CA-Zertifikat mit dem Tool "wsadmin" als Standardzertifikat festlegen
Verwenden Sie diesen Artikel, um eine Anforderung zum Erstellen eines persönlichen Zertifikats an eine externe Zertifizierungsstelle (CA, Certificate Authority) abzusetzen. Nachdem die CA das Zertifikat zurückgegeben hat und das Zertifikat im Keystore gespeichert wurde, können Sie es als persönliches Standardzertifikat für den Server verwenden.
Vorbereitende Schritte
Sie müssen ein CA-Clientobjekt in Ihrer Umgebung konfigurieren.Das Clientobjekt enthält alle Konfigurationsdaten, die erforderlich sind, um eine Verbindung zum CA-Server eines anderen Anbieters herzustellen.
Informationen zu diesem Vorgang
Nach der Profilerstellung wird dem System ein verkettetes persönliches Standardzertifikat zugeordnet. Verwenden Sie die folgenden Schritte, um den Anwendungsserver so zu ändern, dass er ein persönliches Standardzertifikat verwendet, das von einer externen CA erstellt wurde.
Vorgehensweise
- Starten Sie das Scripting-Tool "wsadmin" mit der Scripting-Sprache Jython. Weitere Informationen finden Sie im Artikel "wsadmin-Scripting-Client starten".
- Vergewissern Sie sich, dass ein CA-Client in Ihrer Konfiguration vorhanden ist. Verwenden Sie den Befehl "listCAClients", um Ihre Umgebung nach allen vorhandenen CA-Clients
und Konfigurationsattributen abzufragen, oder verwenden Sie den Befehl
"getCAClient", um die Konfigurationsattribute für einen bestimmten CA-Client zurückzugeben.
Wenn der Befehl "listCAClients" bzw. "getCAClient" keine Attribute zurückgibt, müssen Sie ein
CA-Clientobjekt erstellen, bevor Sie die verbleibenden Schritte ausführen können.
- Listen Sie alle CA-Clientobjekte in Ihrer Konfiguration auf. Verwenden Sie den Befehl "listCAClients", um alle CA-Clients in Ihrer Konfiguration aufzulisten. Wenn Sie keinen Wert für den Parameter "-scopeName" angeben, fragt der Befehl die Zelle ab, sofern Sie ein Deployment-Manager-Profil verwenden, bzw. den Knoten, falls Sie ein Anwendungsserverprofil verwenden. Verwenden Sie den Parameter "-all", wie im folgenden Beispiel gezeigt, wenn Sie die Umgebung ohne Verwendung eines bestimmten Geltungsbereichs abfragen möchten:
print AdminTask.listCAClients('-all true')
Der Befehl gibt, wie in der folgenden Beispielausgabe gezeigt, einen Bereich von Attributlisten zurück und zeigt für jeden CA-Client jeweils eine Attributliste an:'[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1) ] [scopeName (cell):myCell01] [name jenCAClient] [baseDn ] [_Websphere_Config_Da ta_Id cells/myCell01|security.xml#CAClient_1181834566881] [port 2950] [CACertifi cate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Webspher e_Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pa ssword ] [host ] ]' '[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1) ] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphere_Config_Dat a_Id cells/myCell01|security.xml#CAClient_1181834566882] [port 2951] [CACertific ate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Websphere _Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pas sword ] [host ] ]'
- Listen Sie die Konfigurationsattribute für einen bestimmten CA-Client auf.Verwenden Sie den Befehl "getCAClient", wie im folgenden Beispiel gezeigt, um die Liste der Attribute für einen bestimmten CA-Client anzuzeigen:
print AdminTask.getCAClient('-caClientName myCAClient')
Der Befehl gibt, wie im folgenden Beispiel gezeigt, eine Attributliste zurück, die die Attribut/Wert-Paare für den jeweiligen CA-Client enthält:'[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementSc ope_1)] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphe re_Config_Data_Id cells/myCell01|security.xml#CAClient_1181834566882] [por t 2951] [CACertificate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [u serId ] [_Websphere_Config_Data_Type CAClient] [retryCheck 0] [properties ] [fre quencyCheck 0] [password ] [host ] ]'
- Listen Sie alle CA-Clientobjekte in Ihrer Konfiguration auf.
- Optional: Wenn kein CA-Client in Ihrer Umgebung vorhanden ist, konfigurieren Sie ein CA-Clientobjekt.
- Optional: Zeigen Sie das aktuelle persönliche Standardzertifikat an. Verwenden Sie den folgenden Befehl "listPersonalCertificates", um das aktuelle persönliche Standardzertifikat anzuzeigen, das ersetzt werden soll:
AdminTask.listPersonalCertificates('[-keyStoreName CellDefaultKeyStore -keyStoreScope (cell):myCell01]')
- Fordern Sie ein Zertifikat von einer Zertifizierungsstelle an. Bevor das aktuelle persönliche Standardzertifikat ersetzt werden kann, müssen Sie ein Zertifikat von einer Zertifizierungsstelle anfordern. Sie können eine neue Zertifikatsanforderung erstellen oder den Befehl "createCertificateRequest" verwenden, um eine vordefinierte Zertifikatsanforderung zu verwenden. Das System verwendet die Zertifikatsanforderung und die Konfigurationsdaten der Zertifizierungsstelle aus dem CA-Clientobjekt, um das Zertifikat von der Zertifizierungsstelle anzufordern. Wenn die Zertifizierungsstelle ein Zertifikat zurückgibt, speichert der Befehl "requestCAcertificate" das Zertifikat im angegebenen Keystore und gibt die Nachricht COMPLETE zurück.
