Persönliche CA-Zertifikate mit dem Tool "wsadmin" erstellen
Verwenden Sie diesen Artikel, um über eine Zertifizierungsstelle (CA, Certificate Authority) CA-Zertifikate zu erstellen.
Vorbereitende Schritte
Informationen zu diesem Vorgang
Vorgehensweise
- Optional: Fragen Sie die Keystores in Ihrer Konfiguration ab, um festzustellen, wo das System
das neue CA-Zertifikat speichern soll. Verwenden Sie den Befehl "listKeyStores", um alle Keystores für einen bestimmten Verwaltungsbereich aufzulisten. Geben Sie den Parameter "-scopeName", um Keystores in einem bestimmten Verwaltungsbereich aufzulisten, oder setzen Sie den Parameter "-all" auf true, um alle Keystores, unabhängig vom Geltungsbereich, anzuzeigen. Der folgende Beispielbefehl listet alle Keystores in Ihrer Konfiguration auf:
Der Befehl gibt die folgende Beispielausgabe zurück:AdminTask.listKeystores('-all true')
CellDefaultKeyStore(cells/myCell|security.xml#KeyStore_1) CellDefaultTrustStore(cells/myCell|security.xml#KeyStore_2) CellLTPAKeys(cells/myCell|security.xml#KeyStore_3) NodeDefaultKeyStore(cells/myCell|security.xml#KeyStore_1598745926544) NodeDefaultTrustStore(cells/myCell|security.xml#KeyStore_1476529854789)
Verwenden Sie den Befehl "getKeyStoreInfo", und geben Sie den Parameter "-keyStoreName", um zusätzliche Informationen zum gewünschten Keystore zurückzugeben, wie im folgenden Beispiel gezeigt:
Der Befehl gibt die folgenden Konfigurationsdaten für den gewünschten Keystore zurück:AdminTask.getKeyStoreInfo('[-keyStoreName CellDefaultKeyStore]')
[ [location ${CONFIG_ROOT}/cells/myCell/key.p12] [password *****] [_Webspher e_Config_Data_Id cells/myCell|security.xml#KeyStore_1] [_Websphere_Config_Da ta_Version ] [useForAcceleration false] [slot 0] [type PKCS12] [additionalKeySto reAttrs ] [fileBased true] [_Websphere_Config_Data_Type KeyStore] [customProvide rClass ] [hostList ] [createStashFileForCMS false] [description [Default key sto re for JenbCell01]] [readOnly false] [initializeAtStartup false] [managementScop e (cells/JenbCell01|security.xml#ManagementScope_1)] [usage SSLKeys] [provider I BMJCE] [name CellDefaultKeyStore] ]
- Optional: Bestimmen Sie den zu verwendenden CA-Client. Verwenden Sie den Befehl "listCAClients", um alle CA-Clients aufzulisten, die in Ihrer Konfiguration vorhanden sind. Geben Sie den Parameter "-scopeName", um CA-Clients in einem bestimmten Verwaltungsbereich aufzulisten, oder setzen Sie den Parameter "-all" auf true, um alle CA-Clients, unabhängig vom Geltungsbereich, anzuzeigen. Der folgende Beispielbefehl listet alle CA-Clients in Ihrer Konfiguration auf:
AdminTask.listCAClients('-all true')
- Erstellen Sie ein persönliches CA-Zertifikat. Verwenden Sie den Befehl "requestCACertificate", um ein neues persönlichen CA-Zertifikat in Ihrer Umgebung zu erstellen. Das System verwendet die Zertifikatsanforderung und die Konfigurationsdaten der Zertifizierungsstelle aus dem CA-Clientobjekt, um das Zertifikat von der Zertifizierungsstelle anzufordern. Wenn die Zertifizierungsstelle ein Zertifikat zurückgibt, speichert der Befehl "requestCAcertificate" das Zertifikat im angegebenen Keystore und gibt die Nachricht COMPLETE zurück.
