Persönliche CA-Zertifikate mit dem Tool "wsadmin" erstellen

Verwenden Sie diesen Artikel, um über eine Zertifizierungsstelle (CA, Certificate Authority) CA-Zertifikate zu erstellen.

Vorbereitende Schritte

Sie müssen ein CA-Clientobjekt in Ihrer Umgebung konfigurieren.Das Clientobjekt enthält alle Konfigurationsdaten, die erforderlich sind, um eine Verbindung zum CA-Server eines anderen Anbieters herzustellen.

Informationen zu diesem Vorgang

Verwenden Sie die folgenden Informationen, um ein persönliches CA-Zertifikate über einen CA-Client zu erstellen.

Vorgehensweise

  1. Optional: Fragen Sie die Keystores in Ihrer Konfiguration ab, um festzustellen, wo das System das neue CA-Zertifikat speichern soll.
    Verwenden Sie den Befehl "listKeyStores", um alle Keystores für einen bestimmten Verwaltungsbereich aufzulisten. Geben Sie den Parameter "-scopeName", um Keystores in einem bestimmten Verwaltungsbereich aufzulisten, oder setzen Sie den Parameter "-all" auf true, um alle Keystores, unabhängig vom Geltungsbereich, anzuzeigen. Der folgende Beispielbefehl listet alle Keystores in Ihrer Konfiguration auf:
    AdminTask.listKeystores('-all true')
    Der Befehl gibt die folgende Beispielausgabe zurück:
    CellDefaultKeyStore(cells/myCell|security.xml#KeyStore_1)
    CellDefaultTrustStore(cells/myCell|security.xml#KeyStore_2)
    CellLTPAKeys(cells/myCell|security.xml#KeyStore_3)
    NodeDefaultKeyStore(cells/myCell|security.xml#KeyStore_1598745926544)
    NodeDefaultTrustStore(cells/myCell|security.xml#KeyStore_1476529854789)
    Verwenden Sie den Befehl "getKeyStoreInfo", und geben Sie den Parameter "-keyStoreName", um zusätzliche Informationen zum gewünschten Keystore zurückzugeben, wie im folgenden Beispiel gezeigt:
    AdminTask.getKeyStoreInfo('[-keyStoreName CellDefaultKeyStore]')
    Der Befehl gibt die folgenden Konfigurationsdaten für den gewünschten Keystore zurück:
    [ [location ${CONFIG_ROOT}/cells/myCell/key.p12] [password *****] [_Webspher
    e_Config_Data_Id cells/myCell|security.xml#KeyStore_1] [_Websphere_Config_Da
    ta_Version ] [useForAcceleration false] [slot 0] [type PKCS12] [additionalKeySto
    reAttrs ] [fileBased true] [_Websphere_Config_Data_Type KeyStore] [customProvide
    rClass ] [hostList ] [createStashFileForCMS false] [description [Default key sto
    re for JenbCell01]] [readOnly false] [initializeAtStartup false] [managementScop
    e (cells/JenbCell01|security.xml#ManagementScope_1)] [usage SSLKeys] [provider I
    BMJCE] [name CellDefaultKeyStore] ]
  2. Optional: Bestimmen Sie den zu verwendenden CA-Client.
    Verwenden Sie den Befehl "listCAClients", um alle CA-Clients aufzulisten, die in Ihrer Konfiguration vorhanden sind. Geben Sie den Parameter "-scopeName", um CA-Clients in einem bestimmten Verwaltungsbereich aufzulisten, oder setzen Sie den Parameter "-all" auf true, um alle CA-Clients, unabhängig vom Geltungsbereich, anzuzeigen. Der folgende Beispielbefehl listet alle CA-Clients in Ihrer Konfiguration auf:
    AdminTask.listCAClients('-all true')
  3. Erstellen Sie ein persönliches CA-Zertifikat.
    Verwenden Sie den Befehl "requestCACertificate", um ein neues persönlichen CA-Zertifikat in Ihrer Umgebung zu erstellen. Das System verwendet die Zertifikatsanforderung und die Konfigurationsdaten der Zertifizierungsstelle aus dem CA-Clientobjekt, um das Zertifikat von der Zertifizierungsstelle anzufordern. Wenn die Zertifizierungsstelle ein Zertifikat zurückgibt, speichert der Befehl "requestCAcertificate" das Zertifikat im angegebenen Keystore und gibt die Nachricht COMPLETE zurück.
    Tabelle 1. Erforderliche Parameter. Verwenden Sie den Befehl "requestCACertificate" und die folgenden erforderlichen Parameter, um ein Zertifikat von einer Zertifizierungsstelle anzufordern:
