Persönliches Standardzertifikat mit einem CA-Client erstellen

Als persönliches Standardzertifikat des Servers kann das Zertifikat einer externen Zertifizierungsstelle verwendet werden. Das CA-Zertifikat kann mit einem CA-Client erstellt werden.

Vorbereitende Schritte

Vor Ausführung dieser Task benötigen Sie Folgendes:
  • Eine Zertifizierungsstelle (CA, Certificate Authority), an die Sie die Zertifikatsanforderung richten
  • Ein Modul, das die Schnittstelle com.ibm.wsspi.ssl.WSPKIClient implementiert. Sie benötigen dieses Modul für die Verbindung zum CA-Server und zum Anfordern eines Zertifikats.
Nutzen Sie zum Anzeigen oder Modifizieren eines CA-Clients die Administrationskonsole.

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
  2. Klicken Sie unter "Zugehörige Elemente" auf CA-Clientkonfigurationen. Daraufhin erscheint eine Anzeige mit den vorhandenen CA-Clients.
  3. Klicken Sie auf die Schaltfläche Neu.
  4. Geben Sie die erforderlichen CA-Clientinformationen ein:
    • Name des CA-Clients
    • Verwaltungsbereich (Auswahl in der Drop-down-Liste)
    • Implementierungsklasse
    • Hostname des CA-Servers
    • Benutzername
    • Kennwort
    • Kennwort bestätigen
    • Anzahl der Abfrageaufrufe
    • Abfrageintervall (in Minuten) für die Anforderung von Zertifikaten
    • Angepasste Eigenschaften
  5. Klicken Sie auf Anwenden und Speichern.
  6. Navigieren Sie zum persönlichen Zertifikat des Serverstandard-Keystore. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Keystores und Zertifikate > <Serverstandard-Keystore>. Klicken Sie unter "Weitere Eigenschaften" auf Persönliche Zertifikate.
  7. Klicken Sie auf die Schaltfläche Erstellen und wählen Sie Von einer Zertifizierungsstelle signiertes Zertifikat aus.
  8. Geben Sie im Abschnitt "CA-Zertifikat" die folgenden Informationen ein.
    • Widerrufkennwort
    • Kennwort bestätigen
    • Wählen Sie den CA-Client für dieses CA-Zertifikat aus.
      Anmerkung: Sie können auch auf die Schaltfläche Neu klicken und für diese Zertifizierungsstelle einen neuen CA-Client erstellen.
    • Geben Sie im Abschnitt "Anforderungsspezifikation" die folgenden Informationen ein:
      • Wählen Sie das Optionsfeld "Vordefinierter Anforderungsalias" aus, wenn ein solcher vorhanden ist.
      • Falls es keinen vordefinierten Aliasnamen gibt, füllen Sie die folgenden Felder aus:
        • Geben Sie im Feld "Aliasname" einen Aliasnamen ein. Der Aliasname identifiziert die Zertifikatsanforderung im Keystore.
        • Geben Sie einen allgemeinen Namen (CN, Common Name) ein. Dieser Wert ist der CN-Wert im definierten Namen (DN, Distinguished Name) des Zertifikats.
        • Optional: Geben Sie eine Organisation an. Dieser Wert ist der O-Wert im DN des Zertifikats.
        • Optional: Wählen Sie eine Schlüsselgröße aus. Die gültigen Schlüsselgrößenwerte sind 512, 1024, 2048, 4096 und 8192. Die Standardschlüsselgröße ist 2048 Bit.
        • Ort
        • Optional: Geben Sie einen Bundesstaat bzw. ein Bundesland ein. Dieser Wert ist der ST-Wert im DN des Zertifikats.
        • Optional: Geben Sie eine Postleitzahl ein. Dieser Wert ist der POSTALCODE-Wert im DN des Zertifikats.
        • Optional: Geben Sie ein Land oder eine Region aus der Liste ein. Dieser Wert ist der "C="-Wert im DN des Zertifikats.
        • Gültigkeitszeitraum
  9. Klicken Sie auf Anwenden und Speichern.
  10. Navigieren Sie zu den persönlichen Zertifikaten des Serverstandard-Keystore. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Keystores und Zertifikate > <Serverstandard-Keystore>. Klicken Sie unter "Weitere Eigenschaften" auf Persönliche Zertifikate.
  11. Wählen Sie das persönliche Standardzertifikat des Servers aus und klicken Sie auf die Schaltfläche Ersetzen.
  12. Wählen Sie in der Liste der Aliasnamen den CA-Zertifikatalias aus.
  13. Klicken Sie auf Anwenden und Speichern.

Ergebnisse

Der CA-Zertifikatalias ersetzt den Aliasnamen des Standardzertifikats an den Stellen der Konfiguration, die auf diesen Aliasnamen verweisen. Alle Unterzeichnerzertifikate des Standardzertifikats werden durch das Unterzeichnerzertifikat des CA-Zertifikats ersetzt.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7moduseexternalca
Dateiname:tsec_7moduseexternalca.html