![[16.0.0.3 and later]](../ng_v16003plus.gif)
为现有集合体设置第三方证书
您可以为现有集合体设置第三方证书。
关于此任务
要为现有集合体设置第三方证书,需要更改以下图像中显示的密钥库和信任库:

提示: 您可以在 Java™ 安装目录中找到 keytool 实用程序。
要点: 所有成员和控制器必须使用 CA 证书。
过程
- 为控制器检索第三方 CA 签署的一个 SSL 个人证书。 例如,此证书在 keystore controller_pers_cert.jks 和 member_pers_cert.jks 中提供。
- 检索控制器个人证书和成员个人证书的签署者证书。 例如,这两个证书在 controller_signer_cert.cer 和 member_signer_cert.cer 文件中提供。
- 配置集合体控制器端。
- 停止控制器和成员。
- 转至 {controller_server_dir}/resources/collective 目录。
- 移除 serverIdentity.jks 中的证书。
- 将控制器个人证书导入 serverIdentity.jks 文件。
您可以使用 keytool 实用程序(作为 JDK 的一部分)。
keytool -importkeystore -srckeystore controller_pers_cert.jks -destkeystore serverIdentity.jks
- 从 collectiveTrust.jks 移除签署者。
- 将控制器和成员个人证书签署者添加到 collectiveTrust.jks 文件。
keytool -import -trustcacerts -file controller_signer_cert.cer -keystore collectiveTrust.jks -alias "controllerSignerAlias"
keytool -import -trustcacerts -file member_signer_cert.cer -keystore collectiveTrust.jks -alias "MemberSignerAlias"
- 转至 {controller_server_dir}/resources/security 目录。
- 将 key.jks 的内容替换为 serveIdentity.jks 的内容。
- 将 trust.jks 的内容替换为 collectiveTrust.jks。
- 启动集合体控制器。
- 配置每个集合体成员端。
- 对于成员,检索成员签署者证书签署的个人证书。您可以将一个个人证书用于所有成员,或为每个成员创建一个不同证书。例如,此证书在 member_pers_cert.jks 中提供。
- 转至 {member_server_dir}/resources/collective。
- 移除 serverIdentity.jks 中的证书。
- 将认证中心签署的成员个人证书添加到 serverIdentity.jks 文件。
keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore serverIdentity.jks
- 从 collectiveTrust.jks 移除签署者。
- 将控制器证书签署者添加到 collectiveTrust.jks 文件。
keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore serverIdentity.jks
- 将 key.jks 的内容替换为 serveIdentity.jks 的内容。
- 将 trust.jks 和 controllerTrust.jks 的内容替换为控制器中相应信任库的内容。
父主题:
使用第三方证书设置集合体
![[16.0.0.3 and later]](../ng_v16003plus.gif)

文件名:tagt_wlp_setup_exist_collective.html