设置集合体以使用证书签署的定制证书

您可以使用现有集合体设置,以使用一组新的第三方证书。使用定制专有名称格式检索证书,并手动进行替换。

关于此任务

要使用定制证书,需要更改以下图像中显示的密钥库和信任库:

显示需要更改的集合体密钥库的图

过程

  1. 检索由第三方 CA 签署的两个 SSL 证书。一个证书用于集合体控制器,另一个证书用于所有集合体成员,这两个证书名为控制器个人证书成员个人证书 这两个证书在 keystores controller_pers_cert.jksmember_pers_cert.jks 中提供,且可由相同第三方 CA 和不同 CA 签署。
  2. 检索控制器个人证书和成员个人证书的签署者证书。 这两个证书在 controller_signer_cert.cermember_signer_cert.cer 文件中提供。
  3. 配置集合体控制器端。
    1. 转至目录 {controller_server_dir}/resources/collective
    2. 将控制器个人证书导入 serverIdentity.jks 文件。 您可以使用 keytool 实用程序(作为 JDK 的一部分提供)。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore controller_pers_cert.jks -destkeystore serverIdentity.jks
    3. 将成员个人证书根签署者添加到 collectiveTrust.jks 文件。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore collectiveTrust.jks -alias "MemberSignerAlias"
    4. 转至目录 {controller_server_dir}/resources/security
    5. 将控制器个人证书根签署者添加到 collectiveTrust.jks 文件。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  serverIdentity.jks
    6. 将成员个人证书根签署者添加到 trust.jks 文件。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  serverIdentity.jks
  4. 配置集合体成员端
    1. 转至 {member_server_dir}/resources/collective
    2. 将认证中心签署的成员个人证书添加到 serverIdentity.jks 文件。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  serverIdentity.jks
    3. 将控制器个人证书根签署者添加到 collectiveTrust.jks 文件。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore collectiveTrust.jks -alias "MemberSignerAlias"
    4. 转至 {member_server_dir}/resources/security
    5. 将控制器个人证书根签署者添加到 collectiveTrust.jks 文件。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore collectiveTrust.jks -alias "ControllerSignerAlias"
    6. 将控制器个人证书根签署者添加到 trust.jks 文件。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore trust.jks -alias "ControllerSignerAlias"
    注:

    集合体控制器中 rootkeys.jks 文件用于其他 collective join 操作。请勿更改或更新此文件。使用集合体实用程序,加入成员时,无法接受证书并创建控制器。必须手动更改证书。


用于指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: Tuesday, 6 September 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_collect_setup_custom
文件名:twlp_collect_setup_custom.html