Befehl "retrieveSigners"
Der Befehl "retrieveSigners" erstellt ein neues selbst signiertes Zertifikat, einen neuen Keystore und eine SSL-Konfiguration in der Datei "ssl.client.props". Wenn Sie diesen Befehl verwenden, können Sie den Unterzeichner optional in eine Datei extrahieren.
Im Artikel Befehlstools verwenden wird beschrieben, wo dieser Befehl ausgeführt wird.
Syntax
Verwenden Sie die folgende Befehlssyntax, um ein neues
selbst signiertes Clientzertifikat, einen Keystore und eine SSL-Konfiguration in der Datei
"ssl.client.props" zu erstellen.
retrieveSigners <CellDefaultTrustStore> <ClientDefaultTrustStore> [options]
Die Parameter
<remoteKeyStoreName> und <localKeyStoreName> sind erforderlich.
Die folgenden optionalen Parameter sind verfügbar:
[-remoteAlias aliasFromRemoteStore]
[-localAlias storeAsAlias]
[-listRemoteKeyStoreNames][-listLocalKeyStoreNames]
[-autoAcceptBootstrapSigner][-uploadSigners] [-host Host]
[-port Port][-conntype JSR160RMI|RMI|SOAP|IPC][-user Benutzer]
[-password Kennwort]
[-trace] [-logfile Dateiname]
[-replacelog] [-quiet] [-help]
Parameter
Die folgenden Parameter sind für den Befehl retrieveSigners verfügbar:
- remoteKeyStoreName
- Der Name eines Truststore in der Serverkonfiguration, aus der die Unterzeichner extrahiert werden sollen. Dieser positionsgebundene Parameter ist gewöhnlich die Datei "CellDefaultTrustStore" für eine verwaltete Umgebung bzw. die Datei "NodeDefaultTrustStore" für eine nicht verwaltete Umgebung.
- localKeyStoreName
- Der Name des Truststores in der Datei "ssl.client.props" für das Profil, dem die abgerufenen Unterzeichner hinzugefügt werden. Dieser positionsgebundene Parameter ist gewöhnlich die Datei "ClientDefaultTrustStore" für verwaltete und nicht verwaltete Umgebungen.
- -remoteAlias <aliasFromRemoteStore>
- Gibt einen Alias aus dem fernen Truststore an, den Sie abrufen möchten. Andernfalls werden alle Unterzeichner aus dem fernen Truststore abgerufen.
- -localAlias <storeAsAlias>
- Bestimmt den Namen des Alias, der im lokalen Truststore gespeichert wird. Diese Option ist nur gültig, wenn Sie die Option "–remoteAlias" angeben. Wenn Sie die Option "-localAlias" nicht angeben, wird, sofern möglich, der Aliasname aus dem fernen Truststore verwendet. Sollte eine Aliasüberschneidung auftreten, wird dem Aliasnamen am Ende eine Zahl hinzugefügt, die so oft erhöht wird, bis ein eindeutiger Alias gefunden wird.
- -listRemoteKeyStoreNames
- Sendet eine Anforderung an einen fernen Server, um alle Keystores aufzulisten, die Sie für den Parameter "remoteKeyStoreName" angeben können. Verwenden Sie diesen Befehl, wenn Sie den Namen des fernen Truststores nicht genau kennen, aus dem Sie Unterzeichner extrahieren möchten.
- -listLocalKeyStoreNames
- Listet die Keystores aus der Datei "ssl.client.props" auf, die Sie für den Parameter "localKeyStoreName" angeben können. In diesem Truststore werden die vom Server abgerufenen Unterzeichner gespeichert. Verwenden Sie diesen Parameter, wenn Sie den Namen des lokalen Truststore nicht genau kennen, in den Sie die Unterzeichner abrufen möchten. Der Truststore hat standardmäßig den Namen "ClientDefaultTrustStore" und ist in der Datei "ssl.client.props" enthalten.
- -autoAcceptBootstrapSigner
- Fügt automatisch einen Unterzeichner zu, um eine sichere Verbindung zum Server herzustellen. Diese Option ermöglicht die Automatisierung des Befehls, sodass Sie den Unterzeichner nicht akzeptieren müssen. Nachdem der Unterzeichner dem lokalen Truststore hinzugefügt wurde, wird ein SHA-Hash ausgegeben, damit Sie das Zertifikat prüfen können.
- -uploadSigners
- Wandelt den Unterzeichnerdownload in einen Unterzeichnerupload um. Die Unterzeichner aus dem Parameter "localKeyStoreName" werden stattdessen an den Parameter "remoteKeyStoreName" gesendet.
- -host <Host>
- Gibt den Zielhost an, von dem die Unterzeichner abgerufen werden.
