Zertifikatsoptionen bei der Profilerstellung

Ab WebSphere Application Server Version 7.0 stehen während der Profilerstellung verschiedene Optionen für das Standardzertifikat und das Stammzertifikat des Servers zur Verfügung.

Mit den neuen Zertifikatsoptionen können Sie folgende Aktionen ausführen:
  • das Standardzertifikat des Servers importieren
  • das Stammzertifikat des Servers importieren
  • den subjectDN des Standardzertifikats und den Gültigkeitszeitraum des Servers anpassen
  • den subjectDN des Stammzertifikats und den Gültigkeitszeitraum des Servers anpassen

Während der Profilerstellung werden zwei neue Anzeigen zur Verfügung gestellt, in denen Sie Festlegungen zum Standardzertifikat und zum Stammzertifikat des Servers vornehmen können.

In der ersten Anzeige, "Sicherheitszertifikat (Teil 1)", können Sie ein Zertifikat importieren oder WebSphere Application Server anweisen, das Standardzertifikat bzw. das Stammzertifikat des Servers zu erstellen.

In der zweiten Anzeige, "Sicherheitszertifikat (Teil 2)", werden die Informationen aus dem in der vorigen Anzeige importierten Zertifikat angezeigt. Wenn WebSphere Application Server anweisen, das Zertifikat zu erstellen, können Sie hier den subjectDN und die Gültigkeitszeitraum ändern.

Die Anpassung von Zertifikaten kann auch mit dem Befehl "manageprofile" und über eine Antwortdatei für unbeaufsichtigte Installation erfolgen.

Standardzertifikat des Servers während der Profilerstellung importieren

Wenn das Standardzertifikat des Servers während der Profilerstellung importiert wird, wird es zu NodeDefaultKeyStore (in einem eigenständigen Anwendungsserver) oder zu CellDefaultKeyStore (in einem Deployment Manager) hinzugefügt. Der Unterzeichner des importierten Zertifikats wird zu NodeDefaultTrustStore oder zu CellDefaultTrustStore hinzugefügt.

Um das Standardzertifikat des Servers importieren zu können, müssen Sie über ein gespeichertes persönliches Zertifikat und einen Keystore verfügen und die entsprechenden Zugriffsberechtigungen besitzen. Sie müssen die Position, den Typ und das Kennwort des Keystores kennen. Führen Sie in der Anzeige "Sicherheitszertifikat (Teil 1)" die folgenden Schritte aus:
  1. Wählen Sie die Option Vorhandenes persönliches Standardzertifikat importieren aus.
  2. Geben Sie den Namen der Keystore-Datei ein, oder wählen Sie ihn aus.
  3. Geben Sie das Kennwort des Keystores ein.
  4. Wählen Sie in der Pulldown-Liste einen Keystore-Typ aus.
  5. Wenn Sie alle Informationen aus den vorigen drei Schritten richtig eingegeben haben, können Sie einen Zertifikatsalias aus der Pulldown-Liste auswählen.

Das ausgewählte Zertifikat wird in den Standard-Keystore des Servers importiert. In der nächsten Anzeige, "Sicherheitszertifikat (Teil 2)", werden die Zertifikatsinformationen "Ausgestellt für" und "Ausgestellt von" angezeigt.

Wenn Sie den Befehl "manageprofiles" verwenden, um das Standardzertifikat zu importieren, stehen folgende Optionen zur Verfügung:
-importPersonalCertKS Keystore-Pfad
Gibt die Position der Keystore-Datei an.
-importPersonalCertKSType Keystore-Typ
Gibt den Typ des Keystores an.
-importPersonalCertKSPassword Keystore-Kennwort
Gibt das Kennwort zum Öffnen des Keystores an.
-importPersonalCertKSAlias Keystore-Alias
Gibt den Aliasnamen des im Keystore verwendeten Zertifikats an.

Standardzertifikat des Servers während der Profilerstellung importieren

Wenn das Standardzertifikat des Servers während der Profilerstellung importiert wird, wird es zu NodeDefaultRootStore (in einem eigenständigen Anwendungsserver) oder zu DmgrDefaultRootStore (in einem Deployment Manager) hinzugefügt. Der Unterzeichner wird aus dem importierten Stammzertifikat extrahiert und zu NodeDefaultTrustStore oder CellDefaultTrustStore extrahiert. WebSphere Application Server verwendet das Stammzertifikat, um alle verketteten Zertifikate, die er erstellt, zu signieren. Wenn während der Profilerstellung kein Standardzertifikat bereitgestellt wird, verwendet WebSphere Application Server das Stammzertifikat, um das Standardzertifikat des Servers zu signieren.

