通过在客户机中使用 retrieveSigners 实用程序来检索签署者

客户机需要服务器中的签署者证书才能够与 WebSphere® Application Server 通信。使用 retrieveSigners 命令从服务器获取签署者证书。

开始之前

retrieveSigners 实用程序位于以下某个目录中,这取决于操作系统: 在此发行版中,对标准输入控制台提示没有访问权的 Java™ 客户机在需要使用签署者进行安全套接字层 (SSL) 握手时,应使用 retrieveSigners 实用程序从远程服务器密钥库下载这些签署者。例如,如果 Applet 客户机或 Java Web Start 客户机应用程序无法访问标准输入签署者交换提示,您可以将客户机解释为未能响应。因此,必须对客户机应用程序添加 WebSphere Java 方法调用 com.ibm.wsspi.ssl.RetrieveSignersHelper.callRetrieveSigners,以检索签署者并避免手动运行 retrieveSigners 实用程序。

如果在应用程序发出请求时,您不能验证 com.ibm.ssl.enableSignerExchangePrompt= 属性是启用还是禁用,那么对此类情况使用 retrieveSigners 实用程序。如果您看不到控制台,那么将 ssl.client.props 文件中的 com.ibm.ssl.enableSignerExchangePrompt= 属性设置为 false

或者,可以在客户机信任库中手动创建服务器密钥。

关于此任务

按需要完成以下步骤:

过程

  1. 使用 retrieveSigners 命令从服务器获取签署者证书。 可以在在 SSL 中进行安全安装以检索客户机签署者中找到有关 retrieveSigners 参数的详细信息。
  2. 如果客户机和服务器在同一机器上,那么您仅需要 remoteKeyStoreNamelocalKeyStoreName 参数。 在网络已经过部署的环境中,远程系统上要引用的最典型密钥库是 CellDefaultTrustStore,而应用程序服务器上要引用的最典型密钥库是 NodeDefaultTrustStore
  3. 从远程服务器检索签署者时,请添加以下与连接相关的必需参数:–host host–port portconntype {RMI | SOAP}。
  4. 如果您要启用签署者自动检索,请使用 –autoAcceptBootstrapSigner 参数。 此参数自动将建立连接所需要的所有签署者添加到服务器。

结果

在运行该命令后,会显示所添加的签署者的 SHI-1 摘要。该输出类似于以下输出:
[AIX Solaris HP-UX Linux Windows][z/OS]
C:\WebSphere\AppServer\profiles\AppSrv01\bin\retrieveSigners.bat 
CellDefaultTrustStore ClientDefaultTrustStore 

CWPKI0308I: Adding signer alias "default_signer" to local keystore
           "ClientDefaultTrustStore" with the following SHA digest:
[IBM i]

/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/AppSrv01/bin/retrieveSigners
CellDefaultTrustStore ClientDefaultTrustStore 

CWPKI0308I: Adding signer alias "default_signer" to local keystore
           "ClientDefaultTrustStore" with the following SHA digest:

示例

以下示例说明如何调用 retrieveSigners.bat 文件。

[AIX Solaris HP-UX Linux Windows][z/OS]要检索同一系统上的签署者,请输入:
profile_root\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore
[IBM i]要检索同一系统上的签署者,请输入:
profile_root/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore
[AIX Solaris HP-UX Linux Windows][z/OS]要使用 SOAP 连接检索远程系统上的签署者,请输入:
profile_root\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -autoAcceptBootstrapSigner
[IBM i]要使用 SOAP 连接检索远程系统上的签署者,请输入:
profile_root/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -autoAcceptBootstrapSigner
[AIX Solaris HP-UX Linux Windows][z/OS]要使用 RMI 连接检索远程系统上的签署者,请输入:
profile_root\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 2809 -conntype RMI -autoAcceptBootstrapSigner
[IBM i]要检索启用了安全性的远程系统上的签署者,请输入:
profile_root/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -user testuser -password testuserpwd 
-autoAcceptBootstrapSigner
[AIX Solaris HP-UX Linux Windows][z/OS]要检索启用了安全性的远程系统上的签署者,请输入:
profile_root\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -user testuser -password testuserpwd 
-autoAcceptBootstrapSigner

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslretrievesignclient
文件名:tsec_sslretrievesignclient.html