- -port <Port>
- Gibt den Zielverwaltungsport an, zu dem eine Verbindung hergestellt wird. Sie müssen den Port basierend auf dem Parameter "-conntype" angeben. Wenn für "conntype" der Wert SOAP angegeben wird, ist der Standardport 8879. Dieser Wert kann je nach Server variieren. Wenn für "conntype" RMI angegeben wird, ist der Standardport 2809.
- -conntype <JSR160RMI|IPC|RMI|Soap>
- Bestimmt den Typ des Verwaltungsport für den MBean-Aufruf für den Abruf von Unterzeichnern.
Veraltetes Feature: Führen Sie jedoch bei Gelegenheit eine Umstellung vom RMI-Connector auf den JSR160RMI-Connector durch, da der RMI-Connector nicht mehr unterstützt wird. depfeat
- -user <Benutzer>
- Wenn Sie das Flag "-uploadSigners" verwenden, müssen Sie diese Option mit dem Benutzernamen angeben, der für die MBean-Operation authentifiziert wird. Sollten Sie diesen Parameter bei Verwendung des Flag "-uploadSigners" nicht angeben, werden Sie standardmäßig aufgefordert, die Berechtigungsnachweise bereitzustellen.
- -password <Kennwort>
- Wenn Sie das Flag "-uploadSigners" verwenden, müssen Sie diese Option mit dem Kennwort angeben, der für die MBean-Operation authentifiziert wird. Das Kennwort wird zusammen mit dem Parameter "–user" angegeben.
- -trace
- Mit diesem Parameter wird die Traceerstellung für die zum Testen dieser Komponente erforderlichen Tracespezifikation aktiviert. Standardmäßig wird der Trace in die Protokolldatei profiles/Profilname/log/retrieveSigners.log geschrieben.
- -logfile <Dateiname>
- Überschreibt die Standardtracedatei. Standardmäßig wird der Trace in die Protokolldatei profiles/Profilname/log/retrieveSigners.log geschrieben.
- -replacelog
- Bewirkt, dass die vorhandene Tracedatei ersetzt wird, wenn der Befehl ausgeführt wird.
- -quiet
- Verhindert, dass die meisten Nachrichten an der Konsole ausgegeben werden.
- -help
- Gibt eine Anweisung zur Verwendung des Befehls aus.
- -?
- Gibt eine Anweisung zur Verwendung des Befehls aus.
Einsatzszenario
Die folgenden Beispiele veranschaulichen die korrekte Syntax für den Befehl retrieveSigners:
Im folgenden Beispiel werden die fernen und lokalen Keystores aufgelistet:
retrieveSigners.bat -listRemoteKeyStoreNames -listLocalKeyStoreNames -conntype RMI -port 2809 [Windows-Systeme] retrieveSigners.sh -listRemoteKeyStoreNames -listLocalKeyStoreNames -conntype RMI -port 2809 [UNIX-Systeme]
Im folgenden Beispiel werden die fernen und lokalen Keystores aufgelistet:
retrieveSigners.bat -listRemoteKeyStoreNames -listLocalKeyStoreNames -conntype RMI -port 2809 [Windows] retrieveSigners.sh -listRemoteKeyStoreNames -listLocalKeyStoreNames -conntype RMI -port 2809 [UNIX]
Im folgenden Beispiel werden die fernen und lokalen Keystores aufgelistet:
retrieveSigners -listRemoteKeyStoreNames -listLocalKeyStoreNames -conntype RMI -port 2809
Beispielausgabe:CWPKI0306I: Die folgenden fernen Keystores sind auf dem angegebenen Server vorhanden: CMSKeyStore, NodeLTPAKeys, NodeDefaultTrustStore, NodeDefaultKeyStore CWPKI0307I: Die folgenden lokalen Keystores sind auf dem Client vorhanden: ClientDefaultKeyStore, ClientDefaultTrustStore
Im folgenden Beispiel werden alle Unterzeichner aus NodeDefaultTrustStore abgerufen:
retrieveSigners.bat NodeDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner -conntype RMI -port 2809 [Windows] retrieveSigners.sh NodeDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner -conntype RMI -port 2809 [UNIX]
Im folgenden Beispiel werden alle Unterzeichner aus NodeDefaultTrustStore abgerufen:
retrieveSigners.bat NodeDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner -conntype RMI -port 2809 [Windows] retrieveSigners.sh NodeDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner -conntype RMI -port 2809 [UNIX]
Im folgenden Beispiel werden alle Unterzeichner aus NodeDefaultTrustStore abgerufen:
retrieveSigners NodeDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner -conntype RMI -port 2809
Beispielausgabe:CWPKI0308I: Unterzeichneralias "CN=BIRKT40.austin.ibm.com, O=IBM, C=US" wurde dem lokalen Keystore "ClientDefaultTrustStore" mit dem folgenden SHA-Digest hinzugefügt: 40:20:CF:BE:B4:B2:9C:F0:96:4D:EE:E5:14:92:9E:37:8D:51:A5:47