設定群體來使用憑證簽署的自訂憑證

您可以利用現有的群體設定來使用一組新的第三方憑證。 請利用自訂識別名稱格式來擷取您的憑證,然後以手動方式來取代它。

關於這項作業

如果要使用自訂憑證,您必須變更下列影像所顯示的金鑰儲存庫和信任儲存庫:

圖表顯示需要變更的群體金鑰儲存庫

程序

  1. 擷取兩份第三方 CA 所簽署的 SSL 憑證。 一份憑證用於群體控制器,另一份用於所有群體成員,名稱為控制器個人憑證成員個人憑證 這些憑證在 keystores controller_pers_cert.jksmember_pers_cert.jks 中,可由相同的第三方 CA 或不同的 CA 簽署。
  2. 擷取控制器個人憑證和成員個人憑證兩者的簽章者憑證。 這些憑證在 controller_signer_cert.cermember_signer_cert.cer 檔中。
  3. 配置群體控制器端。
    1. 移至 {controller_server_dir}/resources/collective 目錄。
    2. 將控制器個人憑證匯入至 serverIdentity.jks 檔。您可以使用 JDK 隨附的 keytool 公用程式。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore controller_pers_cert.jks -destkeystore serverIdentity.jks
    3. 將成員個人憑證主要簽章者新增至 collectiveTrust.jks 檔中。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore collectiveTrust.jks -alias "MemberSignerAlias"
    4. 移至 {controller_server_dir}/resources/security 目錄。
    5. 將控制器個人憑證主要簽章者新增至 collectiveTrust.jks 檔。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  serverIdentity.jks
    6. 將成員個人憑證主要簽章者新增至 trust.jks 檔中。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  serverIdentity.jks
  4. 配置群體成員端
    1. 移至 {member_server_dir}/resources/collective
    2. 將憑證管理中心所簽署的成員個人憑證新增至 serverIdentity.jks 檔中。
      {JDK_HOME}/bin/keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  serverIdentity.jks
    3. 將控制器個人憑證主要簽章者新增至 collectiveTrust.jks 檔。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore collectiveTrust.jks -alias "MemberSignerAlias"
    4. 移至 {member_server_dir}/resources/security
    5. 將控制器個人憑證主要簽章者新增至 collectiveTrust.jks 檔。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore collectiveTrust.jks -alias "ControllerSignerAlias"
    6. 將控制器個人憑證主要簽章者新增至 trust.jks 檔。
      {JDK_HOME}/bin/keytool -import -trustcacerts -file controller_signer_cert.cer -keystore trust.jks -alias "ControllerSignerAlias"
    註:

    群體控制器中的 rootkeys.jks 檔用於其他群體結合作業。 請勿變更或更新這個檔案。當使用群體公用程式時,您無法在結合成員時,接受憑證及建立控制器。 您必須手動變更憑證。


指示主題類型的圖示 作業主題



「時間戳記」圖示 前次更新: 2016 年 9 月 5 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_collect_setup_custom
檔名:twlp_collect_setup_custom.html