创建新 SSL 证书以替换节点中的现有证书

如果在 addNode 命令上使用 -asExistingNode 选项,那么您可将现有节点添加至另一台机器。节点的缺省安全套接字层 (SSL) 证书不会包含节点所在的机器的名称。在大多数方案中,缺省证书的主题 DN 是相同的。但是,您可更改节点的缺省证书以包含节点的主机名。

开始之前

要替换节点的缺省证书,必须为该证书创建新的 NodeDefaultKeyStore 并将旧证书替换为新证书。

缺省情况下,针对 WebSphere® Application Server subjectDN 创建的证书的格式为 cn=<hostname>, ou=<cell name>, ou=<node name>, o=ibm, c=us。创建新证书时,还可定制 subjectDN。

关于此任务

要在管理控制台中创建新 SSL 证书,请执行以下操作:

过程

  1. 单击安全性 > SSL 证书和密钥管理 > 密钥库和证书
  2. 选择要更改的节点的 NodeDefaultKeyStore。
  3. 在“其他属性”下,选择个人证书
  4. 在“创建”下拉菜单中,选择链式证书
  5. 输入证书和别名。 它可以是您选择的任何名称,只要该别名尚不存在。它只是用于在密钥库中标识该证书的标签。
  6. 输入公共名称。 它通常是正在运行该节点的主机名。
  7. 可选: 填写所有其他与主题 DN 相关的字段。 如果希望主题 DN 看起来像 WebSphere Application Server 上的缺省 subjectDN,请输入:
    • IBM(在“组织”字段中)。
    • <cell name>,ou=<node name>(在“组织单元”字段中)。
    • 在“国家或地区”下拉菜单中,选择美国
  8. 可对用于签署证书的根证书、密钥大小和有效期使用缺省值或提供您自己的值。
  9. 单击应用
    注: 还可使用 createChainedCertificate 命令创建新的链式证书。有关更多信息,请参阅“AdminTask 对象的 PersonalCertificateCommands 命令组”。

    现在必须将旧证书替换为您刚创建的证书。替换证书选项不仅会将旧的缺省证书替换为新证书,还会将旧证书的签署者的所有实例替换为新证书的签署者。系统还会检查配置以查找旧证书别名的引用并将其替换为新证书的别名。要将旧证书替换为新证书,请完成余下步骤。

  10. 单击安全性 > SSL 证书和密钥管理 > 密钥库和证书
  11. 选择要更改的节点的 NodeDefaultKeyStore。
  12. 在“其他属性”下,选择个人证书
  13. 选择节点的缺省证书,通常名为 default
  14. 单击替换
  15. 替换为下拉菜单中选择您刚创建的证书的证书别名。
  16. 单击替换后删除旧证书
  17. 单击应用
    注: 还可使用 replaceCertificate 命令创建新的链式证书。有关更多信息,请参阅“AdminTask 对象的 PersonalCertificateCommands 命令组”。

下一步做什么

还可替换整个单元中的缺省证书。有关更多信息,请参阅“创建新 SSL 证书以替换单元中的现有证书”。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslreplacenode
文件名:tsec_sslreplacenode.html