Establecimiento de un certificado de la entidad emisora de certificados como el certificado predeterminado con la herramienta wsadmin
Utilice este tema para hacer una solicitud a una entidad emisora de certificados (CA) para crear un certificado personal. Después de que la CA devuelve el certificado y que éste último se guarda en el almacén de claves, puede utilizarlo como el certificado personal predeterminado del servidor.
Antes de empezar
Debe configurar un objeto cliente de CA en el entorno. El objeto cliente contiene toda la información de configuración necesaria para conectar con el servidor de la CA de terceros.
Acerca de esta tarea
Después de la creación del perfil, se asigna al sistema un certificado personal encadenado. Utilice los pasos siguientes para modificar el servidor de aplicaciones para utilizar un certificado personal predeterminado creado mediante una CA externa.
Procedimiento
- Inicie la herramienta de scripts wsadmin utilizando el lenguaje de scripts Jython. Para obtener más información, consulte el artículo Inicio del cliente de scripts wsadmin.
- Verifique que existe un cliente de la entidad emisora de certificados en la configuración. Utilice el mandato listCAClients para consultar en el entorno todos los clientes
de la entidad emisora de certificados y los atributos de configuración, o el mandato getCAClient
para devolver los atributos de configuración de un cliente de la entidad emisora de certificados
determinado. Si los mandatos listCAClients o getCAClient no devuelven ningún atributo,
debe crear un objeto cliente de la entidad emisora de certificados antes de poder
completar los pasos restantes.
- Enumere todos los objetos cliente de la entidad emisora de certificados de la configuración.Utilice el mandato listCAClients para enumerar todos los clientes de la entidad emisora de certificados de la configuración. Si no proporciona un valor para el parámetro -scopeName, el mandato consulta a la célula si utiliza un perfil de gestor de despliegue, o al nodo si utiliza un perfil de servidor de aplicaciones. Utilice el parámetro -all para consultar el entorno sin utilizar un ámbito concreto, tal como se muestra en el ejemplo siguiente:
print AdminTask.listCAClients('-all true')
El mandato devuelve una matriz de listas de atributos, que muestra una lista de atributos para cada cliente de CA, como se muestra en la salida del ejemplo siguiente:'[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1) ] [scopeName (cell):myCell01] [name jenCAClient] [baseDn ] [_Websphere_Config_Da ta_Id cells/myCell01|security.xml#CAClient_1181834566881] [port 2950] [CACertifi cate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Webspher e_Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pa ssword ] [host ] ]' '[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1) ] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphere_Config_Dat a_Id cells/myCell01|security.xml#CAClient_1181834566882] [port 2951] [CACertific ate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Websphere _Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pas sword ] [host ] ]'
- Enumere los atributos de configuración de un cliente de la entidad emisora de certificados concreto.Utilice el mandato getCAClient para ver la lista de atributos de un cliente de la entidad emisora de certificados concreto, como se muestra en el ejemplo siguiente:
print AdminTask.getCAClient('-caClientName myCAClient')
El mandato devuelve una lista de atributos que contiene los pares de atributo y valor del cliente de la entidad emisora de certificados concreto, como se muestra en el ejemplo siguiente:'[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementSc ope_1)] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphe re_Config_Data_Id cells/myCell01|security.xml#CAClient_1181834566882] [por t 2951] [CACertificate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [u serId ] [_Websphere_Config_Data_Type CAClient] [retryCheck 0] [properties ] [fre quencyCheck 0] [password ] [host ] ]'
- Enumere todos los objetos cliente de la entidad emisora de certificados de la configuración.
- Opcional: Si no existe un cliente de la entidad emisora de certificados en el entorno, configure un objeto cliente de la CA.
- Opcional: Visualice el certificado personal predeterminado actual. Utilice el mandato listPersonalCertificates siguiente para mostrar el certificado personal predeterminado actual que se va a sustituir:
AdminTask.listPersonalCertificates('[-keyStoreName CellDefaultKeyStore -keyStoreScope (cell):myCell01]')
- Solicite un certificado de una entidad emisora de certificados. Antes de que se pueda sustituir el certificado personal predeterminado actual, debe solicitar una certificado de una entidad emisora de certificados. Puede crear una nueva solicitud de certificado o utilizar el mandato createCertificateRequest para utilizar una solicitud de certificado predefinida. El sistema utiliza la solicitud de certificado y la información de configuración de la entidad emisora de certificados del objeto de cliente de la CA para pedir el certificado de la entidad emisora de certificados. Si la entidad emisora de certificados devuelve un certificado, el mandato requestCAcertificate lo almacena en el almacén de claves especificado y devuelve un mensaje de COMPLETADO.
