Unterzeichnerzertifikate werden auf der Clientseite einer SSL-Kommunikation zu einem Keystore hinzugefügt, damit der Client vom Server anerkannt wird. Es ist allgemeine Praxis, dass Keystores
eine Vertrauensstellung haben, wenn sie erstellt werden. Für Unterzeichnerzertifikate wird für einen Deployment Manager der DmgrDefaultSignersStore und für einen eigenständigen Anwendungsserver der
NodeDefaultSignersStore erstellt, um standardmäßig Vertrauen in neu erstellte Keystores herzustellen.
Vorbereitende Schritte
Der Keystore für Standardunterzeichner wird zusammen mit dem Profil erstellt und enthält das Unterzeichnerzertifikat zum Standardstammzertifikat des Servers.
Weitere Unterzeichnerzertifikate können jederzeit zum Keystore für Standardunterzeichner hinzugefügt werden. Jedes Mal, wenn in der Administrationskonsole oder Script-gestützt mit dem Befehl
createKeyStore des Objekts AdminTask ein Keystore erstellt wird, werden zu diesem alle Unterzeichnerzertifikate aus dem Keystore für Standardunterzeichner hinzugefügt.
Alternative Methode: - Wenn Sie mit dem Tool wsadmin ein Unterzeichnerzertifikat zum Keystore für Standardunterzeichner hinzufügen möchten, verwenden Sie den Befehl
addSignerCertificate des Objekts AdminTask.
- Verwenden Sie zum Erstellen eines neuen Keystore mit dem Tool wsadmin den Befehl
createKeyStore des Objekts AdminTask.
- Wenn Sie den Unterzeichner
mit dem Tool wsadmin aus einem persönlichen Zertifikat extrahieren möchten,
verwenden Sie den Befehl extractCertificate des Objekts AdminTask.
- Verwenden Sie zum Austauschen eines Zertifikats mit dem Tool wsadmin die Befehlsgruppe KeyStoreCommands des Objekts
AdminTask.
Weitere Informationen finden Sie im Artikel "Befehlsgruppe 'SignerCertificateCommands' für das Objekt 'AdminTask'"
und im Artikel "Befehlsgruppe 'KeyStoreCommands' für das Objekt 'AdminTask'".
Vorgehensweise
- Wenn das Zertifikat in einer Zertifikatsdatei enthalten ist, kann es in der Administrationskonsole zum Keystore für Standardunterzeichner hinzugefügt werden.
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
- Klicken Sie unter "Zugehörige Elemente" auf
Keystores und Zertifikate.
- Wählen Sie unter "Keystore-Nutzung" Keystore für Standardunterzeichner aus. Es erscheint eine Anzeige mit einer Liste von Keystores.
- Klicken Sie auf DmgrDefaultSignersStore.
- Klicken Sie unter "Weitere Eigenschaften" auf Unterzeichnerzertifikate.
- Klicken Sie auf Hinzufügen.
- Geben Sie im Aliasfeld einen Aliasnamen, im Feld für den Dateinamen einen Pfad zur Zertifikatsdatei und einen Stern
(*) ein. Wählen Sie in der Pul-down-Liste des Feldes "Datentyp" das Format der Zertifikatsdatei aus.
- Klicken Sie auf Anwenden und Speichern.
Anmerkung: Zum Hinzufügen des Zertifikats können Sie auch den AdminTask-Befehl addSignerCertificate verwenden.
- Wenn das Unterzeichnerzertifikat eines persönlichen Zertifikats zum Keystore für Standardunterzeichner hinzugefügt werden muss, können Sie es aus dem persönlichen Zertifikat in eine Zertifikatsdatei extrahieren.
Sie können auch den Unterzeichner direkt in den Keystore für Standardunterzeichner extrahieren.
Gehen Sie wie folgt vor, um ein
Unterzeichnerzertifikat aus einem persönlichen Zertifikat in eine Zertifikatsdatei zu extrahieren:
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
- Klicken Sie unter "Zugehörige Elemente" auf
Keystores und Zertifikate.
- Wählen Sie unter "Keystore-Nutzung" Alle aus. Es erscheint eine Anzeige mit einer Liste von Keystores.
- Klicken Sie auf den Keystore-Namen.
- Klicken Sie unter "Weitere Eigenschaften" auf Persönliche Zertifikate.
- Wählen Sie ein persönliches Zertifikat aus.
- Klicken Sie auf Extrahieren.
- Geben Sie im Feld "Name der Zertifikatsdatei" den Pfad zur Zertifikatsdatei ein. Wählen Sie in der Pull-down-Liste des Feldes "Datentyp" einen Formattyp
aus.
- Klicken Sie auf Anwenden und Speichern.
- Mit dem folgenden Schritt 1 kann der Unterzeichner zum Keystore für Standardunterzeichner hinzugefügt werden.
Anmerkung: Sie können den Unterzeichner auch Script-basiert mit dem AdminTask-Befehl extractCertificate aus einem persönlichen Zertifikat extrahieren.
- Wenn ein Unterzeichnerzertifikat in den Keystore für Standardunterzeichner extrahiert werden soll, kann das Unterzeichnerzertifikat über die Administrationskonsole ausgetauscht werden.
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
- Klicken Sie unter "Zugehörige Elemente" auf
Keystores und Zertifikate.
- Wählen Sie unter "Keystore-Nutzung" Alle aus. Es erscheint eine Anzeige mit einer Liste von Keystores.
- Klicken Sie auf den Keystore für Standardunterzeichner und den Keystore mit dem persönlichen Zertifikat, dessen Unterzeichnerzertifikat benötigt wird.
- Klicken Sie auf Unterzeichner austauschen.
- Wählen Sie das persönliche Zertifikat aus, dessen Unterzeichner benötigt wird.
- Klicken Sie auf Add.
- Klicken Sie auf Anwenden und Speichern.
Anmerkung: Zum Austauschen des Zertifikats können Sie auch den AdminTask-Befehl exchangeSigner verwenden.
Anmerkung: Ein DataPower-Zertifikat kann, falls vorhanden, aus dem Keystore für Standardunterzeichner
entfernt werden. Wenn Sie den DataPower-Gerätemanager nicht verwenden, sollten Sie das DataPower-Zertifikat aus dem
Standard-Trust-Store entfernen, um zu vermeiden, dass nicht beabsichtigte Vertrauensbeziehungen genutzt werden. Wenn Sie den
DataPower-Gerätemanager jedoch zu einem späteren Zeitpunkt verwenden möchten, müssen Sie das
DataPower-Zertifikat wieder zum Standard-Trust-Store hinzufügen.
Ergebnisse
Nachdem Sie diese Schritte ausgeführt haben, ist der Unterzeichner aus der Zertifikatsdatei im Keystore für Standardunterzeichner gespeichert. Der Unterzeichner wird in der Liste der Keystore-Dateien für Unterzeichnerzertifikate angezeigt.
Nächste Schritte
Der neue Keystore enthält die Standardunterzeichner, die zum Keystore für Standardunterzeichner hinzugefügt wurden.