Befehlsgruppe "SSLMigrationCommands" für das Objekt "AdminTask"
Sie können die Scripting-Sprachen Jython und Jacl verwenden, um Keystore-Konfigurationen zu migrieren. Verwenden Sie die Befehle in der Gruppe "SSLMigrationCommands", um selbst signierte Zertifikate in verkettete persönliche Zertifikate zu konvertieren und um beschreibbare Schlüsselringe zu aktivieren.
Befehl "convertSelfSignedCertificatesToChained"
Der Befehl "convertSelfSignedCertificatesToChained" konvertiert bestimmte selbst signierte Zertifikate in verkettete persönliche Zertifikate.
Syntax
wsadmin>$AdminTask convertSelfSignedCertificatesToChained
[-certificateReplacementOption ALL_CERTIFICATES | DEFAULT_CERTIFICATES | KEYSTORE_CERTIFICATES]
[-keyStoreName Keystore-Name]
[-keyStoreScope Keystore-Geltungsbereich]
[-rootCertificateAlias Aliasname]
Erforderliche Parameter
- Gibt die Ersetzungsoptionen für das zu konvertierende selbst signierte Zertifikat an.
(String, erforderlich.)Geben Sie eine der folgenden Optionen als Wert für den Parameter an:
Diese Option sucht alle selbst signierten Zertifikate in allen Keystores im angegebenen Geltungsbereich.
Der Geltungsbereich kann mit dem Parameter "-keyStoreScope" angegeben werden. Wenn mit dem Parameter "-keyStoreScope" kein Geltungsbereich angegeben wird, werden alle Geltungsbereiche durchsucht.
Diese Option sucht selbst signierte Zertifikate in den Standard_Keystores "CellDefaultKeyStore" und "NodeDefaultKeyStore" im angegebenen Geltungsbereich.
Der Geltungsbereich kann mit dem Parameter "-keyStoreScope" angegeben werden. Wenn mit dem Parameter "-keyStoreScope" kein Geltungsbereich angegeben wird, werden alle Geltungsbereiche durchsucht.
Diese Option ersetzt nur die selbst signierten Zertifikate in dem Keystore, der mit dem Parameter "-keyStoreName" angegeben wird.
Wenn mit dem Parameter "-keyStoreScope" kein Geltungsbereich angegeben wird, wird der Standardbereich verwendet.
Optionale Parameter
- keyStoreName
- Gibt den Namen des Keystores an, in dem zu konvertierende selbst signierte Zertifikate gesucht werden sollen. Verwenden Sie diesen Parameter mit der Option KEYSTORE_CERTIFICATES im Parameter "certificateReplacementOption". (String, optional)
- keyStoreScope
- Gibt den Namen des Geltungsbereichs an, in dem zu konvertierende selbst signierte Zertifikate gesucht werden sollen. (String, optional)
- rootCertificateAlias
- Gibt das Stammzertifikat an, das aus dem Standardstammspeicher verwendet solle, der zum Signieren des verketteten Zertifikats verwendet wird. Der Standardwert ist root. (String, optional)
Beispiele
Verwendungsbeispiel für den Stapelmodus:
- Mit Jacl:
$AdminTask convertSelfSignedCertificatesToChained {-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS}
- Mit Jython (String):
AdminTask.convertSelfSignedCertificatesToChained('[-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS]')
- Mit Jython (List):
AdminTask.convertSelfSignedCertificatesToChained(['-certificateReplacementOption', 'ALL_CERTIFICATES', '-keyStoreName', 'testKS'])
Fehler vermeiden: Um eine erfolgreiche Migration sicherzustellen, rufen Sie die Datei security.xml auf, und ändern Sie die Standardeinstellung für dynamicallyUpdateSSLConfig in der Datei in false. Weitere Informationen finden Sie im Artikel über dynamische Konfigurationsaktualisierungen in SSL im Information Center.gotcha
Verwendungsbeispiel für den Dialogmodus:
- Mit Jacl:
$AdminTask exchangeSigners {-interactive}
- Mit Jython:
AdminTask.exchangeSigners('-interactive')
Befehl "enableWritableKeyrings"
Der Befehl "enableWritableKeyrings" ändert den Keystore und aktiviert die Unterstützung für beschreibbare SAF-Schlüsselringe. Das System verwendet diesen Befehl während der Migration. Der Befehl erstellt zusätzliche beschreibbare Keystore-Objekte für die Schlüsselringe der Steuerregion und der Servant-Region für SSL-Keystores.
