Sie können der Datei trust.p12 eines Servers ein Unterzeichnerzertifikat
hinzufügen und damit diesem Server ermöglichen, sicher mit einem anderen Server zu kommunizieren.
Sie können den Befehl retrieveSigners verwenden, um der Datei
trust.p12 eines Servers einen Unterzeichner hinzuzufügen, nachdem Sie die Änderungen an der Datei
ssl.client.props vorgenommen haben.
Vorbereitende Schritte
Der Server, der als Client kommuniziert, muss identifiziert werden, damit
das Vertrauen zwischen den Servern hergestellt werden kann. Sie nehmen die Änderungen an der Datei
ssl.client.props vor und führen anschließend den Befehl
retrieveSigners auf dem Server aus, der als Client kommuniziert. Wenn beide Server als Client auftreten, müssen diese Schritte für beide Server ausgeführt werden.
Informationen zu diesem Vorgang
In der Datei
ssl.client.props wird standardmäßig die SSL-Kommunikation für Clients
konfiguriert.
Deshalb bearbeitet der Befehl
retrieveSigners standardmäßig die Dateien
trust.p12
und
key.p12 im Verzeichnis
Profilstammverzeichnis/etc.
Sie können der Datei
trust.p12 eines Servers ein Unterzeichnerzertifikat
hinzufügen und damit diesem Server ermöglichen, als Client mit einem anderen Server zu kommunizieren.
Wenn Sie den Befehl
retrieveSigners verwenden, um der Datei
trust.p12 eines Servers einen
Unterzeichner hinzuzufügen, müssen verschiedene Änderungen an der Datei
ssl.client.props vorgenommen werden.
Vorgehensweise
- Öffnen Sie die Datei ssl.client.props. Die Datei ssl.client.props befindet sich im Verzeichnis
Profilstammverzeichnis/properties.
- Entfernen Sie die Kommentarzeichen für den Abschnitt in der Datei ssl.client.props, der mit
der Eigenschaft "com.ibm.ssl.alias=AnotherSSLSettings" beginnt.
- Entfernen Sie die Kommentarzeichen für den Abschnitt in der Datei ssl.client.props, der mit
der Eigenschaft "com.ibm.ssl.trustStoreName=AnotherTrustStore" beginnt.
- Geben Sie die Position des Truststore ein, dem der Unterzeichner hinzugefügt werden soll. Wenn Sie den Truststore des Servers für einen Deployment Manager verwenden, befindet sich der Truststore in der Datei
Verzeichnis Profilstammverzeichnis/config/cells/Zellenname/trust.p12. Wenn Sie den Truststore für einen Anwendungsserver verwenden, befindet er sich in der
Datei Profilstammverzeichnis/config/cells/Zellenname/nodes/Knotenname/trust.p12.
- Aktualisieren Sie die verbleibenden Eigenschaften in diesem Abschnitt mit den Werten, die dem
verwendeten Truststore zugeordnet sind. Eine Beschreibung dieser Eigenschaften finden Sie im Artikel
Clientkonfigurationsdatei ssl.client.props.
- Optional: Entfernen Sie die Kommentarzeichen für den Abschnitt, der mit der Eigenschaft
"com.ibm.ssl.trustStoreName=AnotherKeyStore" beginnt, und aktualisieren Sie den Abschnitt. In den meisten Szenarien muss ein Unterzeichner nur dem Truststore hinzugefügt werden. In diesem Beispiel wird nur dem Truststore ein Unterzeichner hinzugefügt, aber Sie können
auch dem Keystore einen Unterzeichner hinzufügen, indem Sie, wie in den Schritten 3 bis 5 für den Truststore beschrieben,
die Eigenschaften aktualisieren.
- Speichern Sie die Änderungen, die Sie an der Datei ssl.client.props vorgenommen haben.
- Führen Sie den Befehl retrieveSigners aus. Weitere Informationen
finden Sie auf der Seite zum Befehl "retrieveSigners".
retrieveSigners NodeDefaultTrustStore AnotherTrustStore -host ademyers.austin.ibm.com -port 8879
Beispielausgabe: CWPKI0308I: Unterzeichneralias "default_1" wurde dem lokalen Keystore
"AnotherTrustStore" mit dem folgenden SHA-Digest hinzugefügt:
F4:71:97:79:3E:C1:DC:E7:9F:8F:3D:F0:A0:15:1E:D1:44:73:2C:06
Ergebnisse
Nachdem die Schritte erfolgreich ausgeführt wurden, besitzt der Server, der als Client auftritt, ein Unterzeichnerzertifikat des anderen Servers.
Mit diesem Unterzeichnerzertifikat kann der Server eine SSL-Verbindung zum anderen Server aufbauen.
Beispiel
Das Beispiel zeigt den geänderten Abschnitt in der Datei
ssl.client.props, wobei angenommen wird, dass die Datei
trust.p12 des Servers verwendet wird. Es kann jeder vorhandene Truststore verwendet werden, sofern die Eigenschaften für diesen Truststore angegeben werden.
#-------------------------------------------------------------------------
com.ibm.ssl.alias=AnotherSSLSettings
com.ibm.ssl.protocol=SSL_TLS
com.ibm.ssl.securityLevel=HIGH
com.ibm.ssl.trustManager=IbmX509
com.ibm.ssl.keyManager=IbmX509
com.ibm.ssl.contextProvider=IBMJSSE2
com.ibm.ssl.enableSignerExchangePrompt=true
#com.ibm.ssl.keyStoreClientAlias=default
#com.ibm.ssl.customTrustManagers=
#com.ibm.ssl.customKeyManager=
#com.ibm.ssl.dynamicSelectionInfo=
#com.ibm.ssl.enabledCipherSuites=
# KeyStore information
#com.ibm.ssl.keyStoreName=AnotherKeyStore
#com.ibm.ssl.keyStore=${user.root}/etc/key.p12
#com.ibm.ssl.keyStorePassword={xor}CDo9Hgw=
#com.ibm.ssl.keyStoreType=PKCS12
#com.ibm.ssl.keyStoreProvider=IBMJCE
#com.ibm.ssl.keyStoreFileBased=true
# TrustStore information
com.ibm.ssl.trustStoreName=AnotherTrustStore
com.ibm.ssl.trustStore=${user.root}/config/cells/localhostCell01/trust.p12
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw=
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStoreProvider=IBMJCE
com.ibm.ssl.trustStoreFileBased=true
Nächste Schritte
Nach dem Hinzufügen des Unterzeichners müssen Sie die Datei
ssl.client.props bearbeiten und
die Abschnitte auf Kommentar setzen, die zum Hinzufügen des Unterzeichnerzertifikats verwendet wurden.