Para substituir certificados Secure Socket Layer (SSL) padrão em uma célula inteira, você deve criar um novo certificado raiz autoassinado no keystore raiz, DmgrDefaultRootStore, e substituir o certificado raiz antigo pelo novo.
Sobre Esta Tarefa
Para o certificado padrão da célula no
CellDefaultKeyStore e para o certificado padrão de cada nó no NodeDefaultKeyStore, crie um novo
certificado em cadeia e substitua o certificado padrão antigo pelo novo
certificado.
O certificado raiz criado por padrão
no WebSphere Application
Server e possui um SubjectDN no formato cn=<hostname>, ou=Root
Certificate, ou=<cell name>, ou=<node name>, o=ibm, c=us.
Ao criar um novo certificado raiz, é possível customizar também o DN do assunto.
Para criar um novo certificado raiz SSL no console administrativo:
Procedimento
Crie o novo certificado raiz SSL.
- Clique em Segurança > Certificado SSL e Gerenciamento de Chaves
> Armazenamentos de Chaves e Certificados.
- Na lista suspensa Usos do Keystore, selecione Keystore do Certificado Raiz.
- Clique em DmgrDefaultRootStore na
lista de usos do keystore.
- Em Propriedades Adicionais, selecione Certificados Pessoais.
- Na lista suspensa Criar, selecione Certificado Autoassinado.
- Insira um certificado e um nome alternativo. Este pode ser qualquer nome que você escolher, desde que o alias ainda não exista.
É apenas um rótulo para identificar o certificado no keystore.
- No campo Nome comum, insira o nome completo do domínio
do computador no qual o WebSphere Application Server está instalado. Tipicamente, este é o nome do host no qual o nó está em execução.
- Opcional: Preencha qualquer um dos outros campos relacionados ao DN do Assunto. Se desejar que o DN do sujeito se pareça com o
subjectDN padrão no WebSphere Application
Server, insira:
- IBM no campo Organização.
- <cell name>,ou=<node name> no
campo de unidade de Organização.
- No menu suspenso País ou Região, selecione EUA.
- É possível usar os padrões no certificado Raiz usados para assinar o certificado, o Tamanho da Chave e o Período de Validade ou fornecer seus próprios valores.
- Clique em Aplicar > Salvar.
Nota: Também é possível criar um
certificado autoassinado usando o comando createChainedCertificate. Consulte o grupo de comandos PersonalCertificateCommands
do objeto AdminTask para obter informações adicionais.
Substitua o antigo certificado raiz por um que
você tenha acabado de criar.
Agora você deve substituir o certificado raiz antigo pelo certificado
recém-criado. A opção substituir certificado não substitui apenas
o certificado padrão antigo por um novo certificado como também substitui
quaisquer ocorrências do assinante do certificado antigo pelo assinante do
novo certificado. Essa configuração também é verificada para saber se há referências ao
nome alternativo do certificado antigo e o substitui pelo nome alternativo do novo
certificado. Para substituir o certificado antigo pelo novo certificado,
conclua as seguintes etapas.
- Na página Certificados
pessoais, marque a caixa de seleção para o certificado raiz mais antigo.
- Clique em Substituir.
- Na lista Substituir por, escolha o alias do certificado
criado.
- Selecione Excluir certificado antigo após substituição.
Importante: Assegure-se de que a caixa de seleção Excluir assinante
antigo não esteja marcada.
- Clique em Aplicar > Salvar
Crie um certificado pessoal em cadeia no keystore
de célula padrão: CellDefaultKeystore.
- Na página Armazenamentos de chaves e certificados,
selecione o CellDefaultKeyStore do nó
que você deseja mudar.
- Em Propriedades Adicionais, selecione Certificados Pessoais.
- Selecione o certificado padrão do nó, geralmente chamado default.
- Clique em Criar > Certificado em cadeia.
- No campo Alias, insira um novo alias de certificado pessoal.
- Na lista suspensa Certificado raiz usado para assinar o certificado,
selecione o alias root.
- No campo Nome comum, insira o nome completo do domínio
do computador no qual o WebSphere Application Server está instalado.
- Clique em Aplicar > Salvar.
Substitua o certificado pessoal no keystore de
célula padrão:
CellDefaulltKeystore.
- Na página Certificados pessoais, marque
a caixa de seleção padrão.
- Clique em Substituir.
- Selecione o nome alternativo do certificado para o novo certificado
recém-criado a partir do menu suspenso Substituir por.
- Selecione Excluir certificado antigo após a substituição.
Importante: Assegure-se de que a caixa de seleção Excluir assinante antigo
não esteja marcada.
- Clique em Aplicar > Salvar
O que Fazer Depois
Também é possível substituir certificados padrão em um nó. Consulte Criando um Novo Certificado SSL para Substituir um Certificado Existente em um Nó para obter mais informações.