更改客户机上的签署者自动交换提示

对于要与 WebSphere® Application Server 通信的客户机,客户机必须从服务器获取签署者证书。客户机可以使用 retrieveSigners 命令连接到服务器以获取适当的签署者。显示一个提示,询问您是否要将签署者添加到信任库。如果安全套接字层 (SSL) 配置使用可能挂起的自动脚本,请使用该提示来获取证书。

开始之前

profile_home/properties/ssl.client.props 文件中的 com.ibm.ssl.enableSignerExchangePrompt 属性控制签署者证书提示。缺省情况下,此属性设置为 true,意味着已启用此提示。

关于此任务

完成以下步骤以禁用或启用客户机上的签署者交换提示:

过程

  1. 使用编辑器打开 profile_home/properties/ssl.client.props 文件。
  2. 找到包含您要处理的客户机 SSL 配置信息的节。
  3. 如果您不想要签署者交换提示,请将 com.ibm.ssl.enableSignerExchangePrompt 属性的值更改为 false,如果您想要获得提示,请它设置为 true
  4. 保存并关闭文件。

结果

如果 com.ibm.ssl.enableSignerExchangePrompt 属性设置为 false,那么当签署者不受信任时,将不显示任何提示。在这种情况下,SSL 握手将失败。一旦将所建立的连接的正确签署者手动安装在信任库中后,SSL 握手就可以成功。

如果 com.ibm.ssl.enableSignerExchangePrompt 属性设置为 guitrue,那么会显示签署者交换窗口,并询问您接受还是拒绝该证书。如果接受该证书,那么它将自动安装在信任库中并且握手将成功。如果拒绝该证书,那么它不会安装在信任库中并且握手将由于证书不受信任而失败。

如果 com.ibm.ssl.enableSignerExchangePrompt 属性设置为 stdin,那么会显示签署者交换 ASCII 提示,并询问您接受还是拒绝该证书。如果接受该证书,那么它将自动安装在信任库中并且握手将成功。如果拒绝该证书,那么它不会安装在信任库中并且握手将由于证书不受信任而失败。

提示看上去与以下示例类似:

示例

[AIX Solaris HP-UX Linux Windows][z/OS]
C:\WebSphere\AppServer\profiles\dmgr\bin>serverStatus -all
ADMU0116I: Tool information is being logged in file
           C:\WebSphere\AppServer\profiles\Dmgr\logs\serverStatus.log
ADMU0128I: Starting tool with the dmgr profile
ADMU0503I: Retrieving server status for all servers
ADMU0505I: Servers found in configuration:
ADMU0506I: Server name: dmgr

*** SSL SIGNER EXCHANGE PROMPT ***
SSL signer from target host 192.174.1.5 is not found in truststore 
C:/WebSphere/AppServer/profiles/Dmgr/etc/trust.p12.
[IBM i]
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/default/bin/serverStatus -all
ADMU0116I: Tool information is being logged in file
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/default/logs/serverStatus.log
ADMU0128I: Starting tool with the default profile
ADMU0503I: Retrieving server status for all servers
ADMU0505I: Servers found in configuration:
ADMU0506I: Server name: server1

*** SSL SIGNER EXCHANGE PROMPT ***
SSL signer from target host 192.174.1.5 is not found in truststore 
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/default/etc/trust.p12.

在以下签署者信息中验证摘要值是否与服务器上显示的相应值匹配:

Subject DN:    CN=hostname.austin.ibm.com, O=IBM, C=US
Issuer DN:     CN=hostname.austin.ibm.com, O=IBM, C=US
Serial number: 1128544457
Expires:       Thu Oct 20 15:34:17 CDT 2006
SHA-1 Digest:  91:A1:A9:2D:F2:7D:70:0F:04:06:73:A3:B4:A4:9C:56:9D:A8:A3:BA
MD5 Digest:    88:72:C5:88:00:1C:A7:FA:D6:EB:04:88:AC:A1:C9:13

Add signer to the truststore now? (y/n) y
A retry of the request might need to occur.
ADMU0508I: The Application Server "server1" is STARTED.

下一步做什么

通过使用从 WebSphere Application Server 获取的签署者证书,客户机可以为各种进程发起通信。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslsignautoxchgclient
文件名:tsec_sslsignautoxchgclient.html