以第三方憑證來設定群體

SSL 會保護控制器和成員之間的通訊。 群體中的每一部伺服器都有自己的身分,此身分由其主機名稱、使用者目錄和伺服器名稱組成。群體中的每一部伺服器都有兩個金鑰儲存庫,依預設,會命名為 serverIdentity.jkscollectiveTrust.jks。 金鑰儲存庫包含宣告其自己身分並在群體內建立與其他成員及控制器的安全通訊所需的 SSL 憑證。 應用程式若要建立 HTTPS 入埠連線,每一部伺服器另有兩個金鑰儲存庫,依預設,會命名為 key.jkstrust.jks

開始之前

您需要建構 Liberty 群體。 如需相關資訊,請參閱產品說明文件中的配置 Liberty 群體

為了在群體控制器與群體成員之間建立安全的 SSL 連線,群體公用程式會建立一組 SSL 憑證。 這些憑證是 DN=controllerRootDN=memberRoot 所簽署,依照該順序,取決於是在群體控制器端,還是在群體成員端使用憑證。 它們會新增到控制器或成員的相應的金鑰儲存庫中。 這些憑證可確保在群體的不同構成要素之間,建立安全的 SSL 連線。

您可以利用第三方憑證管理中心 (CA) 所簽署的 SSL 憑證,在群體的不同 Liberty 伺服器之間,達到相同的 SSL 安全連線。

rookeys.jks
金鑰儲存庫只存在於群體控制器端,包含兩個自簽的個人憑證,別名為 controllerrootmemberroot。 系統利用這些憑證,依照該順序來簽署群體控制器個人憑證及群體成員個人憑證。
serverIdentity.jks
金鑰儲存庫包含控制器端的控制器個人憑證,以及成員端的成員個人憑證,個人憑證是在群體建立作業期間所自動建立。 依預設,控制器個人憑證是 controllerroot 所簽署,成員個人憑證是 memberroot 所簽署。
collectiveTrust.jks
信任儲存庫包含簽署控制器及成員個人憑證的簽章者憑證,例如,controllerrootmemberroot
key.jks
金鑰儲存庫包含控制器端的控制器個人憑證,以及成員端的成員個人憑證,個人憑證是在群體建立作業期間所自動建立。 依預設,控制器個人憑證是 controllerroot 所簽署,成員個人憑證是 memberroot 所簽署。
trust.jks
信任儲存庫包含簽署控制器及成員個人憑證的簽章者憑證,例如,controllerrootmemberroot

下列影像顯示控制器和成員憑證:

圖表顯示不同的金鑰儲存庫

關於這項作業

請配置及變更群體設定,使它能夠使用第三方憑證管理中心所簽署的 SSL 憑證。 請新增配置到 server.xml 檔中,以支援第三方 CA 所簽署的 SSL 憑證。 這個配置用來識別群體作業所用的非預設憑證。

您的配置包含下列內容:
<collectiveCertificate rdn="name=value"></collectiveCertificate>。
name
憑證識別名稱中的任何 rdn 屬性名稱
value
識別名稱中的 rdn 屬性值。
比方說,如果您的憑證呈現為:DN: CN=companyName,OU=WebSphere,O=IBM, EMAIL=abcd@xyz.com,您想要識別所有含有 EMAIL=abcd@xyz.com 的憑證都是群體憑證,您會使用下列名稱:
<collectiveCertificate rdn=" EMAIL=abcd@xyz.com"></collectiveCertificate>

程序

  1. 設定一個群體來使用第三方憑證
  2. 設定一個群體來使用憑證簽署的自訂憑證

指示主題類型的圖示 作業主題



「時間戳記」圖示 前次更新: 2016 年 9 月 5 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_config_collective_3rd_party_cert
檔名:twlp_config_collective_3rd_party_cert.html