retrieveSigners 命令
retrieveSigners 命令在 ssl.client.props 文件中创建新的客户机自签名证书、密钥库和 SSL 配置。通过使用此命令,您可以有选择地将签署者抽取到文件。
有关在何处运行此命令的更多信息,请参阅使用命令工具。
语法
使用以下命令语法来在 ssl.client.props 文件中创建新的客户机自签名证书、密钥库和
SSL 配置。
retrieveSigners <CellDefaultTrustStore> <ClientDefaultTrustStore> [options]
<remoteKeyStoreName> 和 <localKeyStoreName> 参数是必需参数。下列可选参数可用:[-remoteAlias aliasFromRemoteStore]
[-localAlias storeAsAlias]
[-listRemoteKeyStoreNames][-listLocalKeyStoreNames]
[-autoAcceptBootstrapSigner][-uploadSigners] [-host host]
[-port port][-conntype JSR160RMI|RMI|SOAP|IPC][-user user]
[-password password]
[-trace] [-logfile filename]
[-replacelog] [-quiet] [-help]
参数
以下参数可用于 retrieveSigners 命令:
- remoteKeyStoreName
- 位于服务器配置中的信任库的名称,将从该信任库中检索签署者。此位置参数通常是 CellDefaultTrustStore 文件(对于受管环境)或 NodeDefaultTrustStore 文件(对于非受管环境)。
- localKeyStoreName
- 位于概要文件的 ssl.client.props 文件中的信任库名称,检索的签署者将添加至该信任库中。对于受管环境或非受管环境,此位置参数通常都是 ClientDefaultTrustStore 文件。
- -remoteAlias <aliasFromRemoteStore>
- 指定要检索的远程信任库中的一个别名。否则,会检索远程信任库中的所有签署者。
- -localAlias <storeAsAlias>
- 确定存储在本地信任库中的别名的名称。仅当您指定 remoteAlias 选项时,此选项才有效。如果未指定 -localAlias 选项,那么可能的话,会使用远程信任库中的别名。如果发生别名冲突,那么会使用该别名并且有一个递增的号码追加至它的末尾,直到找到唯一的别名为止。
- -listRemoteKeyStoreNames
- 将远程请求发送到服务器以列示可以对 remoteKeyStoreName 参数指定的所有密钥库。当不确定要从中下载签署者的远程信任库的名称时,请使用此命令。
- -listLocalKeyStoreNames
- 列示位于 ssl.client.props 文件中您可以为 localKeyStoreName 参数指定的密钥库。此信任库会接收到来自服务器的签署者。当不确定要将签署者检索到其中的本地信任库的名称时,请使用此参数。信任库的缺省名称是 ClientDefaultTrustStore 并位于 ssl.client.props 文件中。
- -autoAcceptBootstrapSigner
- 自动添加签署者,以建立与服务器的安全连接。该选项的目的是支持命令自动执行,以便您不必接受签署者。在将签署者添加到本地信任库之后,会打印 SHA 散列,以便您可验证证书。
- -uploadSigners
- 将签署者下载转换为签署者上载。localKeyStoreName 参数中的签署者会改为发送到 remoteKeyStoreName 参数。
- -host <host>
- 指定从中检索签署者的目标主机。
- -port <port>
- 指定要连接的目标管理端口。您必须根据 -conntype 参数指定端口。如果 conntype 是 SOAP,那么缺省端口是 8879。对于不同服务器,此值可以不同。如果 conntype 是 RMI,那么缺省端口是 2809。
- -conntype <JSR160RMI|IPC|RMI|Soap>
- 确定用于 MBean 调用以检索签署者的管理连接器类型。
不推荐使用的功能部件: 最后,从 RMI 连接器切换至 JSR160RMI 连接器,因为不推荐使用对 RMI 连接器的支持。depfeat
- -user <user>
- 使用 -uploadSigners 标志时,您必须指定此选项以提供针对 MBean 操作进行认证的用户名。如果在使用 -uploadSigners 标志时未指定此参数,那么缺省情况下,系统会提示您输入凭证。
- -password <password>
- 使用 -uploadSigners 标志时,您必须指定此选项以提供针对 MBean 操作进行认证的密码。应将该密码与 user 参数一起指定。
- -trace
- 当指定了此参数时,它会启用对调试此组件所必需的跟踪规范的跟踪。缺省情况下,跟踪结果位于 profiles/profile_name/log/retrieveSigners.log 文件中。
- -logfile <filename>
- 覆盖缺省跟踪文件。缺省情况下,跟踪结果将出现在 profiles/profile_name/log/retrieveSigners.log 文件中。
- -replacelog
- 当命令运行时导致替换现有的跟踪文件。
- -quiet
- 禁止在控制台上打印大多数消息。
- -help
- 显示用法说明。
- -?
- 显示用法说明。
使用方案
以下示例说明使用 retrieveSigners 命令时的正确语法:
以下示例列示远程密钥库和本地密钥库:
retrieveSigners.bat -listRemoteKeyStoreNames -listLocalKeyStoreNames -conntype RMI -port 2809 [Windows systems] retrieveSigners.sh -listRemoteKeyStoreNames -listLocalKeyStoreNames -conntype RMI -port 2809 [Unix systems]
以下示例列示远程密钥库和本地密钥库:
retrieveSigners.bat -listRemoteKeyStoreNames -listLocalKeyStoreNames -conntype RMI -port 2809 [Windows] retrieveSigners.sh -listRemoteKeyStoreNames -listLocalKeyStoreNames -conntype RMI -port 2809 [Unix]
以下示例列示远程密钥库和本地密钥库:
retrieveSigners -listRemoteKeyStoreNames -listLocalKeyStoreNames -conntype RMI -port 2809
示例输出CWPKI0306I: The following remote keystores exist on the specified server: CMSKeyStore, NodeLTPAKeys, NodeDefaultTrustStore, NodeDefaultKeyStore CWPKI0307I: The following local keystores exist on the client: ClientDefaultKeyStore, ClientDefaultTrustStore
以下示例检索 NodeDefaultTrustStore 中的所有签署者:
retrieveSigners.bat NodeDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner -conntype RMI -port 2809 [Windows] retrieveSigners.sh NodeDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner -conntype RMI -port 2809 [Unix]
以下示例检索 NodeDefaultTrustStore 中的所有签署者:
retrieveSigners.bat NodeDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner -conntype RMI -port 2809 [Windows] retrieveSigners.sh NodeDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner -conntype RMI -port 2809 [Unix]
以下示例检索 NodeDefaultTrustStore 中的所有签署者:
retrieveSigners NodeDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner -conntype RMI -port 2809
示例输出CWPKI0308I: Adding signer alias "CN=BIRKT40.austin.ibm.com, O=IBM, C=US" to local keystore "ClientDefaultTrustStore" with the following SHA digest: 40:20:CF:BE:B4:B2:9C:F0:96:4D:EE:E5:14:92:9E:37:8D:51:A5:47