Mit dem Dienstprogramm "retrieveSigners" über einen Client Unterzeichner abrufen

Der Client benötigt Unterzeichnerzertifikate vom Server, um mit WebSphere Application Server kommunizieren zu können. Mit dem Befehl retrieveSigners können Sie Unterzeichnerzertifikate von einem Server abrufen.

Vorbereitende Schritte

Das Dienstprogramm "retrieveSigners" befindet sich je nach Betriebssystem in einem der folgenden Verzeichnisse: In diesem Release muss ein Java-Client, der keinen Zugriff auf die Eingabeaufforderung einer stdin-Konsole hat, das Dienstprogramm "retrieveSigners" verwenden, um die Unterzeichner aus dem fernen Server-Keystore herunterzuladen, wenn Unterzeichner für einen SSL-Handshake erforderlich sind. Der Client kann beispielsweise als nicht reaktionsfähig eingestuft werden, wenn ein Applet-Client oder eine Java Web Start-Clientanwendung nicht auf die stdin-Eingabeaufforderung für den Austausch der Sicherheitssignatur zugreifen kann. Deshalb müssen Sie der Clientanwendung den WebSphere-Java-Methodenaufruf com.ibm.wsspi.ssl.RetrieveSignersHelper.callRetrieveSigners hinzufügen, um die Unterzeichner abzurufen und zu vermeiden, das Dienstprogramm "retrieveSigners" manuell ausführen zu müssen.

Verwenden Sie das Dienstprogramm "retrieveSigners" in Situationen, in denen Sie nicht prüfen können, ob die Eigenschaft "com.ibm.ssl.enableSignerExchangePrompt" aktiviert oder inaktiviert ist, wenn die Anwendung eine Anforderung absetzt. Setzen Sie die Eigenschaft "com.ibm.ssl.enableSignerExchangePrompt" in der Datei "ssl.client.props" auf false, wenn die Konsole nicht angezeigt wird.

Alternativ können Sie den Serverschlüssel im Client-Truststore manuell erstellen.

Informationen zu diesem Vorgang

Führen Sie bei Bedarf die folgenden Schritte aus:

Vorgehensweise

  1. Mit dem Befehl retrieveSigners können Sie Unterzeichnerzertifikate von einem Server abrufen. Einzelheiten zu den Parametern des Dienstprogramms retrieveSigners finden Sie im Artikel Sichere Installation zum Abrufen des Clientunterzeichners in SSL.
  2. Wenn sich Client und Server auf derselben Maschine befinden, benötigen Sie nur die Parameter remoteKeyStoreName und localKeyStoreName. Gewöhnlich wird in einer Network-Deployment-Umgebung auf den fernen Keystore CellDefaultTrustStore und in einem Anwendungsserver auf den Keystore NodeDefaultTrustStore verwiesen.
  3. Wenn Sie Unterzeichner von einem fernen Server abrufen, fügen Sie die folgenden erforderlichen und verbindungsbezogenen Parameter hinzu: –host Host, –port Port, –conntype {RMI | SOAP}.
  4. Verwenden Sie den Parameter –autoAcceptBootstrapSigner, wenn Sie den Unterzeichnerabruf automatisieren möchten. Wenn Sie diesen Parameter angeben, werden dem Server automatisch alle Unterzeichner hinzugefügt, die für die Verbindungsherstellung erforderlich sind.

Ergebnisse

Nach der Ausführung des Befehls wird der SHI-1-Digest der hinzugefügten Unterzeichner angezeigt. Beispielausgabe:
[AIX Solaris HP-UX Linux Windows][z/OS]
C:\WebSphere\AppServer\profiles\AppSrv01\bin\retrieveSigners.bat 
CellDefaultTrustStore ClientDefaultTrustStore 

CWPKI0308I: Unterzeichneralias "default_signer" wurde dem lokalen Keystore
           "ClientDefaultTrustStore" mit dem folgenden SHA-Digest hinzugefügt:
[IBM i]

/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/AppSrv01/bin/retrieveSigners
CellDefaultTrustStore ClientDefaultTrustStore 

CWPKI0308I: Unterzeichneralias "default_signer" wurde dem lokalen Keystore
           "ClientDefaultTrustStore" mit dem folgenden SHA-Digest hinzugefügt:

Beispiel

Das folgende Beispiel veranschaulicht das Aufrufen der Datei retrieveSigners.bat.

[AIX Solaris HP-UX Linux Windows][z/OS]Geben Sie Folgendes ein, wenn Sie Unterzeichner auf demselben System abrufen möchten:
Profilstammverzeichnis\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore
[IBM i]Geben Sie Folgendes ein, wenn Sie Unterzeichner auf demselben System abrufen möchten:
Profilstammverzeichnis/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore
[AIX Solaris HP-UX Linux Windows][z/OS]Geben Sie Folgendes ein, wenn Sie Unterzeichner auf einem fernen System über eine SOAP-Verbindung abrufen möchten:
Profilstammverzeichnis\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -autoAcceptBootstrapSigner
[IBM i]Geben Sie Folgendes ein, wenn Sie Unterzeichner auf einem fernen System über eine SOAP-Verbindung abrufen möchten:
Profilstammverzeichnis/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -autoAcceptBootstrapSigner
[AIX Solaris HP-UX Linux Windows][z/OS]Geben Sie Folgendes ein, wenn Sie Unterzeichner auf einem fernen System über eine RMI-Verbindung abrufen möchten:
Profilstammverzeichnis\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 2809 -conntype RMI -autoAcceptBootstrapSigner
[IBM i]Geben Sie Folgendes ein, wenn Sie Unterzeichner auf einem fernen System abrufen möchten, in dem die Sicherheit aktiviert ist:
Profilstammverzeichnis/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -user testuser -password testuserpwd 
-autoAcceptBootstrapSigner
[AIX Solaris HP-UX Linux Windows][z/OS]Geben Sie Folgendes ein, wenn Sie Unterzeichner auf einem fernen System abrufen möchten, in dem die Sicherheit aktiviert ist:
Profilstammverzeichnis\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore-host myRemoteHost -port 8879 -conntype SOAP -user testuser -password testuserpwd 
-autoAcceptBootstrapSigner

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslretrievesignclient
Dateiname:tsec_sslretrievesignclient.html