Befehlsgruppe "SSLMigrationCommands" für das Objekt "AdminTask"

Sie können die Scripting-Sprachen Jython und Jacl verwenden, um Keystore-Konfigurationen zu migrieren. Verwenden Sie die Befehle in der Gruppe "SSLMigrationCommands", um selbst signierte Zertifikate in verkettete persönliche Zertifikate zu konvertieren und um beschreibbare Schlüsselringe zu aktivieren.

Die Befehlsgruppe "SSLMigrationCommands" für das Objekt "AdminTask" enthält die folgenden Befehle:

Befehl "convertSelfSignedCertificatesToChained"

Der Befehl "convertSelfSignedCertificatesToChained" konvertiert bestimmte selbst signierte Zertifikate in verkettete persönliche Zertifikate.

Anmerkung: Verkettete Zertifikate sind der Standardzertifikatstyp in Websphere Application Server Version 7.0. Der Befehl "convertSelfSignedCertificatesToChained" verwendet die Informationen aus dem selbst signierten Zertifikat, wie z. B. für welchen DN das Zertifikat ausgestellt wird, die Größe des Zertifikats und die Lebensdauer des Zertifikats, und erstellt ein verkettetes Zertifikat mit denselben Informationen. Das neue verkettete Zertifikat ersetzt das selbst signierte Zertifikat. Unterzeichnerzertifikate aus dem selbst-signierten Zertifikat, die in der Sicherheitskonfiguration verteilt werden, werden durch die Unterzeichnerzertifikate aus dem Stammzertifikat ersetzt, das für die Signatur des verketteten Zertifikats verwendet wird.

Syntax

Der Befehl hat die folgende Syntax:
wsadmin>$AdminTask convertSelfSignedCertificatesToChained
                     [-certificateReplacementOption ALL_CERTIFICATES | DEFAULT_CERTIFICATES | KEYSTORE_CERTIFICATES]
                     [-keyStoreName Keystore-Name]
                     [-keyStoreScope Keystore-Geltungsbereich]
                     [-rootCertificateAlias Aliasname]

Erforderliche Parameter

certificateReplacementOption
Gibt die Ersetzungsoptionen für das zu konvertierende selbst signierte Zertifikat an. (String, erforderlich.)
Geben Sie eine der folgenden Optionen als Wert für den Parameter an:
ALL_CERTIFICATES

Diese Option sucht alle selbst signierten Zertifikate in allen Keystores im angegebenen Geltungsbereich.

Der Geltungsbereich kann mit dem Parameter "-keyStoreScope" angegeben werden. Wenn mit dem Parameter "-keyStoreScope" kein Geltungsbereich angegeben wird, werden alle Geltungsbereiche durchsucht.

DEFAULT_CERTIFICATES

Diese Option sucht selbst signierte Zertifikate in den Standard_Keystores "CellDefaultKeyStore" und "NodeDefaultKeyStore" im angegebenen Geltungsbereich.

Der Geltungsbereich kann mit dem Parameter "-keyStoreScope" angegeben werden. Wenn mit dem Parameter "-keyStoreScope" kein Geltungsbereich angegeben wird, werden alle Geltungsbereiche durchsucht.

KEYSTORE_CERTIFICATES

Diese Option ersetzt nur die selbst signierten Zertifikate in dem Keystore, der mit dem Parameter "-keyStoreName" angegeben wird.

Wenn mit dem Parameter "-keyStoreScope" kein Geltungsbereich angegeben wird, wird der Standardbereich verwendet.

Optionale Parameter

keyStoreName
Gibt den Namen des Keystores an, in dem zu konvertierende selbst signierte Zertifikate gesucht werden sollen. Verwenden Sie diesen Parameter mit der Option KEYSTORE_CERTIFICATES im Parameter "certificateReplacementOption". (String, optional)
keyStoreScope
Gibt den Namen des Geltungsbereichs an, in dem zu konvertierende selbst signierte Zertifikate gesucht werden sollen. (String, optional)
rootCertificateAlias
Gibt das Stammzertifikat an, das aus dem Standardstammspeicher verwendet solle, der zum Signieren des verketteten Zertifikats verwendet wird. Der Standardwert ist root. (String, optional)

Beispiele

Verwendungsbeispiel für den Stapelmodus:

  • Mit Jacl:
    $AdminTask convertSelfSignedCertificatesToChained {-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS}
  • Mit Jython (String):
    AdminTask.convertSelfSignedCertificatesToChained('[-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS]')
  • Mit Jython (List):
    AdminTask.convertSelfSignedCertificatesToChained(['-certificateReplacementOption', 'ALL_CERTIFICATES', '-keyStoreName', 'testKS'])
    Fehler vermeiden Fehler vermeiden: Um eine erfolgreiche Migration sicherzustellen, rufen Sie die Datei security.xml auf, und ändern Sie die Standardeinstellung für dynamicallyUpdateSSLConfig in der Datei in false. Weitere Informationen finden Sie im Artikel über dynamische Konfigurationsaktualisierungen in SSL im Information Center.gotcha

Verwendungsbeispiel für den Dialogmodus:

  • Mit Jacl:
    $AdminTask exchangeSigners {-interactive}
  • Mit Jython:
    AdminTask.exchangeSigners('-interactive')

Befehl "enableWritableKeyrings"

Der Befehl "enableWritableKeyrings" ändert den Keystore und aktiviert die Unterstützung für beschreibbare SAF-Schlüsselringe. Das System verwendet diesen Befehl während der Migration. Der Befehl erstellt zusätzliche beschreibbare Keystore-Objekte für die Schlüsselringe der Steuerregion und der Servant-Region für SSL-Keystores.

