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore serverIdentity.jks
- 以 serveIdentity.jks 的內容取代 key.jks 的內容。
- 以控制器中個別信任儲存庫的內容,取代 trust.jks 和 controllerTrust.jks 的內容。
上層主題:
以第三方憑證來設定群體
![[16.0.0.3 以及更新版本]](../ng_v16003plus.gif)

檔名:tagt_wlp_setup_exist_collective.html