AdminTask 对象的 SSLMigrationCommands 命令组
可以使用 Jython 或 Jacl 脚本语言来迁移密钥库配置。使用 SSLMigrationCommands 组中命令来将自签名证书转换为链式个人证书以及启用可写密钥环。
convertSelfSignedCertificatesToChained 命令
convertSelfSignedCertificatesToChained 命令将特定自签名证书转换为链式个人证书。
语法
wsadmin>$AdminTask convertSelfSignedCertificatesToChained
[-certificateReplacementOption ALL_CERTIFICATES | DEFAULT_CERTIFICATES | KEYSTORE_CERTIFICATES]
[-keyStoreName keystore_name]
[-keyStoreScope keystore_scope]
[-rootCertificateAlias alias_name]
必需参数
- 指定转换自签名证书替换选项。(字符串,必需)请指定该参数的值作为下列其中一个选项:
此选项会在所指定作用域内所有密钥库中查找所有自签名证书。
可以通过 -keyStoreScope 参数提供该作用域。如果未使用 -keyStoreScope 参数来提供任何作用域,那么会访问所有作用域。
此选项会在所指定作用域内缺省 CellDefaultKeyStore 和 NodeDefaultKeyStore 密钥库中查找自签名证书。
可以通过 -keyStoreScope 参数提供该作用域。如果未使用 -keyStoreScope 参数来提供任何作用域,那么会访问所有作用域。
此选项仅替换密钥库中由 -keyStoreName 参数指定的那些自签名证书。
如果未使用 -keyStoreScope 参数来提供任何作用域,那么会使用缺省作用域。
可选参数
- keyStoreName
- 指定用于在其中查找要转换的自签名证书的密钥库的名称。请将此参数与 certificateReplacementOption 参数的 KEYSTORE_CERTIFICATES 选项配合使用。(字符串,可选)
- keyStoreScope
- 指定用于在其中查找要转换的自签名证书的作用域的名称。(字符串,可选)
- rootCertificateAlias
- 指定要从用于对链式证书进行签名的缺省根库中使用的根证书。缺省值为 root。(字符串,可选)
示例
批处理方式示例用法:
- 使用 Jacl:
$AdminTask convertSelfSignedCertificatesToChained {-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS}
- 使用 Jython 字符串:
AdminTask.convertSelfSignedCertificatesToChained('[-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS]')
- 使用 Jython 列表:
AdminTask.convertSelfSignedCertificatesToChained(['-certificateReplacementOption', 'ALL_CERTIFICATES', '-keyStoreName', 'testKS'])
避免故障: 要确保迁移成功,请转至 security.xml 文件,并在该文件中将 dynamicallyUpdateSSLConfig 的缺省值更改为 false。有关更多信息,请参阅信息中心中的“SSL 中的动态配置更新”主题。gotcha
交互方式示例用法:
- 使用 Jacl:
$AdminTask exchangeSigners {-interactive}
- 使用 Jython:
AdminTask.exchangeSigners('-interactive')
enableWritableKeyrings 命令
enableWritableKeyrings 命令修改密钥库和启用可写 SAF 支持。在迁移期间,系统会使用此命令。该命令会为 SSL 密钥库的控制区域和服务方区域密钥环创建其他可写密钥库对象。
必需参数
- -keyStoreName
- 指定唯一地标识要删除的密钥库的名称。(字符串,必需)
可选参数
- -controlRegionUser
- 指定要用于启用可写密钥环的控制区域用户。(字符串,可选)
- -servantRegionUser
- 指定要启用可写密钥环的服务方区域用户。(字符串,可选)
- -scopeName
- 指定唯一地标识管理作用域的名称,例如:(cell):localhostNode01Cell。(字符串,可选)
示例
批处理方式示例用法:
- 使用 Jython 字符串:
AdminTask.enableWritableKeyrings('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
- 使用 Jython 列表:
AdminTask.enableWritableKeyrings(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])
交互方式示例用法:
- 使用 Jython:
AdminTask.enableWritablekeyrings('-interactive')
convertSSLConfig 命令
convertSSLConfig 命令将现有 SSL 配置迁移至 SSL 配置的新配置对象格式。
必需参数
- -sslConversionOption
- 指定系统转换 SSL 配置的方式。指定 CONVERT_SSLCONFIGS 值以将 SSL 配置对象从先前的 SSL 配置对象转换为新的 SSL 配置对象。指定 CONVERT_TO_DEFAULT 值以将 SSL 配置转换为集中式 SSL 配置,这还会从服务器中除去 SSL 配置直接引用。
可选参数
无。示例
批处理方式示例用法:
- 使用 Jython 字符串:
AdminTask.convertSSLConfig('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
- 使用 Jython 列表:
AdminTask.convertSSLConfig(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])
交互方式示例用法:
- 使用 Jython:
AdminTask.convertSSLConfig('-interactive')
convertSSLCertificates 命令
convertSSLCertificates 命令将 SSL 个人证书转换为使用所需要的签名算法创建的个人证书,或者列示不是使用所需要的签名算法创建的 SSL 个人证书。
必需参数
None可选参数
- -convertSSLCertAction
- 指定 LIST 以列示不是使用在 -signatureAlgorithm 参数中所指定的签名算法创建的证书,或者指定 REPLACE 以将不是使用在 -signatureAlgorithm 中所提供的签名算法创建的 SSL 证书替换为使用在 -signatureAlgorithm 参数中所指定的签名算法创建的 SSL 证书。缺省值为 LIST。
- -signatureAlgorithm
- 指定签名算法,用来检查和报告哪些个人证书不是使用该签名算法创建的;或者指定签名算法,用来创建新的个人证书以替换不是使用该签名算法创建的个人证书。有效的签名算法包括 SHA1withRSA、SHA256withRSA、SHA384withRSA、SHA512withRSA、SHA1withECDSA、SHA256withECDSA、SHA384withECDSA 和 SHA512withECDSA。缺省值为 SHA256withRSA。
示例
批处理方式示例用法:
- 使用 Jython 字符串:
AdminTask.convertSSLCertificates('[- convertSSLCertAction list -signatureAlgorithm SHA256withRSA')
- 使用 Jython 列表:
AdminTask.convertSSLCertificates(['-convertSSLCertAction', 'list', '-signatureAlgorithm', 'SHA256withRSA'])
交互方式示例用法:
- 使用 Jython:
AdminTask.convertSSLCertificates('-interactive')