Groupe de commandes SSLMigrationCommands pour l'objet AdminTask
Vous pouvez utiliser les langages de script Jython ou Jacl pour migrer des configurations de fichiers de clés. Utilisez les commandes du groupe SSLMigrationCommands pour convertir les certificats autosignés en des certificats personnels chaînés et activer les fichiers de clés inscriptibles.
Commande convertSelfSignedCertificatesToChained
La commande convertSelfSignedCertificatesToChained convertit des certificats autosignés spécifiques en des certificats personnels chaînés.
Syntaxe
wsadmin>$AdminTask convertSelfSignedCertificatesToChained
[-certificateReplacementOption ALL_CERTIFICATES | DEFAULT_CERTIFICATES | KEYSTORE_CERTIFICATES]
[-keyStoreName keystore_name]
[-keyStoreScope keystore_scope]
[-rootCertificateAlias alias_name]
Paramètres obligatoires.
- Indique les options de remplacement des certificats autosignés de conversion. (Chaîne, obligatoire)Indiquez la valeur du paramètre en choisissant parmi l'une options suivantes :
Cette option recherche tous les certificats autosignés dans tous les fichiers de clés en fonction de la portée indiquée.
La portée peut être indiquée via le paramètre -keyStoreScope. Si aucune portée n'est définie via le paramètre -keyStoreScope, toutes les portées sont prises en compte.
Cette option recherche les certificats autosignés dans les fichiers de clés par défaut CellDefaultKeyStore et NodeDefaultKeyStore en fonction de la portée indiquée.
La portée peut être indiquée à l'aide du paramètre -keyStoreScope. Si aucune portée n'est définie via le paramètre -keyStoreScope, toutes les portées sont prises en compte.
Cette option remplace uniquement les certificats autosignés du fichier de clés qui sont indiqués par le paramètre -keyStoreName.
Si aucune portée n'est définie via le paramètre -keyStoreScope, la portée par défaut est utilisée.
Paramètres facultatifs
- keyStoreName
- Indique le nom d'un fichier de clés dans lequel rechercher les certificats autosignés à convertir. Utilisez ce paramètre avec l'option KEYSTORE_CERTIFICATES sur le paramètre certificateReplacementOption. (Chaîne, facultatif)
- keyStoreScope
- Indique le nom de la portée dans laquelle rechercher les certificats autosignés à convertir. (Chaîne, facultatif)
- rootCertificateAlias
- Indique le certificat racine à utiliser à partir du magasin racine par défaut servant à signer le certificat chaîné. La valeur par défaut est root. (Chaîne, facultatif)
Exemples
Syntaxe d'un exemple de mode différé :
- Avec Jacl :
$AdminTask convertSelfSignedCertificatesToChained {-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS}
- A l'aide de la chaîne Jython :
AdminTask.convertSelfSignedCertificatesToChained('[-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS]')
- En langage Jython :
AdminTask.convertSelfSignedCertificatesToChained(['-certificateReplacementOption', 'ALL_CERTIFICATES', '-keyStoreName', 'testKS'])
Eviter les incidents: Pour vérifier si la migration a réussi, accédez au fichier security.xml et remplacez la valeur par défaut de dynamicallyUpdateSSLConfig par false dans ce fichier. Pour plus d'informations, voir la section relative aux mises à jour de configuration dynamique dans SSL dans le centre de documentation.gotcha
Exemple d'utilisation en mode interactif :
- Avec Jacl :
$AdminTask exchangeSigners {-interactive}
- En langage Jython :
AdminTask.exchangeSigners('-interactive')
Commande enableWritableKeyrings
La commande enableWritableKeyrings modifie le fichier de clés et active la prise en charge SAF inscriptible. Le système utilise cette commande lors de la migration. La commande crée des objets de fichiers de clés inscriptibles supplémentaires pour la région de contrôle et des fichiers de clés de la région serviteur pour les fichiers de clés SSL.