Tabelle 1. Erforderliche Parameter. Verwenden Sie den Befehl "requestCACertificate" und die folgenden erforderlichen Parameter, um ein Zertifikat von einer Zertifizierungsstelle anzufordern: Parameter Beschreibung Datentyp -certificateAlias Gibt den Alias des Zertifikats an. Sie können eine vordefinierte Zertifikatsanforderung angeben. String -keyStoreName Gibt den Namen des Keystore-Objekts an, in dem das CA-Zertifikat gespeichert ist. Verwenden Sie den Befehl "listKeyStores", um eine Liste der verfügbaren Keystores anzuzeigen. String -caClientName Gibt den Namen des CA-Clients an, der zum Erstellen des CA-Zertifikats verwendet wurde. String -revocationPassword Gibt das Kennwort an, das zu einem späteren Zeitpunkt zum Widerrufen des Zertifikats verwendet werden soll. String Tabelle 2. Optionale Parameter. Mit den folgenden Parameter können Sie weitere Optionen für die Zertifikatsanforderung angeben. Wenn Sie einen optionalen Parameter nicht angeben, verwendet der Befehl den Standardwert. Parameter Beschreibung Datentyp -keyStoreScope Gibt den Verwaltungsbereich des Keystores an. Für ein Deployment-Manager-Profil ist der Standardwert die Zelle. Für ein Anwendungsserverprofil ist der Standardwert der Knoten. String -caClientScope Gibt den Verwaltungsbereich für den CA-Client an. Für ein Deployment-Manager-Profil ist der Standardwert die Zelle. Für ein Anwendungsserverprofil ist der Standardwert der Knoten. String -certificateCommonName Gibt den Teil mit dem allgemeinen Namen (CN, Common Name) des vollständigen Zertifikats-DN an. Der allgemeine Name kann eine Person, ein Unternehmen oder eine Maschine bezeichnen. Bei Websites entspricht der allgemeine Name häufig dem Namen des DNS-Hosts, auf dem sich der Server befindet. String -certificateSize Gibt die Größe des Zertifikatsschlüssels an. Die gültigen Werte sind 512, 1024, 2048, 4096 und 8192. Der Standardwert ist 2048. String -certificateOrganization Gibt den Teil des definierten Namens (DN) mit der Organisationseinheit an. String -certificateOrganizationalUnit Gibt den Teil des definierten Namens (DN) mit der Organisationseinheit an. String -certificateLocality Gibt den Teil des definierten Namens (DN) mit dem Standort an. String -certificateState Gibt den Teil des definierten Namens (DN) mit dem Bundesland bzw. der Region an. String -certificateZip Gibt den Teil des definierten Namens (DN) mit der Postleitzahl an. String -certificateCountry Gibt den Teil des definierten Namens (DN) mit dem Bundesland an. String Verwenden Sie die folgende Beispielbefehlssyntax, um ein Zertifikat von einer Zertifizierungsstelle anzufordern:AdminTask.requestCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore -caClientName myCAClient -revocationPassword revokeCApw -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
Der Befehl gibt einen von zwei Werten zurück: Certificate COMPLETE oder certificate PENDING. Wenn der Befehl die Nachricht Certificate COMPLETE zurückgibt, hat die Zertifizierungsstelle das angeforderte Zertifikat zurückgegeben, und das persönliche Standardzertifikat wird ausgetauscht. Wenn der Befehl die Nachricht certificate PENDING zurückgibt, hat die Zertifizierungsstelle noch kein Zertifikat zurückgegeben. Verwenden Sie den Befehl "queryCACertificate", wie im folgenden Beispiel gezeigt, um den aktuellen Status der Zertifikatsanforderung anzuzeigen:AdminTask.queryCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
- Ersetzen Sie das persönliche Standardzertifikat für den Server. Verwenden Sie den folgenden Beispielbefehl "replaceCertificate", um das vorhandene persönliche Zertifikat durch das neu erstellte persönliche CA-Zertifikat zu ersetzen:
AdminTask.replaceCertificate('-keyStoreName CellDefaultKeyStore -certificateAlias defaultPersonalCertificate -replacementCertificateAlias newCertificate')
- Sichern Sie die Konfigurationsänderungen. Verwenden Sie den folgenden Beispielbefehl, um Ihre Konfigurationsänderungen zu speichern:
AdminConfig.save()
Ergebnisse
Das persönliche Standardzertifikat für den Server ist ein Zertifikat, das von einer externen CA erstellt wurde.
Nächste Schritte
Wenn das CA-Clientobjekt ordnungsgemäß erstellt wurde, können Sie einen Anwendungsserver für die Verwendung einer von einer CA erstellten persönlichen Zertifikats konfigurieren.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7percert
Dateiname:txml_7percert.html