[16.0.0.3 and later]

为现有集合体设置第三方证书

您可以为现有集合体设置第三方证书。

关于此任务

要为现有集合体设置第三方证书,需要更改以下图像中显示的密钥库和信任库:

显示需要更改的集合体密钥库的图
提示: 您可以在 Java™ 安装目录中找到 keytool 实用程序。
要点: 所有成员和控制器必须使用 CA 证书。

过程

  1. 为控制器检索第三方 CA 签署的一个 SSL 个人证书。 例如,此证书在 keystore controller_pers_cert.jksmember_pers_cert.jks 中提供。
  2. 检索控制器个人证书和成员个人证书的签署者证书。 例如,这两个证书在 controller_signer_cert.cermember_signer_cert.cer 文件中提供。
  3. 配置集合体控制器端。
    1. 停止控制器和成员。
    2. 转至 {controller_server_dir}/resources/collective 目录。
    3. 移除 serverIdentity.jks 中的证书。
    4. 将控制器个人证书导入 serverIdentity.jks 文件。 您可以使用 keytool 实用程序(作为 JDK 的一部分)。
      keytool -importkeystore -srckeystore 
      controller_pers_cert.jks -destkeystore
                 serverIdentity.jks
    5. collectiveTrust.jks 移除签署者。
    6. 将控制器和成员个人证书签署者添加到 collectiveTrust.jks 文件。
      keytool -import -trustcacerts -file 
      controller_signer_cert.cer
              -keystore collectiveTrust.jks -alias "controllerSignerAlias"
      keytool -import -trustcacerts -file member_signer_cert.cer
                    -keystore collectiveTrust.jks -alias 
      "MemberSignerAlias"
    7. 转至 {controller_server_dir}/resources/security 目录。
    8. key.jks 的内容替换为 serveIdentity.jks 的内容。
    9. trust.jks 的内容替换为 collectiveTrust.jks
    10. 启动集合体控制器。
  4. 配置每个集合体成员端。
    1. 对于成员,检索成员签署者证书签署的个人证书。您可以将一个个人证书用于所有成员,或为每个成员创建一个不同证书。例如,此证书在 member_pers_cert.jks 中提供。
    2. 转至 {member_server_dir}/resources/collective
    3. 移除 serverIdentity.jks 中的证书。
    4. 将认证中心签署的成员个人证书添加到 serverIdentity.jks 文件。
      keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  
      serverIdentity.jks
    5. collectiveTrust.jks 移除签署者。
    6. 将控制器证书签署者添加到 collectiveTrust.jks 文件。
      keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  
      serverIdentity.jks
    7. key.jks 的内容替换为 serveIdentity.jks 的内容。
    8. trust.jkscontrollerTrust.jks 的内容替换为控制器中相应信任库的内容。

用于指示主题类型的图标 任务主题

文件名:tagt_wlp_setup_exist_collective.html