Tabla 1. Parámetros necesarios. Utilice el mandato requestCACertificate y los siguientes parámetros necesarios para solicitar un certificado de una entidad emisora de certificados. Parámetro Descripción Tipo de datos -certificateAlias Especifica el alias del certificado. Puede especificar una solicitud de certificado predefinida. Serie -keyStoreName Especifica el nombre del objeto de almacén de claves que almacena el certificado de la CA. Utilice el mandato listKeyStores para mostrar una lista de almacenes de claves disponibles. Serie -caClientName Especifica el nombre del cliente de la CA que se ha utilizado para crear el certificado de la CA. Serie -revocationPassword Especifica la contraseña que se va a utilizar para revocar el certificado en una fecha posterior. Serie Tabla 2. Parámetros opcionales. También puede utilizar los parámetros siguientes para especificar opciones adicionales de solicitud de certificado. Si no especifica un parámetro opcional, el mandato utilizará el valor predeterminado. Parámetro Descripción Tipo de datos -keyStoreScope Especifica el ámbito de gestión del almacén de claves. Para un perfil de gestor de despliegue, el valor predeterminado es el ámbito de la célula. Para un perfil de servidor de aplicaciones, el valor predeterminado es el ámbito del nodo. Serie -caClientScope Especifica el ámbito de gestión del cliente de la CA. Para un perfil de gestor de despliegue, el valor predeterminado es el ámbito de la célula. Para un perfil de servidor de aplicaciones, el valor predeterminado es el ámbito del nodo. Serie -certificateCommonName Especifica la parte correspondiente al nombre común (CN) del nombre distinguido (DN) completo del certificado. Este nombre común puede representar una persona, empresa o máquina. Para sitios web, el nombre común suele ser el nombre de host DNS donde reside el servidor. Serie -certificateSize Especifica el tamaño de la clave del certificado. Los valores válidos son 512, 1024, 2048, 4096 y 8192. El valor predeterminado es 2048. Serie -certificateOrganization Especifica la parte correspondiente a la organización del nombre distinguido. Serie -certificateOrganizationalUnit Especifica la parte correspondiente a la unidad organizativa del nombre distinguido. Serie -certificateLocality Especifica la parte correspondiente a la localidad del nombre distinguido. Serie -certificateState Especifica la parte correspondiente al estado del nombre distinguido. Serie -certificateZip Especifica la parte correspondiente al código postal del nombre distinguido. Serie -certificateCountry Especifica la parte correspondiente al país del nombre distinguido. Serie Utilice la sintaxis del mandato de ejemplo siguiente para solicitar un certificado de una entidad emisora de certificados:AdminTask.requestCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore -caClientName myCAClient -revocationPassword revokeCApw -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
El mandato devuelve uno de los dos valores: Certificado COMPLETADO o Certificado PENDIENTE. Si el mandato devuelve el mensaje Certificado COMPLETADO, la entidad emisora de certificados devuelve el certificado solicitado y se sustituye el certificado personal predeterminado. Si el mandato devuelve el mensaje Certificado PENDIENTE, la entidad emisora de certificados no ha devuelto aún un certificado. Utilice el mandato queryCACertificate para ver el estado actual de la solicitud de certificado, como se muestra en el ejemplo siguiente:AdminTask.queryCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
- Sustituya el certificado personal predeterminado del servidor. Utilice el mandato replaceCertificate siguiente para sustituir el certificado personal predeterminado existente por el certificado personal de la CA recién creado:
AdminTask.replaceCertificate('-keyStoreName CellDefaultKeyStore -certificateAlias defaultPersonalCertificate -replacementCertificateAlias newCertificate')
- Guarde los cambios de configuración. Utilice el siguiente ejemplo de mandatos para guardar los cambios de configuración:
AdminConfig.save()
Resultados
El certificado personal predeterminado del servidor es uno creado por una CA externa.
Qué hacer a continuación
Si se ha creado satisfactoriamente el objeto cliente de la CA, puede configurar el servidor de aplicaciones para que utilice un certificado personal creado mediante una CA externa.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7percert
File name: txml_7percert.html