Erforderliche Parameter
- -keyStoreName
- Gibt den Namen an, der den zu löschenden Keystore eindeutig kennzeichnet. (String, erforderlich.)
Optionale Parameter
- -controlRegionUser
- Gibt den Benutzer für die Steuerregion an, der zum Aktivieren beschreibbarer Schlüsselringe verwendet werden soll. (String, optional)
- -servantRegionUser
- Gibt den Benutzer für die Servant-Region an, der zum Aktivieren beschreibbarer Schlüsselringe verwendet werden soll. (String, optional)
- -scopeName
- Gibt den Namen an, der den Verwaltungsbereich eindeutig identifiziert, z. B. (Zelle):localhostNode01Cell. (String, optional)
Beispiele
Verwendungsbeispiel für den Stapelmodus:
- Mit Jython (String):
AdminTask.enableWritableKeyrings('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
- Mit Jython (List):
AdminTask.enableWritableKeyrings(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])
Verwendungsbeispiel für den Dialogmodus:
- Mit Jython:
AdminTask.enableWritablekeyrings('-interactive')
Befehl "convertSSLConfig"
Der Befehl "convertSSLConfig" migriert vorhandene SSL-Konfigurationen in das neue Konfigurationsobjektformat für SSL-Konfigurationen.
Erforderliche Parameter
- -sslConversionOption
- Gibt an, wie das System die SSL-Konfiguration konvertiert. Geben Sie den Wert CONVERT_SSLCONFIGS an, um die SSL-Konfigurationsobjekte aus dem vorherigen SSL-Konfigurationsobjekt in das neue SSL-Konfigurationsobjekt zu konvertieren. Geben Sie den Wert CONVERT_TO_DEFAULT an, um die SSL-Konfiguration in eine zentrale SSL-Konfiguration zu konvertieren und damit die direkte Referenzierung der SSL-Konfiguration in Servern zu verhindern.
Optionale Parameter
Ohne.Beispiele
Verwendungsbeispiel für den Stapelmodus:
- Mit Jython (String):
AdminTask.convertSSLConfig('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
- Mit Jython (List):
AdminTask.convertSSLConfig(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])
Verwendungsbeispiel für den Dialogmodus:
- Mit Jython:
AdminTask.convertSSLConfig('-interactive')
Befehl "convertSSLCertificates"
Der Befehl "convertSSLCertificates" konvertiert persönliche SSL-Zertifikate in ein persönliches Zertifikat, das mit dem gewünschten Signaturalgorithmus erstellt wird, oder listet persönliche SSL-Zertifikate auf, die nicht mit dem gewünschten Signaturalgorithmus erstellt wurden.
Erforderliche Parameter
OhneOptionale Parameter
- -convertSSLCertAction
- Geben Sie LIST an, um Zertifikate aufzulisten, die nicht mit dem über den Parameter -signatureAlgorithm angegebenen Signaturalgorithmus erstellt wurden, oder geben Sie REPLACE an, um die SSL-Zertifikate, die nicht mit dem über den Parameter -signatureAlgorithm angegebenen Signaturalgorithmus erstellt wurden, durch ein Zertifikat zu ersetzen, das mit dem über den Parameter -signatureAlgorithm angegebenen Signaturalgorithmus erstellt wurde. Die Standardeinstellung ist LIST.
- -signatureAlgorithm
- Mit diesem Parameter wird der Signaturalgorithmus angegeben, mit dem geprüft und berichtet wird, welche persönlichen Zertifikate nicht mit diesem Signaturalgorithmus erstellt wurden bzw. wird der Signaturalgorithmus angegeben, der zum Erstellen neuer persönlicher Zertifikate verwendet wird, um die Zertifikate zu ersetzen, die nicht mit dem Signaturalgorithmus erstellt wurden. Zu den gültigen Signaturalgorithmen gehören SHA1withRSA, SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withECDSA, SHA256withECDSA, SHA384withECDSA, SHA512withECDSA. Der Standardwert ist SHA256withRSA.
Beispiele
Verwendungsbeispiel für den Stapelmodus:
- Mit Jython (String):
AdminTask.convertSSLCertificates('[- convertSSLCertAction list -signatureAlgorithm SHA256withRSA')
- Mit Jython (List):
AdminTask.convertSSLCertificates(['-convertSSLCertAction', 'list', '-signatureAlgorithm', 'SHA256withRSA'])
Verwendungsbeispiel für den Dialogmodus:
- Mit Jython:
AdminTask.convertSSLCertificates('-interactive')