Tabelle 1. Erforderliche Parameter. Verwenden Sie den Befehl "requestCACertificate" und die folgenden erforderlichen Parameter, um ein Zertifikat von einer Zertifizierungsstelle anzufordern: Parameter Beschreibung Datentyp -certificateAlias Gibt den Alias des Zertifikats an. Sie können eine vordefinierte Zertifikatsanforderung angeben. String -keyStoreName Gibt den Namen des Keystore-Objekts an, in dem das CA-Zertifikat gespeichert ist. Verwenden Sie den Befehl "listKeyStores", um eine Liste der verfügbaren Keystores anzuzeigen. String -caClientName Gibt den Namen des CA-Clients an, der zum Erstellen des CA-Zertifikats verwendet wurde. String -revocationPassword Gibt das Kennwort an, das zu einem späteren Zeitpunkt zum Widerrufen des Zertifikats verwendet werden soll. String Tabelle 2. Zusätzliche Parameter. Mit den folgenden Parameter können Sie weitere Optionen für die Zertifikatsanforderung angeben. Wenn Sie einen optionalen Parameter nicht angeben, verwendet der Befehl den Standardwert. Parameter Beschreibung Datentyp -keyStoreScope Gibt den Verwaltungsbereich des Keystores an. Für ein Deployment-Manager-Profil ist der Standardwert die Zelle. Für ein Anwendungsserverprofil ist der Standardwert der Knoten. String -caClientScope Gibt den Verwaltungsbereich für den CA-Client an. Für ein Deployment-Manager-Profil ist der Standardwert die Zelle. Für ein Anwendungsserverprofil ist der Standardwert der Knoten. String -certificateCommonName Gibt den Teil mit dem allgemeinen Namen (CN, Common Name) des vollständigen Zertifikats-DN an. Der allgemeine Name kann eine Person, ein Unternehmen oder eine Maschine bezeichnen. Bei Websites entspricht der allgemeine Name häufig dem Namen des DNS-Hosts, auf dem sich der Server befindet. String -certificateSize Gibt die Größe des Zertifikatsschlüssels an. Die gültigen Werte sind 512, 1024, 2048, 4096 und 8192. Der Standardwert ist 2048. String -certificateOrganization Gibt den Teil des definierten Namens (DN) mit der Organisationseinheit an. String -certificateOrganizationalUnit Gibt den Teil des definierten Namens (DN) mit der Organisationseinheit an. String -certificateLocality Gibt den Teil des definierten Namens (DN) mit dem Standort an. String -certificateState Gibt den Teil des definierten Namens (DN) mit dem Bundesland bzw. der Region an. String -certificateZip Gibt den Teil des definierten Namens (DN) mit der Postleitzahl an. String -certificateCountry Gibt den Teil des definierten Namens (DN) mit dem Bundesland an. String Verwenden Sie die folgende Beispielbefehlssyntax, um ein Zertifikat von einer Zertifizierungsstelle anzufordern:AdminTask.requestCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore -CAClientName myCAClient -revocationPassword revokeCApw')
Der Befehl gibt einen von zwei Werten zurück: Certificate COMPLETE oder certificate PENDING. Wenn der Befehl die Nachricht Certificate COMPLETE zurückgibt, hat die Zertifizierungsstelle das angeforderte Zertifikat zurückgegeben, und das persönliche Standardzertifikat wird ausgetauscht. Wenn der Befehl die Nachricht certificate PENDING zurückgibt, hat die Zertifizierungsstelle noch kein Zertifikat zurückgegeben. Verwenden Sie den Befehl "queryCACertificate", wie im folgenden Beispiel gezeigt, um den aktuellen Status der Zertifikatsanforderung anzuzeigen:AdminTask.queryCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore')
- Sichern Sie die Konfigurationsänderungen. Verwenden Sie den folgenden Beispielbefehl, um Ihre Konfigurationsänderungen zu speichern:
AdminConfig.save()
Ergebnisse
Zugehörige Tasks:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7createcacert
Dateiname:txml_7createcacert.html