您可以在使用现有第三方证书创建新集合体时,设置第三方证书。
关于此任务
要在创建新集合体时设置第三方证书,需要更改密钥库和信任库。以下图像中显示了需要更改的密钥库和信任库:

使用以下过程,同时创建控制器和创建成员。
要点: 所有成员和控制器必须使用 CA 证书。
过程
- 创建控制器。
有关更多信息,请参阅产品文档中的“配置 Liberty 集合体”。
要点: 请勿删除 rootkeys.jks 密钥库。您可以选择使用自己的证书替换 rootkeys.jks 密钥库中的证书。rootkeys.jks 密钥库中具有 memberroot 别名的证书用于在集合体连接操作期间对成员个人证书进行签名。
- 为控制器创建个人证书。
- 移除 key.jks 密钥库和 serverIdentity.jks 密钥库中的证书。将证书替换为在先前步骤中创建的个人证书。
- 移除 trust.jks 信任库和 collectiveTrust.jks 信任库中的所有证书。
替换为控制器个人证书的签署者。
- 将成员个人证书的签署者添加到 trust.jks 信任库和 collectiveTrust.jks 信任库。
- 启动控制器。
- 创建成员。
要点: 连接操作后,可以通过执行以下步骤创建成员以手动替换成员端上的证书。
- 执行集合体连接操作。
- 获取成员的个人证书。
- 移除成员 key.jks 密钥库和 serverIdentity.jks 密钥库中的证书并将其替换为成员个人证书。
- 确保控制器和成员上的 trust.jks 信任库和 collectiveTrust.jks 信任库仅包含控制器和成员个人证书的签署者。