Neue SSL-Zertifikate zum Ersetzen vorhandener Zertifikate in einer Zelle erstellen

Wenn Sie SSL-Standardzertifikate (Secure Socket Layer) in einer vollständigen Zelle ersetzen möchten, müssen Sie ein neues selbst signiertes Zertifikat im Stammkeystore "DmgrDefaultRootStore" erstellen und das alte Zertifikat durch das neue ersetzen.

Informationen zu diesem Vorgang

Erstellen Sie für das Standardzertifikat der Zelle in CellDefaultKeyStore und das Standardzertifikat jedes Knotens in NodeDefaultKeyStore ein neues verkettetes Zertifikat, und ersetzen Sie das alte Standardzertifikat durch das neue Zertifikat.

Das Stammzertifikat wird standardmäßig in WebSphere Application Server erstellt und hat einen registrierten Namen (subjectDN) mit dem Format "cn=<Hostname>, ou=Stammzertifikat, ou=<Zellenname>, ou=<Knotenname>, o=ibm, c=us". Wenn Sie ein neues Stammzertifikat erstellen, können Sie auch den registrierten Namen anpassen.

Gehen Sie wie folgt vor, um ein neues SSL-Stammzertifikat in der Administrationskonsole zu erstellen:

Vorgehensweise

Erstellen Sie das neue SSL-Stammzertifikat.

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Keystores und Zertifikate.
  2. Wählen Sie in der Pull-down-Liste "Keystore-Verwendung" Keystore für Stammzertifikate aus.
  3. Klicken Sie in der Keystorenutzungsliste auf DmgrDefaultRootStore.
  4. Wählen Sie unter "Weitere Eigenschaften" Persönliche Zertifikate aus.
  5. Wählen Sie im Pulldown-Menü "Erstellen" die Option Selbst signiertes Zertifikat aus.
  6. Geben Sie ein Zertifikat und einen Aliasnamen ein. Sie können einen beliebigen Namen wählen, solange der Aliasname noch nicht vorhanden ist. Der Aliasname ist lediglich ein Kennsatz für die Identifizierung des Zertifikats im Keystore.
  7. Geben Sie im Feld "Allgemeiner Name" den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server installiert ist. Dies ist gewöhnlich der Name des Hosts, auf dem der Knoten ausgeführt wird.
  8. Optional: Füllen Sie alle anderen Felder aus, die sich auf den registrierten Namen (Subject DN) beziehen. Wenn der registrierte Name dem standardmäßig verwendeten registrierten Namen in WebSphere Application Server gleichen soll, geben Sie Folgendes ein:
    • Geben Sie IBM im Feld "Organisation" ein.
    • Geben Sie <Zellenname>,ou=<Knotenname> im Feld "Organisationseinheit" ein.
    • Wählen Sie im Pulldown-Menü "Land" oder "Region" den Eintrag US aus.
  9. Sie können die Standardeinstellungen für des Stammzertifikat, das zum Signieren des Zertifikats verwendet wird, für die Schlüsselgröße und für den Gültigkeitszeitraum verwenden oder eigene Werte eingeben.
  10. Klicken Sie auf Anwenden > Speichern.
    Anmerkung: Sie können ein selbst signiertes Zertifikat auch mit dem Befehl "createSelfSignedCertificate" erstellen. Weitere Informationen finden Sie in der Beschreibung der Befehlsgruppe "PersonalCertificateCommands" für das Objekt "AdminTask".

Ersetzen Sie das alte Stammzertifikat durch das soeben erstellte Zertifikat.

Jetzt müssen Sie das alte Stammzertifikat durch das soeben erstellte ersetzen. Wenn Sie die Option zum Ersetzen des Zertifikats auswählen, wird nicht nur das alte Standardzertifikat durch das neue Zertifikat ersetzt, sondern es werden auch alle Vorkommen des Unterzeichners des alten Zertifikats durch den Unterzeichner des neuen Zertifikats ersetzt. Außerdem werden Referenzen auf den Aliasnamen des alten Zertifikats in der Konfiguration gesucht und durch den Aliasnamen des neuen Zertifikats ersetzt. Führen Sie zum Ersetzen des alten Zertifikats durch das neue die verbleibenden Schritte aus.

  1. Wählen Sie auf der Seite Persönliche Zertifikate das Kontrollkästchen für die älteren Stammzertifikate aus.
  2. Klicken Sie auf Ersetzen.
  3. Wählen Sie in der Liste "Ersetzen durch" den Alias des erstellten Zertifikats aus.
  4. Wählen Sie Altes Zertifikat nach dem Ersetzen löschen aus.
    Wichtig: Vergewissern Sie sich, dass das Kontrollkästchen Alte Unterzeichner löschen nicht ausgewählt ist.
  5. Klicken Sie auf Anwenden > Speichern.

Erstellen Sie ein verkettetes persönliches Zertifikat im Standardzellenkeystore: CellDefaultKeystore.

  1. Wählen Sie auf der Seite Keystores und Zertifikate den Eintrag CellDefaultKeyStore des zu ändernden Knotens aus.
  2. Wählen Sie unter "Weitere Eigenschaften" Persönliche Zertifikate aus.
  3. Wählen Sie das Standardzertifikat des Knotens aus, das gewöhnlich den Namen default hat.
  4. Klicken Sie auf Erstellen > Verkettetes Zertifikat.
  5. Geben Sie im Feld "Alias" einen neuen Alias für das persönliche Zertifikat ein.
  6. Wählen Sie in der Pulldown-Liste Für die Signatur des Zertifikats verwendetes Stammzertifikat den Alias root aus.
  7. Geben Sie im Feld "Allgemeiner Name" den vollständig qualifizierten Domänennamen des Computers ein, auf dem WebSphere Application Server installiert ist.
  8. Klicken Sie auf Anwenden > Speichern.

Ersetzen Sie das persönliche Zertifikat im Standardzellenkeystore: CellDefaulltKeystore.

  1. Wählen Sie auf der Seite Persönliche Zertifikate das Standardkontrollkästchen aus.
  2. Klicken Sie auf Ersetzen.
  3. Wählen Sie den Zertifikatsaliasnamen für das soeben erstellte neue Zertifikat im Pulldown-Menü Ersetzen durch aus.
  4. Wählen Sie Altes Zertifikat nach dem Ersetzen löschen aus.
    Wichtig: Vergewissern Sie sich, dass das Kontrollkästchen Alte Unterzeichner löschen nicht ausgewählt ist.
  5. Klicken Sie auf Anwenden > Speichern.

Nächste Schritte

Sie können auch Standardzertifikate auf einem Knoten ersetzen. Weitere Informationen finden Sie im Artikel "Neues SSL-Zertifikat als Ersatz für ein vorhandenes Zertifikat auf einem Knoten erstellen".


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslreplacecell
Dateiname:tsec_sslreplacecell.html