    Parameter Beschreibung Datentyp
    -certificateAlias Gibt den Alias des Zertifikats an. Sie können eine vordefinierte Zertifikatsanforderung angeben. String
    -keyStoreName Gibt den Namen des Keystore-Objekts an, in dem das CA-Zertifikat gespeichert ist. Verwenden Sie den Befehl "listKeyStores", um eine Liste der verfügbaren Keystores anzuzeigen. String
    -caClientName Gibt den Namen des CA-Clients an, der zum Erstellen des CA-Zertifikats verwendet wurde. String
    -revocationPassword Gibt das Kennwort an, das zu einem späteren Zeitpunkt zum Widerrufen des Zertifikats verwendet werden soll. String
    Tabelle 2. Zusätzliche Parameter. Mit den folgenden Parameter können Sie weitere Optionen für die Zertifikatsanforderung angeben. Wenn Sie einen optionalen Parameter nicht angeben, verwendet der Befehl den Standardwert.
    Parameter Beschreibung Datentyp
    -keyStoreScope Gibt den Verwaltungsbereich des Keystores an. Für ein Deployment-Manager-Profil ist der Standardwert die Zelle. Für ein Anwendungsserverprofil ist der Standardwert der Knoten. String
    -caClientScope Gibt den Verwaltungsbereich für den CA-Client an. Für ein Deployment-Manager-Profil ist der Standardwert die Zelle. Für ein Anwendungsserverprofil ist der Standardwert der Knoten. String
    -certificateCommonName Gibt den Teil mit dem allgemeinen Namen (CN, Common Name) des vollständigen Zertifikats-DN an. Der allgemeine Name kann eine Person, ein Unternehmen oder eine Maschine bezeichnen. Bei Websites entspricht der allgemeine Name häufig dem Namen des DNS-Hosts, auf dem sich der Server befindet. String
    -certificateSize Gibt die Größe des Zertifikatsschlüssels an. Die gültigen Werte sind 512, 1024, 2048, 4096 und 8192. Der Standardwert ist 2048. String
    -certificateOrganization Gibt den Teil des definierten Namens (DN) mit der Organisationseinheit an. String
    -certificateOrganizationalUnit Gibt den Teil des definierten Namens (DN) mit der Organisationseinheit an. String
    -certificateLocality Gibt den Teil des definierten Namens (DN) mit dem Standort an. String
    -certificateState Gibt den Teil des definierten Namens (DN) mit dem Bundesland bzw. der Region an. String
    -certificateZip Gibt den Teil des definierten Namens (DN) mit der Postleitzahl an. String
    -certificateCountry Gibt den Teil des definierten Namens (DN) mit dem Bundesland an. String
    Verwenden Sie die folgende Beispielbefehlssyntax, um ein Zertifikat von einer Zertifizierungsstelle anzufordern:
    AdminTask.requestCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore 
    -CAClientName myCAClient -revocationPassword revokeCApw')
    Der Befehl gibt einen von zwei Werten zurück: Certificate COMPLETE oder certificate PENDING. Wenn der Befehl die Nachricht Certificate COMPLETE zurückgibt, hat die Zertifizierungsstelle das angeforderte Zertifikat zurückgegeben, und das persönliche Standardzertifikat wird ausgetauscht. Wenn der Befehl die Nachricht certificate PENDING zurückgibt, hat die Zertifizierungsstelle noch kein Zertifikat zurückgegeben. Verwenden Sie den Befehl "queryCACertificate", wie im folgenden Beispiel gezeigt, um den aktuellen Status der Zertifikatsanforderung anzuzeigen:
    AdminTask.queryCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore')
  4. Sichern Sie die Konfigurationsänderungen.
    Verwenden Sie den folgenden Beispielbefehl, um Ihre Konfigurationsänderungen zu speichern:
    AdminConfig.save()

Ergebnisse

Das persönliche Standardzertifikat für den Server ist ein Zertifikat, das von einer externen CA erstellt wurde.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7createcacert
Dateiname:txml_7createcacert.html