Création de certificats personnels de CA à l'aide de l'outil wsadmin
Cette rubrique permet de créer des certificats d'autorité de certification (CA).
Avant de commencer
Pourquoi et quand exécuter cette tâche
Procédure
- Facultatif : Interrogez la configuration sur les fichiers de clés pour déterminer l'emplacement dans lequel le système stocke le nouveau certificat de CA. La commande listKeyStores répertorie tous les fichiers de clés d'une portée de gestion déterminée. Indiquez le paramètre -scopeName pour afficher les fichiers de clés d'une portée de gestion déterminée ou affectez au paramètre -all la valeur true pour afficher tous les fichiers de clés indépendamment de la portée. L'exemple suivant répertorie tous les fichiers de clés de la configuration :
La commande renvoie l'exemple de sortie suivant :AdminTask.listKeystores('-all true')
CellDefaultKeyStore(cells/myCell|security.xml#KeyStore_1) CellDefaultTrustStore(cells/myCell|security.xml#KeyStore_2) CellLTPAKeys(cells/myCell|security.xml#KeyStore_3) NodeDefaultKeyStore(cells/myCell|security.xml#KeyStore_1598745926544) NodeDefaultTrustStore(cells/myCell|security.xml#KeyStore_1476529854789)
Utilisez la commande getKeyStoreInfo avec le paramètre -keyStoreName pour renvoyer des informations supplémentaires sur le fichier de clés qui vous intéresse, comme dans l'exemple suivant :
The command returns the following configuration information for the keystore of interest:AdminTask.getKeyStoreInfo('[-keyStoreName CellDefaultKeyStore]')
[ [location ${CONFIG_ROOT}/cells/myCell/key.p12] [password *****] [_Webspher e_Config_Data_Id cells/myCell|security.xml#KeyStore_1] [_Websphere_Config_Da ta_Version ] [useForAcceleration false] [slot 0] [type PKCS12] [additionalKeySto reAttrs ] [fileBased true] [_Websphere_Config_Data_Type KeyStore] [customProvide rClass ] [hostList ] [createStashFileForCMS false] [description [Default key sto re for JenbCell01]] [readOnly false] [initializeAtStartup false] [managementScop e (cells/JenbCell01|security.xml#ManagementScope_1)] [usage SSLKeys] [provider I BMJCE] [name CellDefaultKeyStore] ]
- Facultatif : Déterminez le client CA à utiliser. La commande listCAClients permet de répertorier les clients CA présents dans la configuration. Indiquez le paramètre -scopeName pour afficher les clients CA d'une portée de gestion déterminée ou affectez au paramètre -all la valeur true pour afficher tous les fichiers de clés indépendamment de la portée. L'exemple suivant répertorie tous les clients CA de la configuration :
AdminTask.listCAClients('-all true')
- Créez un certificat personnel de CA. La commande requestCACertificate permet de créer un certificat personnel de CA dans l'environnement. Le système utilise la demande de certificat et les informations sur la configuration de l'autorité de certification extraites de l'objet client CA pour demander le certificat à l'autorité de certification. Si l'autorité de certification renvoie un certificat, la commande requestCAcertificate le stocke dans le fichier de clés indiqué et émet le message COMPLETE.
Tableau 1. Paramètres obligatoires. Utilisez la commande requestCACertificate et les paramètres obligatoires suivants pour demander un certificat à une autorité de certification : Paramètre Description Type de données -certificateAlias Indique l'alias du certificat. Vous pouvez indiquer une demande de certificat prédéfinie. String (chaîne) -keyStoreName Indique le nom de l'objet fichier de clés qui contient le certificat de CA. La commande listKeyStores affiche la liste des fichiers de clés disponibles. String (chaîne) -caClientName Indique le nom du client CA utilisé pour créer le certificat de CA. String (chaîne) -revocationPassword Indique le mot de passe qui permettra de révoquer le certificat ultérieurement. String (chaîne) Tableau 2. Paramètres supplémentaires. Vous pouvez également utiliser les paramètres ci-après pour indiquer des options supplémentaires dans la demande de certificat. Si vous n'indiquez pas de paramètre facultatif, la commande utilise la valeur par défaut. Paramètre Description Type de données -keyStoreScope Indique la portée du fichier de clés. Dans le cas d'un profil de gestionnaire de déploiement, la valeur par défaut est la portée de la cellule. Dans le cas d'un profil de serveur d'applications, la valeur par défaut est la portée du noeud. String (chaîne) -caClientScope Indique la portée de la gestion du client CA. Dans le cas d'un profil de gestionnaire de déploiement, la valeur par défaut est la portée de la cellule. Dans le cas d'un profil de serveur d'applications, la valeur par défaut est la portée du noeud. String (chaîne) -certificateCommonName Indique, pour le certificat, la partie du nom distinctif (DN) correspondant au nom commun (CN). Ce nom commun peut désigner une personne, une société ou une machine. Pour les sites Web, le nom usuel est généralement le nom d'hôte DNS de l'emplacement du serveur. String (chaîne) -certificateSize Indique la taille du certificat. Les valeurs valides sont 512, 1024, 2048, 4096 et 8192. La valeur par défaut est 2048. String (chaîne) -certificateOrganization Indique la partie du nom distinctif correspondant à l'organisation. String (chaîne) -certificateOrganizationalUnit Indique la partie du nom distinctif correspondant à l'unité organisationnelle. String (chaîne) -certificateLocality Indique la partie du nom distinctif correspondant à la localité. String (chaîne) -certificateState Indique la partie du nom distinctif correspondant à la région. String (chaîne) -certificateZip Indique la partie du nom distinctif correspondant au code postal. String (chaîne) -certificateCountry Indique la partie du nom distinctif correspondant au pays. String (chaîne) Utilisez l'exemple de syntaxe de commande suivant pour demander un certificat à une autorité de certification :AdminTask.requestCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore -CAClientName myCAClient -revocationPassword revokeCApw')
La commande renvoie l'une des deux valeurs possibles : Certificate COMPLETE ou certificate PENDING. Le message Certificate COMPLETE signifie que l'autorité de certification a renvoyé le certificat demandé, qui remplace alors le certificat personnel par défaut. Le message certificate PENDING signifie que l'autorité de certification n'a pas encore renvoyé de certificat. Utilisez la commande queryCACertificate pour afficher l'état en cours de la demande de certificat, comme dans l'exemple suivant :AdminTask.queryCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore')
- Sauvegardez les modifications. Entrez l'exemple de commande suivante pour sauvegarder les modifications de configuration :
AdminConfig.save()
Résultats
Tâches associées:


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7createcacert
Nom du fichier : txml_7createcacert.html