会将签署者证书添加到 SSL 通信客户机端上的密钥库,以建立与服务器的信任关系。对于密钥库,常见作法是在创建密钥库时,建立信任关系。会在 Deployment Manager 上创建 DmgrDefaultSignersStore 以及在独立应用程序服务器上创建 NodeDefaultSignersStore,以保存用于在新创建的密钥库中建立缺省信任关系的签署者证书。
开始之前
缺省签署者密钥库是在创建概要文件期间创建,且包含服务器缺省根证书的签署者证书。可随时将其他签署者证书添加到缺省签署者密钥库。每次使用管理控制台或在脚本中使用
createKeyStore AdminTask 对象来创建密钥库时,都会将缺省签署者密钥库中的所有签署者证书添加到新创建的密钥库。
另一种方法: - 要使用 wsadmin 工具将签署者证书添加到缺省签署者密钥库,请使用 AdminTask 对象的 addSignerCertificate 命令。
- 要使用 wsadmin 工具创建新的密钥库,请使用 AdminTask 对象的 createKeyStore 命令。
- 要使用 wsadmin 工具从个人证书中抽取签署者,请使用 AdminTask 对象的 extractCertificate。
- 要使用 wsadmin 工具来交换签署者证书,请使用 AdminTask 对象的 KeyStoreCommands 命令组。
有关更多信息,请参阅“AdminTask 对象的 SignerCertificateCommands 命令组”一文和“AdminTask 对象的 KeyStoreCommands 命令组”一文。
过程
- 如果证书位于证书文件中,那么可以使用管理控制台将该证书添加到缺省签署者密钥库。
- 单击安全性 > SSL 证书和密钥管理。
- 在“相关项”下,单击密钥库和证书。
- 在“密钥库用途”下,选择缺省签署者密钥库。会出现一个显示密钥库列表的面板。
- 单击 DmgrDefaultSignersStore。
- 在“其他属性”下,单击签署者证书。
- 单击添加。
- 在“别名”框中输入别名,在“文件名”框中输入证书文件的路径,然后输入星号 (*)。从“数据类型”框的下拉列表中选择证书文件的格式。
- 单击应用,然后单击保存。
注: 您也可以使用 AdminTask addSignerCertificate 来执行此添加操作。
- 如果需要将个人证书的签署者证书表单添加到缺省签署者密钥库,那么可以将签署者从个人证书抽取到证书文件中,也可以将签署者直接抽取到缺省签署者密钥库中。要将签署者证书从个人证书抽取到证书文件中,请执行以下操作:
- 单击安全性 > SSL 证书和密钥管理。
- 在“相关项”下,单击密钥库和证书。
- 在“密钥库用途”下,选择全部。会出现一个显示密钥库列表的面板。
- 单击密钥库名称。
- 在“其他属性”下面,单击个人证书。
- 选择个人证书。
- 单击抽取。
- 在“证书文件名”框中输入证书文件的路径,然后从“数据类型”框的下拉列表中选择格式类型。
- 单击应用,然后单击保存。
- 可执行步骤 1,将签署者添加到缺省签署者密钥库。
注: 您也可以使用脚本及 AdminTask extractCertificate,从个人证书中抽取签署者。
- 要将签署者证书抽取到缺省签署者密钥库,可以从管理控制台执行签署者证书交换。
- 单击安全性 > SSL 证书和密钥管理。
- 在“相关项”下,单击密钥库和证书。
- 在“密钥库用途”下,选择全部。会出现一个显示密钥库列表的面板。
- 单击缺省签署者密钥库,然后单击某个密钥库,该密钥库包含需要其签署者证书的个人证书。
- 单击交换签署者。
- 选择需要其签署者的个人证书。
- 单击添加。
- 单击应用,然后单击保存。
注: 您也可以使用 AdminTask exchangeSigner 来执行此交换。
注: 如果存在 DataPower
证书,可从缺省签署者密钥库中将其移除。如果您未使用 DataPower 设备管理器,那么应从缺省信任库中移除 DataPower 证书以避免意外信任关系。但是,如果稍后开始使用
DataPower 设备管理器,那么必须将 DataPower 证书添加回缺省信任库。
结果
完成这些步骤后,会将来自证书文件的签署者存储到缺省签署者密钥库中。可以在签署者证书的密钥库文件列表中查看签署者。
下一步做什么
新密钥库将包含已添加到缺省签署者密钥库中的缺省签署者。