要替换整个单元中的缺省安全套接字层 (SSL) 证书,必须在根密钥库
DmgrDefaultRootStore 中创建新的自签名根证书,并将旧根证书替换为新根证书。
关于此任务
对于 CellDefaultKeyStore
中的单元的缺省证书和 NodeDefaultKeyStore 中的每个节点的缺省证书,请创建新的链式证书并将旧缺省证书替换为新证书。
根证书是缺省情况下在
WebSphere® Application
Server 上创建的,并且具有 subjectDN,其格式为 cn=<hostname>, ou=Root
Certificate, ou=<cell name>, ou=<node name>, o=ibm, c=us。创建新根证书时,还可定制主题 DN。
要在管理控制台中创建新的 SSL 根证书,请执行以下操作:
过程
创建新的 SSL 根证书。
- 单击安全性 > SSL 证书和密钥管理 > 密钥库和证书。
- 在“密钥库用法”下拉菜单中,选择根证书密钥库。
- 单击“密钥库用法”列表中的 DmgrDefaultRootStore。
- 在“其他属性”下,选择个人证书。
- 在“创建”下拉菜单中,选择自签名证书。
- 输入证书和别名。 它可以是您选择的任何名称,只要该别名尚不存在。它只是用于在密钥库中标识该证书的标签。
- 在“公共名称”字段中,输入安装了 WebSphere Application Server 的计算机的标准域名。 它通常是正在运行该节点的主机名。
- 可选: 填写所有其他与主题 DN 相关的字段。 如果希望主题 DN 看起来像 WebSphere Application
Server 上的缺省 subjectDN,请输入:
- IBM(在“组织”字段中)。
- <cell name>,ou=<node name>(在“组织单元”字段中)。
- 在“国家或地区”下拉菜单中,选择美国。
- 可对用于签署证书的根证书、密钥大小和有效期使用缺省值或提供您自己的值。
- 单击应用>保存。
注: 还可使用
createSelfSignedCertificate 命令创建自签名证书。有关更多信息,请参阅“AdminTask 对象的 PersonalCertificateCommands 命令组”。
将旧根证书替换为您刚创建的根证书。
现在必须将旧根证书替换为您刚创建的证书。替换证书选项不仅会将旧的缺省证书替换为新证书,还会将旧证书的签署者的所有实例替换为新证书的签署者。系统还会检查配置以查找旧证书别名的引用并将其替换为新证书的别名。要将旧证书替换为新证书,请完成余下步骤。
- 在个人证书页面中,选中较旧根证书的复选框。
- 单击替换。
- 从“替换为”列表中,选择所创建的证书的别名。
- 选择在替换后删除旧证书。
要点: 请确保未选中删除旧签署者复选框。
- 单击应用 > 保存
在缺省单元密钥库 CellDefaultKeystore 中创建链式个人证书。
- 在密钥库和证书页面中,选择要更改的节点的
CellDefaultKeyStore。
- 在“其他属性”下,选择个人证书。
- 选择节点的缺省证书,通常名为 default。
- 单击创建 > 链式证书。
- 在“别名”字段中,输入新的个人证书别名。
- 在用于签署证书的根证书下拉列表中,选择别名 root。
- 在“公共名称”字段中,输入安装了 WebSphere Application Server 的计算机的标准域名。
- 单击应用>保存。
在缺省单元密钥库 CellDefaulltKeystore 中替换个人证书。
- 在个人证书页面中,选中“缺省值”复选框。
- 单击替换。
- 从替换为下拉菜单中选择您刚创建的新证书的证书别名。
- 选择在替换后删除旧证书。
要点: 请确保未选中删除旧签署者复选框。
- 单击应用 > 保存
下一步做什么
还可替换节点中的缺省证书。有关更多信息,请阅读“创建新 SSL 证书以替换节点中的现有证书”主题。