CA-Zertifikat in SSL erstellen

Zertifikate können von einer Zertifizierungsstelle (Certificate Authority, CA) erstellt werden, wenn ein CAClient-Objekt für die Verbindung zur Zertifizierungsstelle, die das Zertifikat erstellen soll, konfiguriert ist. Mit einem CA-Client erstellte Zertifikate von einer Zertifizierungsstelle werden in der Sicherheitskonfiguration in einem Objekt mit dem Namen CACertificate protokolliert. Das Zertifikat wird in einem Keystore gespeichert. Zur Konfiguration wird ein CACertificate-Objekt hinzugefügt, das auf das Zertifikat verweist. CA-Zertifikate sind persönliche Zertifikate.

Vorbereitende Schritte

Zunächst müssen Sie einen CA-Client erstellen, um eine Verbindung zum Server der Zertifizierungsstelle herstellen zu können. Anschließend werden Sie mithilfe der Administrationskonsole ein CA-Zertifikat erstellen.
Anmerkung: In diesem Release von WebSphere Application Server sind die gültigen Schlüsselgrößenwerte 512, 1024, 2048, 4096 und 8192. Die Standardschlüsselgröße ist 2048 Bit.

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
  2. Klicken Sie unter "Zugehörige Elemente" auf Keystores und Zertifikate.
  3. Klicken Sie auf den <Namen des Keystores>, zu dem Sie das neue CA-Zertifikat hinzufügen möchten.
  4. Klicken Sie unter "Weitere Eigenschaften" auf Persönliche Zertifikate, um in der Konfiguration ein neues CA-Zertifikat zu erstellen.
    Anmerkung: Sie können ein CA-Zertifikat auch mit dem AdminTask-Befehl requestCACertificate erstellen.
  5. Klicken Sie auf die Schaltfläche Erstellen und wählen Sie Von einer Zertifizierungsstelle signiertes Zertifikat aus.
  6. Geben Sie im Abschnitt "CA-Zertifikat" die folgenden Informationen ein.
    • Widerrufkennwort
    • Kennwort bestätigen
    • Wählen Sie in der Pull-down-Liste den CA-Client aus.
      Anmerkung: Sie können auch auf die Schaltfläche Neu klicken und für diese Zertifizierungsstelle einen neuen CA-Client erstellen.
    • Geben Sie im Abschnitt "Anforderungsspezifikation" die folgenden Informationen ein:
      • Wählen Sie das Optionsfeld für einen vordefinierten Anforderungsalias aus, wenn bereits eine Zertifikatsanforderung erstellt wurde.
      • Falls es keinen vordefinierten Zertifikatsanforderungsalias gibt, füllen Sie die folgenden Felder aus:
        1. Geben Sie im Feld "Aliasname" einen Aliasnamen ein. Der Aliasname identifiziert die Zertifikatsanforderung im Keystore.
        2. Geben Sie einen allgemeinen Namen (CN, Common Name) ein. Dieser Wert ist der CN-Wert im definierten Namen (DN, Distinguished Name) des Zertifikats.
        3. Optional: Geben Sie eine Organisation an. Dieser Wert ist der O-Wert im DN des Zertifikats.
        4. Optional: Wählen Sie eine Schlüsselgröße aus. Die gültigen Schlüsselgrößenwerte sind 512, 1024, 2048, 4096 und 8192. Die Standardschlüsselgröße ist 2048 Bit.
        5. Ort
        6. Optional: Geben Sie einen Bundesstaat bzw. ein Bundesland ein. Dieser Wert ist der ST-Wert im DN des Zertifikats.
        7. Optional: Geben Sie eine Postleitzahl ein. Dieser Wert ist der POSTALCODE-Wert im DN des Zertifikats.
        8. Optional: Geben Sie ein Land oder eine Region aus der Liste ein. Dieser Wert ist der "C="-Wert im DN des Zertifikats.
  7. Klicken Sie auf Anwenden und OK.

Ergebnisse

Das Zertifikat wird in dem Keystore gespeichert, den Sie während des Prozesses bis zum Erscheinen dieser Anzeige ausgewählt haben. Außerdem wird ein CACertificate-Konfigurationsobjekt erstellt. Das erstellte CA-Zertifikat kann von der Laufzeit für die SSL-Kommunikation verwendet werden.

Für die Erstellung des CA-Zertifikats können Sie eine vorhandene Zertifikatsanforderung nutzen oder eine neue Zertifikatsanforderung erstellen. In dieser Anzeige wird das CA-Zertifikat mit dem AdminTask-Befehl requestCAClient erstellt.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7createcacert
Dateiname:tsec_7createcacert.html