使用 wsadmin 工具将认证中心证书设为缺省证书

使用本主题对外部认证中心 (CA) 发出请求,以创建个人证书。在该证书由 CA 返回,且保存在密钥库中后,您接着可以将该证书用作服务器缺省个人证书。

开始之前

您必须在环境中配置 CA 客户机对象。该客户机对象包含连接到第三方 CA 服务器所必需的所有配置信息。

关于此任务

在创建概要文件后,会对系统指定缺省链接个人证书。执行以下步骤来修改应用程序服务器,以使用外部 CA 所创建的缺省个人证书。

过程

  1. 通过使用 Jython 脚本语言,启动 wsadmin 脚本编制工具。有关更多信息,请参阅“启动 wsadmin 脚本编制客户机”一文。
  2. 验证配置中是否存在认证中心客户机。 使用 listCAClients 命令在环境中查询所有现有认证中心客户机和配置属性,或使用 getCAClient 命令来返回特定认证中心客户机的配置属性。如果 listCAClients 或 getCAClient 命令未返回任何属性,那么您必须创建认证中心客户机对象,然后才能完成其余步骤。
    • 列出配置中的所有认证中心客户机对象。
      使用 listCAClients 命令来列出配置中的所有认证中心客户机。如果未提供 -scopeName 参数的值,那么此命令会查询单元(如果您使用 Deployment Manager 概要文件)或查询节点(如果您使用应用程序服务器概要文件)。要查询环境,请使用 -all 参数(而不是使用特定作用域),如以下示例所示:
      print AdminTask.listCAClients('-all true')
      此命令会返回属性列表的数组,其中针对每个 CA 客户机显示一个属性列表,如以下示例输出所示:
      '[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1)
      ] [scopeName (cell):myCell01] [name jenCAClient] [baseDn ] [_Websphere_Config_Da
      ta_Id cells/myCell01|security.xml#CAClient_1181834566881] [port 2950] [CACertifi
      cate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Webspher
      e_Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pa
      ssword ] [host ] ]'
      '[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1)
      ] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphere_Config_Dat
      a_Id cells/myCell01|security.xml#CAClient_1181834566882] [port 2951] [CACertific
      ate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Websphere
      _Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pas
      sword ] [host ] ]'
    • 列出特定认证中心客户机的配置属性。
      使用 getCAClient 命令来查看特定认证中心客户机的属性列表,如以下示例所示:
      print AdminTask.getCAClient('-caClientName myCAClient')
      此命令会返回属性列表(包含特定认证中心客户机的“属性和值”对),如以下示例所示:
      '[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementSc
      ope_1)] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphe
      re_Config_Data_Id cells/myCell01|security.xml#CAClient_1181834566882] [por
      t 2951] [CACertificate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [u
      serId ] [_Websphere_Config_Data_Type CAClient] [retryCheck 0] [properties ] [fre
      quencyCheck 0] [password ] [host ] ]'
  3. 可选: 如果环境中不存在认证中心客户机,那么配置 CA 客户机对象。
  4. 可选: 查看当前缺省个人证书。
    使用以下 listPersonalCertificates 命令来显示要替换的当前缺省个人证书:
    AdminTask.listPersonalCertificates('[-keyStoreName CellDefaultKeyStore -keyStoreScope (cell):myCell01]')
  5. 从认证中心请求证书。
    必须从认证中心请求证书,然后才能替换当前缺省个人证书。您可以使用 createCertificateRequest 命令来创建新的证书请求,也可以使用预定义的证书请求。系统使用证书请求及认证中心配置信息(来自 CA 客户机对象),从认证中心请求证书。如果认证中心返回证书,那么 requestCAcertificate 命令会将该证书存储在指定的密钥库中,并返回消息 COMPLETE
    表 1. 必需参数. 使用 requestCACertificate 命令和以下必需参数,从认证中心请求证书:
    参数 描述 数据类型
    -certificateAlias 指定证书的别名。您可以指定预定义的证书请求。 String
    -keyStoreName 指定存储 CA 证书的密钥库对象的名称。使用 listKeyStores 命令来显示可用密钥库的列表。 String
    -caClientName 指定已用于创建 CA 证书的 CA 客户机的名称。 String
    -revocationPassword 指定以后用于撤销证书的密码。 String
    表 2. 可选参数. 您也可以使用以下参数来指定其他证书请求选项。如果未指定可选参数,那么此命令会使用缺省值。
    参数 描述 数据类型
    -keyStoreScope 指定密钥库的管理作用域。对于 Deployment Manager 概要文件,缺省值为单元作用域。对于应用程序服务器概要文件,缺省值为节点作用域。 String
    -caClientScope 指定 CA 客户机的管理作用域。对于 Deployment Manager 概要文件,缺省值为单元作用域。对于应用程序服务器概要文件,缺省值为节点作用域。 String
    -certificateCommonName 指定证书的完整专有名称 (DN) 的公共名 (CN) 部分。这个公共名可以表示个人、公司或机器。对于 Web 站点,公共名通常是服务器所在 DNS 主机的名称。 String
    -certificateSize 指定证书密钥的大小。有效值为 5121024204840968192。缺省值为 2048 String
    -certificateOrganization 指定专有名称的组织部分。 String
    -certificateOrganizationalUnit 指定专有名称的组织单位部分。 String
    -certificateLocality 指定专有名称的位置部分。 String
    -certificateState 指定专有名称的省/自治区/直辖市部分。 String
    -certificateZip 指定专有名称的邮政编码部分。 String
    -certificateCountry 指定专有名称的国家/地区部分。 String
    使用以下示例命令语法,从认证中心请求证书:
    AdminTask.requestCACertificate('-certificateAlias newCertificate -keyStoreName
    CellDefaultKeyStore -caClientName myCAClient -revocationPassword revokeCApw 
    -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
    该命令返回以下两个值的其中一个:证书完成证书暂挂。如果该命令返回消息证书完成,那么认证中心已返回所请求证书并且替换了缺省个人证书。如果该命令返回消息证书暂挂,那么认证中心尚未返回证书。使用 queryCACertificate 命令来查看证书请求的当前状态,如以下示例所示:
    AdminTask.queryCACertificate('-certificateAlias newCertificate -keyStoreName
    CellDefaultKeyStore -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
  6. 替换服务器缺省个人证书。
    使用以下 replaceCertificate 命令示例,将现有缺省个人证书替换为新创建的 CA 个人证书:
    AdminTask.replaceCertificate('-keyStoreName CellDefaultKeyStore -certificateAlias
    defaultPersonalCertificate -replacementCertificateAlias newCertificate')
  7. 保存配置更改。
    请使用以下命令示例来保存配置更改:
    AdminConfig.save()

结果

服务器缺省个人证书是由外部 CA 所创建。

下一步做什么

如果已成功创建 CA 客户机对象,那么您可以配置应用程序服务器以使用外部 CA 所创建的个人证书。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7percert
文件名:txml_7percert.html