Grupo de mandatos SSLMigrationCommands para el objeto AdminTask

Puede utilizar los lenguajes de script Jython o Jacl para migrar configuraciones de almacenamiento de claves. Utilice los mandatos del grupo SSLMigrationCommands para convertir certificados autofirmados en certificados personales encadenados y para habilitar los conjuntos de claves grabables.

El grupo de mandatos SSLMigrationCommands para el objeto AdminTask incluye los mandatos siguientes:

Mandato convertSelfSignedCertificatesToChained

El mandato convertSelfSignedCertificatesToChained convierte certificados autofirmados específicos en certificados personales encadenados.

Nota: Los certificados encadenados son el tipo de certificado por omisión en WebSphere Application Server versión 7.0. El mandato convertSelfSignedCertificatesToChained toma información del certificado autofirmado (como emitido para DN, tamaño o vigencia) y crea un certificado encadenado con la misma información. El certificado encadenado nuevo sustituye al certificado autofirmado. Los certificados de firmante de los certificados autofirmados que se distribuyen a lo largo de la configuración de seguridad se sustituyen por los certificados de firmante del certificado raíz utilizado para firmar el certificado encadenado.

Sintaxis

El mandato tiene la sintaxis siguiente:
wsadmin>$AdminTask convertSelfSignedCertificatesToChained
                     [-certificateReplacementOption ALL_CERTIFICATES | DEFAULT_CERTIFICATES | KEYSTORE_CERTIFICATES]
                     [-keyStoreName nombre_almacén_claves]
                     [-keyStoreScope ámbito_almacén_claves]
                     [-rootCertificateAlias nombre_alias]

Parámetros necesarios

certificateReplacementOption
Especifica las opciones de sustitución de certificados autofirmados de conversión. (String, obligatorio)
Especifica el valor para el parámetro como una de las opciones siguientes:
ALL_CERTIFICATES

Esta opción busca certificados autofirmados en todos los almacenes de claves dentro del ámbito especificado.

El ámbito se puede proporcionar en el parámetro -keyStoreScope. Si no se proporciona ámbito utilizando el parámetro -keyStoreScope, se visitan todos los ámbitos.

DEFAULT_CERTIFICATES

Esta opción busca los certificado autofirmados en los almacenes de claves CellDefaultKeyStore y NodeDefaultKeyStore dentro del ámbito especificado.

El ámbito se puede proporcionar con el parámetro -keyStoreScope. Si no se proporciona ámbito utilizando el parámetro -keyStoreScope, se visitan todos los ámbitos.

KEYSTORE_CERTIFICATES

Esta opción sólo sustituye a los certificados autofirmados del almacén de claves que se especifican con el parámetro -keyStoreName.

Si no se proporciona ámbito utilizando el parámetro -keyStoreScope, se utiliza el ámbito por omisión.

Parámetros opcionales

keyStoreName
Especifica el nombre de un almacén de claves en el que buscar los certificados autofirmados a convertir. Utilice este parámetro con la opción KEYSTORE_CERTIFICATES en el parámetro certificateReplacementOption. (String, opcional)
keyStoreScope
Especifica el nombre del ámbito en el que buscar los certificados autofirmados a convertir. (String, opcional)
rootCertificateAlias
Especifica el certificado raíz a utilizar desde el almacén raíz por omisión utilizado para firmar el certificado encadenado. El valor predeterminado es root. (String, opcional)

Ejemplos

Ejemplo de utilización de la modalidad por lotes:

  • Utilizando Jacl:
    $AdminTask convertSelfSignedCertificatesToChained {-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS}
  • Utilizando la serie Jython:
    AdminTask.convertSelfSignedCertificatesToChained('[-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS]')
  • Utilizando la lista Jython:
    AdminTask.convertSelfSignedCertificatesToChained(['-certificateReplacementOption', 'ALL_CERTIFICATES', '-keyStoreName', 'testKS'])
    Avoid trouble Avoid trouble: Para garantizar el éxito de la migración, vaya al archivo security.xml y cambie el valor predeterminado de dynamicallyUpdateSSLConfig a false en el archivo. Para obtener más información, consulte el tema Actualizaciones de configuración dinámicas en SSL en el Information Center.gotcha

Ejemplo de utilización de la modalidad interactiva:

  • Utilizando Jacl:
    $AdminTask exchangeSigners {-interactive}
  • Utilizando Jython:
    AdminTask.exchangeSigners('-interactive')

Mandato enableWritableKeyrings

El mandato enableWritableKeyrings modifica el almacén de claves y habilita el soporte de SAF grabable. El sistema utiliza este mandato durante la migración. El mandato crea objetos de almacén de claves grabables adicionales para los conjuntos de claves de región de servicio y región de control para almacenes de claves SSL.