Paramètres obligatoires.
- -keyStoreName
- Indique le nom qui identifie de manière unique le fichier de clés que vous souhaitez supprimer. (Chaîne, obligatoire)
Paramètres facultatifs
- -controlRegionUser
- Indique l'utilisateur de la région de contrôle à utiliser pour activer les fichiers de clés inscriptibles. (Chaîne, facultatif)
- -servantRegionUser
- Indique l'utilisateur de la région serviteur à utiliser pour activer les fichiers de clés inscriptibles. (Chaîne, facultatif)
- -scopeName
- Indique le nom qui identifie de manière unique la portée de la gestion. Par exemple : (cell):localhostNode01Cell. (Chaîne, facultatif)
Exemples
Syntaxe d'un exemple de mode différé :
- A l'aide de la chaîne Jython :
AdminTask.enableWritableKeyrings('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
- En langage Jython :
AdminTask.enableWritableKeyrings(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])
Exemple d'utilisation en mode interactif :
- En langage Jython :
AdminTask.enableWritablekeyrings('-interactive')
Commande convertSSLConfig
La commande convertSSLConfig migre les configurations SSL existantes vers le format d'objet de nouvelle configuration pour les configurations SSL.
Paramètres obligatoires.
- -sslConversionOption
- Indique comment le système convertit la configuration SSL. Indiquez la valeur CONVERT_SSLCONFIGS pour convertir les objets de configuration SSL de l'ancien objet de configuration SSL vers le nouvel objet de configuration SSL. Indiquez la valeur CONVERT_TO_DEFAULT pour convertir la configuration SSL en une configuration SSL centralisée, ce qui supprime également le référencement direct de la configuration SSL à partir des serveurs.
Paramètres facultatifs
Aucune.Exemples
Syntaxe d'un exemple de mode différé :
- A l'aide de la chaîne Jython :
AdminTask.convertSSLConfig('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
- En langage Jython :
AdminTask.convertSSLConfig(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])
Exemple d'utilisation en mode interactif :
- En langage Jython :
AdminTask.convertSSLConfig('-interactive')
Commande convertSSLCertificates
La commande convertSSLCertificates convertit les certificats personnels SSL en certificat personnel créé avec l'algorithme de signature souhaité ou répertorie les certificats personnels SSL qui ne sont pas créés avec l'algorithme de signature souhaité.
Paramètres obligatoires.
AucuneParamètres facultatifs
- -convertSSLCertAction
- Spécifiez LIST pour répertorier les certificats qui ne sont pas créés avec l'algorithme de signature indiqué dans le paramètre -signatureAlgorithm ou spécifiez REPLACE pour remplacer les certificats SSL n'étant pas créés avec l'algorithme de signature fourni dans le paramètre -signatureAlgorithm par des certificats créés avec l'algorithme de signature indiqué dans le paramètre -signatureAlgorithm. La valeur par défaut est LIST.
- -signatureAlgorithm
- Spécifie l'algorithme de signature à vérifier et signale quels certificats personnels ne sont pas créés avec cet algorithme ou l'algorithme de signature utilisé pour créer de nouveaux certificats personnels devant remplacer ceux qui ne sont pas créés avec l'algorithme de signature. Les algorithmes de signature valides sont notamment SHA1withRSA, SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withECDSA, SHA256withECDSA, SHA384withECDSA, SHA512withECDSA. La valeur par défaut est SHA256withRSA.
Exemples
Syntaxe d'un exemple de mode différé :
- A l'aide de la chaîne Jython :
AdminTask.convertSSLCertificates('[- convertSSLCertAction list -signatureAlgorithm SHA256withRSA')
- En langage Jython :
AdminTask.convertSSLCertificates(['-convertSSLCertAction', 'list', '-signatureAlgorithm', 'SHA256withRSA'])
Exemple d'utilisation en mode interactif :
- En langage Jython :
AdminTask.convertSSLCertificates('-interactive')