Wenn Sie die Option "-asExistingNode" im Befehl "addNode" verwenden, können Sie einen vorhandenen Knoten einer anderen Maschine zuordnen. Das SSL-Standardzertifikat (Secure Sockets Layer) des Knotens enthält nicht den Namen der Maschine, auf der sich der Knoten befindet. In den meisten Szenarien spielt der registrierte Name des Standardzertifikats keine Rolle.
Sie haben jedoch die Möglichkeit, den Hostnamen des Knotens in das Standardzertifikat des Knotens einzufügen.
Vorbereitende Schritte
Wenn Sie das Standardzertifikat eines Knotens ersetzen möchten, müssen Sie einen neuen NodeDefaultKeyStore für das Zertifikat erstellen und anschließend
das alte Zertifikat durch das neue ersetzen.
Das Zertifikat wird standardmäßig in WebSphere Application
Server erstellt, und der registrierte Name hat das Format "cn=<Hostname>, ou=<Zellenname>,
ou=<Knotenname>, o=ibm, c=us". Wenn Sie ein neues Zertifikat erstellen, können Sie auch den registrierten Namen des Zertifikatsinhabers anpassen.
Informationen zu diesem Vorgang
Gehen Sie wie folgt vor, um ein neues SSL-Zertifikat in der Administrationskonsole zu erstellen:
Vorgehensweise
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Keystores und Zertifikate.
- Wählen Sie den NodeDefaultKeyStore des Knotens aus, den Sie ändern möchten.
- Wählen Sie unter "Weitere Eigenschaften" Persönliche Zertifikate aus.
- Wählen Sie im Pulldown-Menü "Erstellen" die Option Verkettetes Zertifikat aus.
- Geben Sie ein Zertifikat und einen Aliasnamen ein. Sie können einen beliebigen Namen wählen, solange der Aliasname noch nicht vorhanden ist.
Der Aliasname ist lediglich ein Kennsatz für die Identifizierung des Zertifikats im Keystore.
- Geben Sie einen allgemeinen Namen ein. Dies ist gewöhnlich der Name des Hosts, auf dem der Knoten ausgeführt wird.
- Optional: Füllen Sie alle anderen Felder aus, die sich auf den registrierten Namen
(Subject DN)
beziehen. Wenn der registrierte Name dem standardmäßig verwendeten registrierten Namen in
WebSphere Application
Server gleichen soll, geben Sie Folgendes ein:
- Geben Sie IBM im Feld "Organisation" ein.
- Geben Sie <Zellenname>,ou=<Knotenname> im Feld
"Organisationseinheit" ein.
- Wählen Sie im Pulldown-Menü "Land" oder "Region" den Eintrag US aus.
- Sie können die Standardeinstellungen für des Stammzertifikat, das zum Signieren des Zertifikats verwendet wird, für die Schlüsselgröße und für den Gültigkeitszeitraum
verwenden oder eigene Werte eingeben.
- Klicken Sie auf Anwenden.
Anmerkung: Sie können ein neues verkettetes Zertifikat auch mit dem Befehl "createChainedCertificate" erstellen.
Weitere Informationen finden Sie in der Beschreibung der Befehlsgruppe "PersonalCertificateCommands" für das Objekt "AdminTask".
Jetzt müssen Sie das alte Zertifikat durch das soeben erstellte ersetzen. Wenn Sie die Option zum Ersetzen des Zertifikats auswählen, wird nicht nur
das alte Standardzertifikat durch das neue Zertifikat ersetzt, sondern es werden auch alle Vorkommen
des Unterzeichners des alten Zertifikats durch den Unterzeichner des neuen Zertifikats ersetzt. Außerdem werden Referenzen auf den Aliasnamen des alten Zertifikats in der Konfiguration gesucht und durch den Aliasnamen des neuen Zertifikats ersetzt. Führen Sie zum Ersetzen des alten Zertifikats durch das neue die verbleibenden Schritte aus.
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Keystores und Zertifikate.
- Wählen Sie den NodeDefaultKeyStore des Knotens aus, den Sie ändern möchten.
- Wählen Sie unter "Weitere Eigenschaften" Persönliche Zertifikate aus.
- Wählen Sie das Standardzertifikat des Knotens aus, das gewöhnlich den Namen default hat.
- Klicken Sie auf Ersetzen.
- Wählen Sie den Zertifikatsaliasnamen für das soeben erstellte Zertifikat im Pulldown-Menü
Ersetzen durch aus.
- Klicken Sie auf Altes Zertifikat nach dem Ersetzen löschen.
- Klicken Sie auf Anwenden.
Anmerkung: Sie können ein neues verkettetes Zertifikat auch mit dem Befehl "replaceCertificate" erstellen. Weitere Informationen finden Sie in der Beschreibung der Befehlsgruppe "PersonalCertificateCommands" für das Objekt "AdminTask".
Nächste Schritte
Sie haben auch die Möglichkeit, Standardzertifikate in einer vollständigen Zelle zu ersetzen. Weitere Informationen finden Sie im Artikel "Neue SSL-Zertifikate zum Ersetzen vorhandener Zertifikate in einer Zelle erstellen".