Pour remplacer les certificats SSL (Secure Socket Layer) dans une cellule complète, vous devez créer un certificat racine d'auto-signature dans le fichier de clés racine, DmgrDefaultRootStore, et remplacer l'ancien certificat racine par le nouveau.
Pourquoi et quand exécuter cette tâche
Pour le certificat par défaut de la cellule dans CellDefaultKeyStore et le certificat par défaut de chaque noeud dans NodeDefaultKeyStore, créez un certificat chaîné et remplacez l'ancien certificat par défaut par le nouveau.
Le certificat racine est créé par défaut sur WebSphere Application
Server et comporte un nom distinctif du sujet (SubjectDN) au format cn=<hostname>, ou=Root
Certificate, ou=<cell name>, ou=<node name>, o=ibm, c=us.
Lorsque vous créez un certificat racine, vous pouvez également personnaliser le nom distinctif du sujet.
Pour créer un certificat racine SSL dans la console d'administration :
Procédure
Créez le nouveau certificat racine SSL.
- Cliquez sur Sécurité > Gestion des certificats SSL et des clés > Magasins de clés et certificats.
- Dans la liste déroulante des utilisations de fichier de clés, sélectionnez Fichier de clés du certificat racine.
- Cliquez sur DmgrDefaultRootStore dans la liste Utilisations des magasins de clés.
- Dans Propriétés supplémentaires, cliquez sur Certificats personnels.
- Dans le menu déroulant Créer, sélectionnez Certificat d'auto-signature.
- Entrez un certificat et un nom d'alias. Vous pouvez choisir n'importe quel nom à condition que l'alias n'existe pas.
Il s'agit simplement d'un libellé qui identifie le certificat dans le fichier de clés.
- Dans la zone Nom commun, entrez le nom de domaine complet de l'ordinateur où est installé WebSphere Application Server. Il s'agit généralement du nom d'hôte sur lequel s'exécute le noeud.
- Facultatif : Complétez les zones relatives au nom distinctif de sujet de votre choix. Si vous souhaitez que le nom distinctif de sujet se présente comme le nom subjectDN par défaut sur WebSphere Application
Server, entrez :
- IBM dans la zone d'organisation.
- <cell name>,ou=<node
name> dans la zone d'unité organisationnelle.
- Dans le menu déroulant du pays ou de la région, sélectionnez US.
- Vous pouvez utiliser les valeurs par défaut pour le certificat racine utilisé pour signer le certificat, la taille de clé et la période de validité ou vous pouvez indiquer vos propres valeurs.
- Cliquez sur Appliquer>Sauvegarder.
Remarque : Vous pouvez également créer un certificat d'auto-signature à l'aide de la commande createSelfSignedCertificate. Lisez l'article relatif au groupe de commandes PersonalCertificateCommands pour l'objet AdminTask pour plus d'informations.
Remplacez l'ancien certificat racine par celui que vous venez de créer.
Vous devez à présent remplacer l'ancien certificat racine par celui que vous venez de créer. L'option de remplacement de certificat remplace l'ancien certificat par défaut par un nouveau certificat et remplace également toutes les occurrences du signataire de l'ancien certificat par celles du signataire du nouveau certificat. La configuration est également vérifiée pour la recherche de références au nom d'alias de l'ancien certificat et ce dernier est remplacé par le nom d'alias du nouveau certificat. Pour remplacer l'ancien certificat par le nouveau, effectuez les étapes restantes.
- Sur la page Certificats personnels, cochez la case correspondant au certificat racine plus ancien.
- Cliquez sur Remplacer.
- Dans la liste Remplacer par, choisissez l'alias du certificat que vous avez créé.
- Sélectionnez l'option Supprimer l'ancien certificat après le remplacement.
Important : Vérifiez que la case Suppression de l'ancien signataire n'est pas cochée.
- Cliquez sur Appliquer > Sauvegarder.
Créez un certificat personnel chaîné dans le fichier de clés de la cellule par défaut : CellDefaultKeystore.
- Sur la page Magasins de clés et certificats, sélectionnez le fichier CellDefaultKeyStore du noeud à modifier.
- Dans Propriétés supplémentaires, cliquez sur Certificats personnels.
- Sélectionnez le certificat par défaut du noeud, généralement appelé default.
- Cliquez sur Créer > Certificat chaîné.
- Dans la zone Alias, entrez un nouvel alias de certificat personnel.
- Dans la liste déroulante Certificat racine utilisé pour signer le certificat, sélectionnez l'alias root.
- Dans la zone Nom commun, entrez le nom de domaine complet de l'ordinateur où est installé WebSphere Application Server.
- Cliquez sur Appliquer>Sauvegarder.
Remplacez le certificat personnel dans le fichier de clés de la cellule par défaut : CellDefaulltKeystore.
- Sur la page Certificats personnels, cochez la case Default.
- Cliquez sur Remplacer.
- Sélectionnez le nom d'alias de certificat pour le nouveau certificat que vous venez de créer, dans le menu déroulant Remplacer par.
- Sélectionnez l'option Supprimer l'ancien certificat après le remplacement.
Important : Vérifiez que la case Suppression de l'ancien signataire n'est pas cochée.
- Cliquez sur Appliquer > Sauvegarder.
Que faire ensuite
Vous pouvez également remplacer les certificats par défaut dans un noeud. Consultez la rubrique Création d'un certificat SSL pour remplacer un certificat existant dans un noeud pour plus d'informations