Unterzeichnerzertifikat zum Keystore für Standardunterzeichner hinzufügen

Unterzeichnerzertifikate werden auf der Clientseite einer SSL-Kommunikation zu einem Keystore hinzugefügt, damit der Client vom Server anerkannt wird. Es ist allgemeine Praxis, dass Keystores eine Vertrauensstellung haben, wenn sie erstellt werden. Für Unterzeichnerzertifikate wird für einen Deployment Manager der DmgrDefaultSignersStore und für einen eigenständigen Anwendungsserver der NodeDefaultSignersStore erstellt, um standardmäßig Vertrauen in neu erstellte Keystores herzustellen.

Vorbereitende Schritte

Der Keystore für Standardunterzeichner wird zusammen mit dem Profil erstellt und enthält das Unterzeichnerzertifikat zum Standardstammzertifikat des Servers. Weitere Unterzeichnerzertifikate können jederzeit zum Keystore für Standardunterzeichner hinzugefügt werden. Jedes Mal, wenn in der Administrationskonsole oder Script-gestützt mit dem Befehl createKeyStore des Objekts AdminTask ein Keystore erstellt wird, werden zu diesem alle Unterzeichnerzertifikate aus dem Keystore für Standardunterzeichner hinzugefügt.
Alternative Methode:
  • Wenn Sie mit dem Tool wsadmin ein Unterzeichnerzertifikat zum Keystore für Standardunterzeichner hinzufügen möchten, verwenden Sie den Befehl addSignerCertificate des Objekts AdminTask.
  • Verwenden Sie zum Erstellen eines neuen Keystore mit dem Tool wsadmin den Befehl createKeyStore des Objekts AdminTask.
  • Wenn Sie den Unterzeichner mit dem Tool wsadmin aus einem persönlichen Zertifikat extrahieren möchten, verwenden Sie den Befehl extractCertificate des Objekts AdminTask.
  • Verwenden Sie zum Austauschen eines Zertifikats mit dem Tool wsadmin die Befehlsgruppe KeyStoreCommands des Objekts AdminTask.
Weitere Informationen finden Sie im Artikel "Befehlsgruppe 'SignerCertificateCommands' für das Objekt 'AdminTask'" und im Artikel "Befehlsgruppe 'KeyStoreCommands' für das Objekt 'AdminTask'".

Vorgehensweise

  1. Wenn das Zertifikat in einer Zertifikatsdatei enthalten ist, kann es in der Administrationskonsole zum Keystore für Standardunterzeichner hinzugefügt werden.
    1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
    2. Klicken Sie unter "Zugehörige Elemente" auf Keystores und Zertifikate.
    3. Wählen Sie unter "Keystore-Nutzung" Keystore für Standardunterzeichner aus. Es erscheint eine Anzeige mit einer Liste von Keystores.
    4. Klicken Sie auf DmgrDefaultSignersStore.
    5. Klicken Sie unter "Weitere Eigenschaften" auf Unterzeichnerzertifikate.
    6. Klicken Sie auf Hinzufügen.
    7. Geben Sie im Aliasfeld einen Aliasnamen, im Feld für den Dateinamen einen Pfad zur Zertifikatsdatei und einen Stern (*) ein. Wählen Sie in der Pul-down-Liste des Feldes "Datentyp" das Format der Zertifikatsdatei aus.
    8. Klicken Sie auf Anwenden und Speichern.
    Anmerkung: Zum Hinzufügen des Zertifikats können Sie auch den AdminTask-Befehl addSignerCertificate verwenden.
  2. Wenn das Unterzeichnerzertifikat eines persönlichen Zertifikats zum Keystore für Standardunterzeichner hinzugefügt werden muss, können Sie es aus dem persönlichen Zertifikat in eine Zertifikatsdatei extrahieren. Sie können auch den Unterzeichner direkt in den Keystore für Standardunterzeichner extrahieren. Gehen Sie wie folgt vor, um ein Unterzeichnerzertifikat aus einem persönlichen Zertifikat in eine Zertifikatsdatei zu extrahieren:
    1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
    2. Klicken Sie unter "Zugehörige Elemente" auf Keystores und Zertifikate.
    3. Wählen Sie unter "Keystore-Nutzung" Alle aus. Es erscheint eine Anzeige mit einer Liste von Keystores.
    4. Klicken Sie auf den Keystore-Namen.
    5. Klicken Sie unter "Weitere Eigenschaften" auf Persönliche Zertifikate.
    6. Wählen Sie ein persönliches Zertifikat aus.
    7. Klicken Sie auf Extrahieren.
    8. Geben Sie im Feld "Name der Zertifikatsdatei" den Pfad zur Zertifikatsdatei ein. Wählen Sie in der Pull-down-Liste des Feldes "Datentyp" einen Formattyp aus.
    9. Klicken Sie auf Anwenden und Speichern.
    10. Mit dem folgenden Schritt 1 kann der Unterzeichner zum Keystore für Standardunterzeichner hinzugefügt werden.
    Anmerkung: Sie können den Unterzeichner auch Script-basiert mit dem AdminTask-Befehl extractCertificate aus einem persönlichen Zertifikat extrahieren.
  3. Wenn ein Unterzeichnerzertifikat in den Keystore für Standardunterzeichner extrahiert werden soll, kann das Unterzeichnerzertifikat über die Administrationskonsole ausgetauscht werden.
    1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
    2. Klicken Sie unter "Zugehörige Elemente" auf Keystores und Zertifikate.
    3. Wählen Sie unter "Keystore-Nutzung" Alle aus. Es erscheint eine Anzeige mit einer Liste von Keystores.
    4. Klicken Sie auf den Keystore für Standardunterzeichner und den Keystore mit dem persönlichen Zertifikat, dessen Unterzeichnerzertifikat benötigt wird.
    5. Klicken Sie auf Unterzeichner austauschen.
    6. Wählen Sie das persönliche Zertifikat aus, dessen Unterzeichner benötigt wird.
    7. Klicken Sie auf Add.
    8. Klicken Sie auf Anwenden und Speichern.
    Anmerkung: Zum Austauschen des Zertifikats können Sie auch den AdminTask-Befehl exchangeSigner verwenden.
    Anmerkung: Ein DataPower-Zertifikat kann, falls vorhanden, aus dem Keystore für Standardunterzeichner entfernt werden. Wenn Sie den DataPower-Gerätemanager nicht verwenden, sollten Sie das DataPower-Zertifikat aus dem Standard-Trust-Store entfernen, um zu vermeiden, dass nicht beabsichtigte Vertrauensbeziehungen genutzt werden. Wenn Sie den DataPower-Gerätemanager jedoch zu einem späteren Zeitpunkt verwenden möchten, müssen Sie das DataPower-Zertifikat wieder zum Standard-Trust-Store hinzufügen.

Ergebnisse

Nachdem Sie diese Schritte ausgeführt haben, ist der Unterzeichner aus der Zertifikatsdatei im Keystore für Standardunterzeichner gespeichert. Der Unterzeichner wird in der Liste der Keystore-Dateien für Unterzeichnerzertifikate angezeigt.

Nächste Schritte

Der neue Keystore enthält die Standardunterzeichner, die zum Keystore für Standardunterzeichner hinzugefügt wurden.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7add_signercert
Dateiname:tsec_7add_signercert.html