使用 wsadmin 工具将认证中心证书设为缺省证书
使用本主题对外部认证中心 (CA) 发出请求,以创建个人证书。在该证书由 CA 返回,且保存在密钥库中后,您接着可以将该证书用作服务器缺省个人证书。
开始之前
您必须在环境中配置 CA 客户机对象。该客户机对象包含连接到第三方 CA 服务器所必需的所有配置信息。
关于此任务
在创建概要文件后,会对系统指定缺省链接个人证书。执行以下步骤来修改应用程序服务器,以使用外部 CA 所创建的缺省个人证书。
过程
- 通过使用 Jython 脚本语言,启动 wsadmin 脚本编制工具。有关更多信息,请参阅“启动 wsadmin 脚本编制客户机”一文。
- 验证配置中是否存在认证中心客户机。 使用 listCAClients 命令在环境中查询所有现有认证中心客户机和配置属性,或使用 getCAClient 命令来返回特定认证中心客户机的配置属性。如果 listCAClients 或 getCAClient 命令未返回任何属性,那么您必须创建认证中心客户机对象,然后才能完成其余步骤。
- 列出配置中的所有认证中心客户机对象。使用 listCAClients 命令来列出配置中的所有认证中心客户机。如果未提供 -scopeName 参数的值,那么此命令会查询单元(如果您使用 Deployment Manager 概要文件)或查询节点(如果您使用应用程序服务器概要文件)。要查询环境,请使用 -all 参数(而不是使用特定作用域),如以下示例所示:
print AdminTask.listCAClients('-all true')
此命令会返回属性列表的数组,其中针对每个 CA 客户机显示一个属性列表,如以下示例输出所示:'[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1) ] [scopeName (cell):myCell01] [name jenCAClient] [baseDn ] [_Websphere_Config_Da ta_Id cells/myCell01|security.xml#CAClient_1181834566881] [port 2950] [CACertifi cate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Webspher e_Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pa ssword ] [host ] ]' '[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1) ] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphere_Config_Dat a_Id cells/myCell01|security.xml#CAClient_1181834566882] [port 2951] [CACertific ate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Websphere _Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pas sword ] [host ] ]'
- 列出特定认证中心客户机的配置属性。使用 getCAClient 命令来查看特定认证中心客户机的属性列表,如以下示例所示:
print AdminTask.getCAClient('-caClientName myCAClient')
此命令会返回属性列表(包含特定认证中心客户机的“属性和值”对),如以下示例所示:'[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementSc ope_1)] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphe re_Config_Data_Id cells/myCell01|security.xml#CAClient_1181834566882] [por t 2951] [CACertificate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [u serId ] [_Websphere_Config_Data_Type CAClient] [retryCheck 0] [properties ] [fre quencyCheck 0] [password ] [host ] ]'
- 列出配置中的所有认证中心客户机对象。
- 可选: 如果环境中不存在认证中心客户机,那么配置 CA 客户机对象。
- 可选: 查看当前缺省个人证书。 使用以下 listPersonalCertificates 命令来显示要替换的当前缺省个人证书:
AdminTask.listPersonalCertificates('[-keyStoreName CellDefaultKeyStore -keyStoreScope (cell):myCell01]')
- 从认证中心请求证书。 必须从认证中心请求证书,然后才能替换当前缺省个人证书。您可以使用 createCertificateRequest 命令来创建新的证书请求,也可以使用预定义的证书请求。系统使用证书请求及认证中心配置信息(来自 CA 客户机对象),从认证中心请求证书。如果认证中心返回证书,那么 requestCAcertificate 命令会将该证书存储在指定的密钥库中,并返回消息 COMPLETE。
表 1. 必需参数. 使用 requestCACertificate 命令和以下必需参数,从认证中心请求证书: 参数 描述 数据类型 -certificateAlias 指定证书的别名。您可以指定预定义的证书请求。 String -keyStoreName 指定存储 CA 证书的密钥库对象的名称。使用 listKeyStores 命令来显示可用密钥库的列表。 String -caClientName 指定已用于创建 CA 证书的 CA 客户机的名称。 String -revocationPassword 指定以后用于撤销证书的密码。 String 表 2. 可选参数. 您也可以使用以下参数来指定其他证书请求选项。如果未指定可选参数,那么此命令会使用缺省值。 参数 描述 数据类型 -keyStoreScope 指定密钥库的管理作用域。对于 Deployment Manager 概要文件,缺省值为单元作用域。对于应用程序服务器概要文件,缺省值为节点作用域。 String -caClientScope 指定 CA 客户机的管理作用域。对于 Deployment Manager 概要文件,缺省值为单元作用域。对于应用程序服务器概要文件,缺省值为节点作用域。 String -certificateCommonName 指定证书的完整专有名称 (DN) 的公共名 (CN) 部分。这个公共名可以表示个人、公司或机器。对于 Web 站点,公共名通常是服务器所在 DNS 主机的名称。 String -certificateSize 指定证书密钥的大小。有效值为 512、1024、2048、4096 和 8192。缺省值为 2048。 String -certificateOrganization 指定专有名称的组织部分。 String -certificateOrganizationalUnit 指定专有名称的组织单位部分。 String -certificateLocality 指定专有名称的位置部分。 String -certificateState 指定专有名称的省/自治区/直辖市部分。 String -certificateZip 指定专有名称的邮政编码部分。 String -certificateCountry 指定专有名称的国家/地区部分。 String 使用以下示例命令语法,从认证中心请求证书:AdminTask.requestCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore -caClientName myCAClient -revocationPassword revokeCApw -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
该命令返回以下两个值的其中一个:证书完成或证书暂挂。如果该命令返回消息证书完成,那么认证中心已返回所请求证书并且替换了缺省个人证书。如果该命令返回消息证书暂挂,那么认证中心尚未返回证书。使用 queryCACertificate 命令来查看证书请求的当前状态,如以下示例所示:AdminTask.queryCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
- 替换服务器缺省个人证书。 使用以下 replaceCertificate 命令示例,将现有缺省个人证书替换为新创建的 CA 个人证书:
AdminTask.replaceCertificate('-keyStoreName CellDefaultKeyStore -certificateAlias defaultPersonalCertificate -replacementCertificateAlias newCertificate')
- 保存配置更改。 请使用以下命令示例来保存配置更改:
AdminConfig.save()
结果
服务器缺省个人证书是由外部 CA 所创建。
下一步做什么
如果已成功创建 CA 客户机对象,那么您可以配置应用程序服务器以使用外部 CA 所创建的个人证书。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7percert
文件名:txml_7percert.html