Zertifikatverfall verwalten

Verwenden Sie diese Seite, um den Verfallsmonitor für Zertifikate konfigurieren.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln. Klicken Sie unter "Konfigurationseinstellungen" auf Zertifikatverfall verwalten.

Achtung: Damit die Änderungen in den Verfallsprüffeldern angezeigt werden, müssen Sie auf Anwenden klicken.

Sofort starten

Gibt an, dass die Zertifikatüberwachung gestartet werden soll. Wenn die Überwachung aktiv ist, wird geprüft, ob alle Keystores innerhalb des Zertifikatverfallsbereichs liegen. Wenn Sie die Option zum Löschen oder Ersetzen verfallener Zertifikate setzen, können Sie diese Operationen über die Schaltfläche Sofort starten unverzüglich ausführen.

Schwellenwert für Verfallsbenachrichtigung

Gibt den Zeitraum direkt vor dem Verfallstag des Zertifikats an, in dem ein neues selbst signiertes und verkettetes Zertifikat generiert wird, wenn der ExpirationMonitor-Thread ausgeführt wird und Verfallende selbst signierte und verkettete Zertifikate automatisch ersetzen aktiviert ist. Standardmäßig ist der Ersetzungszeitraum maximal 60 Tage lang und wird über die Eigenschaft "daysBeforeNotification" definiert.

Fehler vermeiden Fehler vermeiden: Wenn Sie WebSphere Application Server so konfigurieren, dass die ablaufenden Zertifikate in einer Produktionsumgebung automatisch ersetzt werden, kann das einen kurz- oder langfristigen Ausfall zur Folge haben, da die zugehörige Operation in vielen Fällen aufgrund der vielen in der Umgebung vorhandenen Zertifikate viel Zeit beanspruchen kann. Stattdessen wird empfohlen, Zertifikate, über deren unmittelbar bevorstehenden Ablauf Sie benachrichtigt werden, manuell zu ändern und die Option Verfallende selbst signierte Zertifikate automatisch ersetzen standardmäßig zu inaktivieren. gotcha

Es gibt einen Vorabbenachrichtigungszeitraum, in dem das Zertifikat der Benachrichtigungsliste hinzugefügt, aber 90 Tage vor den 60 Tagen nicht angerührt wird. Standardmäßig ist dieser Vorabbenachrichtigungszeitraum 90 Tage lang und wird mit der Eigenschaft "com.ibm.ws.security.expirationMonitorNotificationPeriod" definiert.

Information Wert
Datentyp Integer
Standardeinstellung 60 Tage oder weniger

Überprüfung aktivieren

Gibt an, dass der Zertifikatsmonitor aktiv ist und wie geplant ausgeführt wird.

Geplante Tageszeit für Überprüfung verfallener Zertifikate

Gibt den geplanten Zeitpunkt an, zu dem das System prüft, ob verfallene Zertifikate vorhanden sind.

Der geplante Zeitpunkt kann in Stunden und Minuten angegeben werden. Sie können das englische Format AM/PM oder das 24-Stunden-Format verwenden.

Information Wert
Datentyp Integer
Standardeinstellung 0, 0
Einstellmöglichkeiten 1–12, 0–59

Nach Kalender überprüfen

Gibt an, dass der Verfallsmonitor an einem bestimmten Tag der Woche, z. B. am Sonntag, ausgeführt werden soll.

Information Wert
Standardeinstellung Aktiviert

Wochentag

Gibt den Tag der Woche an, an dem der Verfallsmonitor ausgeführt wird, wenn die Option An einem bestimmten Tag prüfen ausgewählt ist.

Information Wert
Standardeinstellung Sonntag
Einstellmöglichkeiten Sonntag, Montag, Dienstag, Mittwoch, Donnerstag, Freitag, Samstag

Wiederholungsintervall

Gibt an, in welchem Zeitabstand laut Plan nach verfallenen Zertifikaten gesucht werden soll.

Information Wert
Standardeinstellung Täglich
Einstellmöglichkeiten Täglich, Wöchentlich

Nach Anzahl Tagen überprüfen

Gibt an, dass der Verfallsmonitor in einem Intervall von einer bestimmten Anzahl von Tagen ausgeführt werden soll. Der Tag der Ausführung wird dabei nicht mitgezählt. Wenn Sie das Intervall beispielsweise auf 7 Tage setzen, wird der Monitor am achten Tag ausgeführt.

Information Wert
Standardeinstellung Inaktiviert

Nächstes Startdatum

Gibt das Datum für die nächste geplante Prüfung an. Auf diese Weise kann der Deployment Manager gestoppt und erneut gestartet werden, ohne das Datum zurücksetzen zu müssen.

Benachrichtigung zur Überprüfung des Verfallsdatums

Gibt den bei der Ausführung des Verfallsmonitors zu verwendenden Benachrichtigungstyp an (z. B. E-Mail oder ein Eintrag im Systemprotokoll).

Information Wert
Standardeinstellung  

Verfallende selbst signierte und verkettete Zertifikate automatisch ersetzen

Gibt ein neues selbst signiertes oder verkettetes Zertifikat an, das beim Erreichen des Schwellenwerts für Verfallsbenachrichtigung mit denselben Zertifikatsinformationen generiert wird. Das alte Zertifikat wird ersetzt, und es wird derselbe Alias verwendet. Alle alten Unterzeichner, die von der Keystore-Konfiguration verwaltet werden, werden ebenfalls ersetzt. Das System ersetzt ausschließlich selbst signierte Zertifikate.

Anmerkung: Dieses Kontrollkästchen ist nur anwendbar, wenn Sie dateibasierte Keystores verwenden.
Information Wert
Standardeinstellung Aktiviert

Verfallende Zertifikate und Unterzeichner nach der Ersetzung löschen

Gibt an, ob alte selbst signierte Zertifikate während einer Ersetzungsoperation vollständig aus dem Keystore entfernt oder unter einem anderen Alias beibehalten werden sollen. Wenn ein altes Zertifikat nicht gelöscht wird, benennt das System den Alias so um, dass das neue Zertifikat den alten Alias verwenden kann, auf den möglicherweise an anderer Stelle in der Konfiguration verwiesen wird.

Anmerkung: Dieses Kontrollkästchen ist nur anwendbar, wenn Sie dateibasierte Keystores verwenden.
Information Wert
Standardeinstellung Aktiviert

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_sslmancertexpir
Dateiname:usec_sslmancertexpir.html