Parámetros necesarios

-keyStoreName
Especifica el nombre que identifica de forma exclusiva el almacén de claves que quiere suprimir. (String, obligatorio)

Parámetros opcionales

-controlRegionUser
Especifica el usuario de región de control a utilizar para habilitar los conjuntos de claves grabables. (String, opcional)
-servantRegionUser
Especifica el usuario de región de servicio para habilitar los conjuntos de claves grabables. (String, opcional)
-scopeName
Especifica el nombre que identifica de forma exclusiva el ámbito de gestión, por ejemplo: (cell):localhostNode01Cell. (String, opcional)

Ejemplos

Ejemplo de utilización de la modalidad por lotes:

  • Utilizando la serie Jython:
    AdminTask.enableWritableKeyrings('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
  • Utilizando la lista Jython:
    AdminTask.enableWritableKeyrings(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])

Ejemplo de utilización de la modalidad interactiva:

  • Utilizando Jython:
    AdminTask.enableWritablekeyrings('-interactive')

Mandato convertSSLConfig

El mandato convertSSLConfig migra las configuraciones SSL existentes al formato de objeto de configuración nuevo para configuraciones SSL.

Parámetros necesarios

-sslConversionOption
Especifica cómo el sistema convierte la configuración SSL. Especifica el valor CONVERT_SSLCONFIGS para convertir los objetos de configuración SSL del objeto de configuración SSL anterior al nuevo objeto de configuración SSL. Especifique el valor CONVERT_TO_DEFAULT para convertir la configuración SSL en una configuración SSL centralizada, que también elimina la referencia directa de configuración SSL de los servidores.

Parámetros opcionales

Ninguno.

Ejemplos

Ejemplo de utilización de la modalidad por lotes:

  • Utilizando la serie Jython:
    AdminTask.convertSSLConfig('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
  • Utilizando la lista Jython:
    AdminTask.convertSSLConfig(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])

Ejemplo de utilización de la modalidad interactiva:

  • Utilizando Jython:
    AdminTask.convertSSLConfig('-interactive')

Mandato convertSSLCertificates

El mandato convertSSLCertificates convierte un certificado personal SSL en un certificado personal creado con el algoritmo de firma deseado o lista los certificados personales SSL que no se han creado con el algoritmo de firma deseado.

Parámetros necesarios

Ninguno

Parámetros opcionales

-convertSSLCertAction
Especifique LIST para listar los certificados que no se han creado con el algoritmo de firma especificado en el parámetro -signatureAlgorithm o especifique REPLACE para sustituir los certificados SSL que no se han creado con el algoritmo de firma proporcionado en -signatureAlgorithm por uno que se haya creado con el algoritmo de forma especificado en el parámetro -signatureAlgorithm. El valor predeterminado es LIST.
-signatureAlgorithm
Especifica el algoritmo de firma que hay que comprobar e informa sobre los certificados personales que no se han creado con ese algoritmo o sobre los algoritmos de firma utilizados para crear nuevos certificados personales para sustituir los que no se han creado con el algoritmo de firma. Entre los algoritmos de firma válidos se incluyen SHA1withRSA, SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withECDSA, SHA256withECDSA, SHA384withECDSA, SHA512withECDSA. El valor predeterminado es SHA256withRSA.
Nota: Los algoritmos de firma más fuertes necesitarán que se pueda utilizar el archivo de políticas no restringido para poder crearse con ellos, incluyendo los algoritmos de firma que sean SHA384 y SHA512. Para utilizar certificados con algoritmos de firma EC (Elliptical Curve), es necesario que la configuración SSL esté configurada para utilizarlos. Deberá utilizar el protocolo TLSv1.2 y estar configurados los cifrados EC (Elliptical Curve).

Ejemplos

Ejemplo de utilización de la modalidad por lotes:

  • Utilizando la serie Jython:
    AdminTask.convertSSLCertificates('[- convertSSLCertAction lista -signatureAlgorithm SHA256withRSA')
  • Utilizando la lista Jython:
    AdminTask.convertSSLCertificates(['-convertSSLCertAction', 'lista', '-signatureAlgorithm', 'SHA256withRSA'])

Ejemplo de utilización de la modalidad interactiva:

  • Utilizando Jython:
    AdminTask.convertSSLCertificates('-interactive')

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_7sslmigration
File name: rxml_7sslmigration.html