外部认证中心 (CA) 证书可用作服务器的缺省个人证书。可使用 CA 客户机来创建 CA 证书。
开始之前
在执行本任务前需要准备如下所示的各项:
- 要向其发出证书请求的认证中心 (CA)。
- 用来实现 com.ibm.wsspi.ssl.WSPKIClient 接口的模块。需要使用此模块来连接到 CA 服务器并请求证书。
请使用管理控制台来查看或修改 CA 客户机。
过程
- 单击安全性 > SSL 证书和密钥管理。
- 在“相关项”下,单击认证中心 (CA) 客户机配置。这将显示一个面板,该面板列示了现有的 CA 客户机。
- 单击新建按钮。
- 根据需要输入 CA 客户机信息。
- CA 客户机的名称。
- 管理范围(从下拉列表中进行选择)。
- 实现类。
- CA 服务器主机名。
- 用户名。
- 密码。
- 确认密码。
- 轮询次数。
- 请求证书时的轮询时间间隔(以分钟计)。
- 定制属性。
- 单击应用,然后单击保存。
- 浏览到服务器的缺省密钥库个人证书。 安全性 > SSL 配置和证书管理 > 密钥库和证书 > <server_default_keystore>。在“其他属性”下,单击个人证书。
- 单击创建按钮,然后选择 CA 签署的证书。
- 在“CA 证书”部分中填写以下信息:
- 单击应用,然后单击保存。
- 浏览到服务器的缺省密钥库个人证书。 安全性 > SSL 配置和证书管理 > 密钥库和证书 > <server_default_keystore>。在“其他属性”下,单击个人证书。
- 选择服务器的缺省个人证书并单击替换按钮。
- 从别名列表中选择 CA 证书别名。
- 单击应用,然后单击保存。
结果
CA 证书别名会在配置中引用缺省证书的位置替换该缺省证书的别名。缺省证书的所有签署者证书会替换为 CA 证书的签署者证书。