Erforderliche Parameter

-keyStoreName
Gibt den Namen an, der den zu löschenden Keystore eindeutig kennzeichnet. (String, erforderlich.)

Optionale Parameter

-controlRegionUser
Gibt den Benutzer für die Steuerregion an, der zum Aktivieren beschreibbarer Schlüsselringe verwendet werden soll. (String, optional)
-servantRegionUser
Gibt den Benutzer für die Servant-Region an, der zum Aktivieren beschreibbarer Schlüsselringe verwendet werden soll. (String, optional)
-scopeName
Gibt den Namen an, der den Verwaltungsbereich eindeutig identifiziert, z. B. (Zelle):localhostNode01Cell. (String, optional)

Beispiele

Verwendungsbeispiel für den Stapelmodus:

  • Mit Jython (String):
    AdminTask.enableWritableKeyrings('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
  • Mit Jython (List):
    AdminTask.enableWritableKeyrings(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])

Verwendungsbeispiel für den Dialogmodus:

  • Mit Jython:
    AdminTask.enableWritablekeyrings('-interactive')

Befehl "convertSSLConfig"

Der Befehl "convertSSLConfig" migriert vorhandene SSL-Konfigurationen in das neue Konfigurationsobjektformat für SSL-Konfigurationen.

Erforderliche Parameter

-sslConversionOption
Gibt an, wie das System die SSL-Konfiguration konvertiert. Geben Sie den Wert CONVERT_SSLCONFIGS an, um die SSL-Konfigurationsobjekte aus dem vorherigen SSL-Konfigurationsobjekt in das neue SSL-Konfigurationsobjekt zu konvertieren. Geben Sie den Wert CONVERT_TO_DEFAULT an, um die SSL-Konfiguration in eine zentrale SSL-Konfiguration zu konvertieren und damit die direkte Referenzierung der SSL-Konfiguration in Servern zu verhindern.

Optionale Parameter

Ohne.

Beispiele

Verwendungsbeispiel für den Stapelmodus:

  • Mit Jython (String):
    AdminTask.convertSSLConfig('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
  • Mit Jython (List):
    AdminTask.convertSSLConfig(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])

Verwendungsbeispiel für den Dialogmodus:

  • Mit Jython:
    AdminTask.convertSSLConfig('-interactive')

Befehl "convertSSLCertificates"

Der Befehl "convertSSLCertificates" konvertiert persönliche SSL-Zertifikate in ein persönliches Zertifikat, das mit dem gewünschten Signaturalgorithmus erstellt wird, oder listet persönliche SSL-Zertifikate auf, die nicht mit dem gewünschten Signaturalgorithmus erstellt wurden.

Erforderliche Parameter

Ohne

Optionale Parameter

-convertSSLCertAction
Geben Sie LIST an, um Zertifikate aufzulisten, die nicht mit dem über den Parameter -signatureAlgorithm angegebenen Signaturalgorithmus erstellt wurden, oder geben Sie REPLACE an, um die SSL-Zertifikate, die nicht mit dem über den Parameter -signatureAlgorithm angegebenen Signaturalgorithmus erstellt wurden, durch ein Zertifikat zu ersetzen, das mit dem über den Parameter -signatureAlgorithm angegebenen Signaturalgorithmus erstellt wurde. Die Standardeinstellung ist LIST.
-signatureAlgorithm
Mit diesem Parameter wird der Signaturalgorithmus angegeben, mit dem geprüft und berichtet wird, welche persönlichen Zertifikate nicht mit diesem Signaturalgorithmus erstellt wurden bzw. wird der Signaturalgorithmus angegeben, der zum Erstellen neuer persönlicher Zertifikate verwendet wird, um die Zertifikate zu ersetzen, die nicht mit dem Signaturalgorithmus erstellt wurden. Zu den gültigen Signaturalgorithmen gehören SHA1withRSA, SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withECDSA, SHA256withECDSA, SHA384withECDSA, SHA512withECDSA. Der Standardwert ist SHA256withRSA.
Anmerkung: Die stärkeren Signaturalgorithmen erfordern eine vorhandene, uneingeschränkte Richtliniendatei, die beim Erstellen verwendet wird, einschließlich der Signaturalgorithmen SHA384 und SHA512. Wenn Sie Zertifikate mit EC-Signaturalgorithmen (Elliptical Curve) verwenden möchten, muss Ihre SSL-Konfiguration für die Verwendung entsprechend konfiguriert sein. Das Protokoll TLSv1.2 muss verwendet werden und die EC-Chiffrierwerte müssen konfiguriert sein.

Beispiele

Verwendungsbeispiel für den Stapelmodus:

  • Mit Jython (String):
    AdminTask.convertSSLCertificates('[- convertSSLCertAction list -signatureAlgorithm SHA256withRSA')
  • Mit Jython (List):
    AdminTask.convertSSLCertificates(['-convertSSLCertAction', 'list', '-signatureAlgorithm', 'SHA256withRSA'])

Verwendungsbeispiel für den Dialogmodus:

  • Mit Jython:
    AdminTask.convertSSLCertificates('-interactive')

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_7sslmigration
Dateiname:rxml_7sslmigration.html