使用 wsadmin 工具来创建认证中心 (CA) 个人证书
使用本主题,从认证中心 (CA) 创建 CA 证书。
开始之前
关于此任务
过程
- 可选: 在配置中查询密钥库以确定系统在其中存储新 CA 证书的密钥库。 使用 listKeyStores 命令来列出特定管理范围的所有密钥库。指定 -scopeName 参数以显示特定管理范围中的密钥库,或将 -all 参数设为 true 以显示所有密钥库而不考虑范围。以下示例会列出配置中的所有密钥库:
此命令会返回以下样本输出:AdminTask.listKeystores('-all true')
CellDefaultKeyStore(cells/myCell|security.xml#KeyStore_1) CellDefaultTrustStore(cells/myCell|security.xml#KeyStore_2) CellLTPAKeys(cells/myCell|security.xml#KeyStore_3) NodeDefaultKeyStore(cells/myCell|security.xml#KeyStore_1598745926544) NodeDefaultTrustStore(cells/myCell|security.xml#KeyStore_1476529854789)
使用 getKeyStoreInfo 命令并指定 -keyStoreName 参数,以返回关于相关密钥库的其他信息,如以下示例所示:
此命令会返回相关密钥库的以下配置信息:AdminTask.getKeyStoreInfo('[-keyStoreName CellDefaultKeyStore]')
[ [location ${CONFIG_ROOT}/cells/myCell/key.p12] [password *****] [_Webspher e_Config_Data_Id cells/myCell|security.xml#KeyStore_1] [_Websphere_Config_Da ta_Version ] [useForAcceleration false] [slot 0] [type PKCS12] [additionalKeySto reAttrs ] [fileBased true] [_Websphere_Config_Data_Type KeyStore] [customProvide rClass ] [hostList ] [createStashFileForCMS false] [description [Default key sto re for JenbCell01]] [readOnly false] [initializeAtStartup false] [managementScop e (cells/JenbCell01|security.xml#ManagementScope_1)] [usage SSLKeys] [provider I BMJCE] [name CellDefaultKeyStore] ]
- 可选: 确定要使用的 CA 客户机。 使用 listCAClients 命令来列出存在于配置中的 CA 客户机。指定 -scopeName 参数以显示特定管理范围中的 CA 客户机,或将 -all 参数设为 true 以显示所有 CA 客户机而不考虑范围。以下示例会列出配置中的所有 CA 客户机:
AdminTask.listCAClients('-all true')
- 创建 CA 个人证书。 使用 requestCACertificate 命令,在环境中创建新的 CA 个人证书。系统使用证书请求及认证中心配置信息(来自 CA 客户机对象),从认证中心请求证书。如果认证中心返回证书,那么 requestCAcertificate 命令会将该证书存储在指定的密钥库中,并返回消息 COMPLETE。
表 1. 必需参数. 使用 requestCACertificate 命令和以下必需参数,从认证中心请求证书: 参数 描述 数据类型 -certificateAlias 指定证书的别名。您可以指定预定义的证书请求。 String -keyStoreName 指定存储 CA 证书的密钥库对象的名称。使用 listKeyStores 命令来显示可用密钥库的列表。 String -caClientName 指定已用于创建 CA 证书的 CA 客户机的名称。 String -revocationPassword 指定以后用于撤销证书的密码。 String 表 2. 其他参数. 您也可以使用以下参数来指定其他证书请求选项。如果未指定可选参数,那么此命令会使用缺省值。 参数 描述 数据类型 -keyStoreScope 指定密钥库的管理范围。对于 Deployment Manager 概要文件,缺省值为单元范围。对于应用程序服务器概要文件,缺省值为节点范围。 String -caClientScope 指定 CA 客户机的管理范围。对于 Deployment Manager 概要文件,缺省值为单元范围。对于应用程序服务器概要文件,缺省值为节点范围。 String -certificateCommonName 指定证书的完整专有名称 (DN) 的公共名 (CN) 部分。这个公共名可以表示个人、公司或机器。对于 Web 站点,公共名通常是服务器所在 DNS 主机的名称。 String -certificateSize 指定证书密钥的大小。有效值为 512、1024、2048、4096 和 8192。缺省值为 2048。 String -certificateOrganization 指定专有名称的组织部分。 String -certificateOrganizationalUnit 指定专有名称的组织单位部分。 String -certificateLocality 指定专有名称的位置部分。 String -certificateState 指定专有名称的省/自治区/直辖市部分。 String -certificateZip 指定专有名称的邮政编码部分。 String -certificateCountry 指定专有名称的国家/地区部分。 String 使用以下示例命令语法,从认证中心请求证书:AdminTask.requestCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore -CAClientName myCAClient -revocationPassword revokeCApw')
该命令返回以下两个值的其中一个:证书完成或证书暂挂。如果该命令返回消息证书完成,那么认证中心已返回所请求证书并且替换了缺省个人证书。如果该命令返回消息证书暂挂,那么认证中心尚未返回证书。使用 queryCACertificate 命令来查看证书请求的当前状态,如以下示例所示:AdminTask.queryCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore')
- 保存配置更改。 请使用以下命令示例来保存配置更改:
AdminConfig.save()
结果


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7createcacert
文件名:txml_7createcacert.html