Um das Standardzertifikat des Servers importieren zu können, müssen Sie über ein gespeichertes persönliches Zertifikat und einen Keystore verfügen und die entsprechenden Zugriffsberechtigungen besitzen. Sie müssen die Position, den Typ und das Kennwort des Keystores kennen. Führen Sie in der Anzeige "Sicherheitszertifikat (Teil 1)" die folgenden Schritte aus:
  1. Wählen Sie die Option Vorhandenes Stammsignaturzertifikat importieren aus.
  2. Geben Sie den Namen der Keystore-Datei ein, oder wählen Sie ihn aus.
  3. Geben Sie das Kennwort des Keystores ein.
  4. Wählen Sie in der Pulldown-Liste einen Keystore-Typ aus.
  5. Wenn Sie alle Informationen aus den vorigen drei Schritten richtig eingegeben haben, können Sie einen Zertifikatsalias aus der Pulldown-Liste auswählen.

Das ausgewählte Zertifikat wird in den Standard-Keystore des Servers importiert. In der nächsten Anzeige, "Sicherheitszertifikat (Teil 2)", werden die Zertifikatsinformationen "Ausgestellt für" und "Ausgestellt von" angezeigt.

Wenn Sie den Befehl "manageprofiles" verwenden, um das Standardzertifikat zu importieren, stehen folgende Optionen zur Verfügung:
-importSigninglCertKS Keystore-Pfad
Gibt die Position der Keystore-Datei an.
-importSigningCertKSType Keystore-Typ
Gibt den Typ des Keystores an.
-importSigningCertKSPassword Keystore-Kennwort
Gibt das Kennwort zum Öffnen des Keystores an.
-importSigningCertKSAlias Keystore-Alias
Gibt den Aliasnamen des im Keystore verwendeten Zertifikats an.

Von WebSphere Application Server erstelltes Standardzertifikat anpassen

Wenn Sie festlegen, dass WebSphere Application Server das Standardzertifikat des Servers erstellen soll, können Sie den definierten Subjektnamen (subjectDN) und die Lebensdauer des Zertifikats anpassen.

Gehen Sie wie folgt vor, um das Standardzertifikat des Servers in der Anzeige "Sicherheitszertifikat (Teil 1)" anzupassen:

  1. Wählen Sie die Option Neues persönliches Standardzertifikat erstellen aus.
  2. In der nächsten Anzeige, "Sicherheitszertifikat (Teil 2)", enthält das Feld "Ausgestellt für definierten Namen" den Standard-DN des Stammzertifikats von WebSphere Application Server. Ersetzen Sie diesen DN durch Ihren angepassten DN.
  3. Geben Sie im Feld "Verfallszeit in Jahren" an, wie viele Jahre das Zertifikat gültig sein soll.
Wenn Sie den Befehl "manageprofiles" verwenden, um das Standardzertifikat anzupassen, stehen folgende Optionen zur Verfügung:
-personalCertDN definierter_Name
Gibt den DN für das Zertifikat an.
-personalCertValidityPeriod Gültigkeitszeitraum
Gibt die Lebensdauer für das Zertifikat an.

Von WebSphere Application Server erstelltes Stammzertifikat anpassen

Wenn Sie festlegen, dass WebSphere Application Server das Stammzertifikat erstellen soll, können Sie den DN des Zertifikats und die Lebensdauer des Zertifikats anpassen.

Gehen Sie wie folgt vor, um das Stammzertifikat des Servers in der Anzeige "Sicherheitszertifikat (Teil 1)" anzupassen:
  1. Wählen Sie die Option Neues Stammsignaturzertifikat erstellen aus.
  2. In der nächsten Anzeige, "Sicherheitszertifikat (Teil 2)", enthält das Feld "Ausgestellt von definiertem Namen" den Standard-DN des Stammzertifikats von WebSphere Application Server. Ersetzen Sie diesen DN durch Ihren angepassten DN.
  3. Geben Sie im Feld "Verfallszeit in Jahren" an, wie viele Jahre das Stammzertifikat gültig sein soll.

Wenn Sie den Befehl "manageprofiles" verwenden, um das Stammzertifikat anzupassen, stehen folgende Optionen zur Verfügung:
-signingCertDN definierter_Name
Gibt den DN für das Stammzertifikat an.
-signingCertValidityPeriod Gültigkeitszeitraum
Gibt die Lebensdauer für das Stammzertifikat an.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_cert_options
Dateiname:csec_cert_options.html