ibm websphere_证书麻烦? 在IBM WebSphere Application Server中管理自签名和CA签名证书

ibm websphere

缺省情况下,在安装和配置IBM®WebSphere®Application Server Network Deployment时,还将在密钥库中配置缺省的自签名证书。 当这些证书过期时,或者如果您需要更改参数(例如密钥大小或签名算法以提高安全性),则必须更新证书。 一些方法是:

  • 使用wsadmin命令来转换默认证书的算法或其他属性。 如果密钥库仅包含默认的根证书,则可以使用此方法。 但是,如果您的WebSphere环境中托管的应用程序需要除默认证书以外的其他证书(即,密钥库中存在其他自签名或证书颁发机构(CA)证书),则wsadmin命令可能不起作用。 在某些情况下,转换步骤会导致Java异常。
  • 将默认证书替换为外部或内部第三方CA签名的证书。 对于此方法,您必须请求证书到证书颁发机构,这可能是一个漫长的过程。 您还必须删除现有证书并将其替换为新证书。

本教程描述了如何使用WebSphere管理控制台来创建自签名根证书。 您可以为参数指定新值,然后用新证书替换现有的根证书。 使用这种方法,您可以保留旧证书,以便在必须还原更改时可以使用它们。 新的证书集包含已修改的参数,并且证书在您更新端点安全配置时生效。

备份Deployment Manager概要文件

在开始之前,请备份WebSphere Network Deployment服务器的Deployment Manager(dmgr)概要文件:

# cd <DMGR_PROFILE>/bin
./backupConfig.sh -nostop

保存security.xml,key.p12和trust.p12文件的副本,这些文件位于以下目录中:

<DMGR profile>/config/cells/<Cell Name>/security.xml
<DMGR profile>/config/cells/<Cell Name>/nodes/<Node Name>/key.p12
<DMGR profile>/config/cells/<Cell Name>/nodes/<Node Name>/trust.p12

从Deployment Manager的默认根存储中创建自签名根证书

在DmgrDefaultRootStore密钥库下创建具有所需参数的自签名根证书:

  1. 登录到服务器的管理控制台。 选择安全性 > SSL证书和密钥管理 。 从“ 密钥库用法”菜单中,选择“ 根证书”密钥库
    密钥库用法菜单
  2. 选择DmgrdefaultRootStore
    选择Deployment Manager的根密钥库
  3. 在“ 其他属性”下 ,单击“ 个人证书” 。 单击创建 ,然后选择自签名证书以创建自签名证书。 在此示例中,新证书的别名为root_2048_sha256。
    创建自签名证书
  4. 在“ 签名算法”字段中,输入SHA256withRSA 。 在密钥大小字段中,输入2048
    指定签名算法和密钥大小
  5. 单击“ 应用” ,然后单击“ 确定” 。 单击查看 ,然后选择同步 。 点击保存

Deployment Manager根密钥库和签署者存储中的Exchange签署者证书

在部署管理器的根存储(DmgrDefaultRootStore)和签名存储(DmgrDefaultSignerStore)之间交换签名者证书。 结果,将DmgrDefaultRootStore中选定的根个人证书添加到DmgrDefaultSignerStore的签署者列表中。

  1. 在服务器的管理控制台中,选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 从“ 密钥库用法”菜单中,选择“ 全部”
    交换签署者证书
  2. 选择DmgrDefaultRootStoreDmgrDefaultSignersStore ,然后单击Exchange签署者
    选择默认的根和签署者密钥库
  3. 在“ 要交换的签名者”下 ,选择root_2048_sha256证书。 然后,点击添加 。 然后将证书添加到DmgrDefaultSignersStore密钥库。
    将根证书添加到默认签名者存储

使用单元的默认信任库交换签名者

在部署管理器的密钥库(DmgrDefaultRootStore)和单元的默认信任库(CellDefaultTrustStore)之间交换签名者证书。 结果,将DmgrDefaultRootStore中选定的根个人证书添加到CellDefaultTrustStore的签署者列表中。

  1. 选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 从“ 密钥库用法”菜单中,选择“ 全部” 。 选择DmgrDefaultRootStoreCellDefaultTrustStore ,然后单击Exchange签署者
    选择密钥库以交换证书
  2. 选择root_2048_sha256 ,然后单击添加以将签署者证书添加到CellDefaultTrustStore密钥库中。
    将根证书添加到信任库
  3. 单击“ 应用”,然后单击“确定” 。 单击查看 ,选择同步 ,然后单击保存

使用证书管理服务(CMS)密钥库交换签名者

在DmgrDefaultRootStore和CMSKeyStore密钥库之间交换签名者证书。 结果,在DmgrDefaultRootStore中选择的根个人证书将添加到CMSKeyStore的签署者列表中。

  1. 选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 从“ 密钥库用法”菜单中,选择“ 全部” 。 选择DmgrDefaultRootStoreCMSKeyStore ,然后单击“ Exchange签名者”。
  2. 选择root_2048_sha256 ,然后单击“ 添加”以将证书添加到CMSKeyStore签名者。
    将根证书添加到密钥库CMSKeyStore

在单元的默认密钥库中创建默认的链式证书

在CellDefaultKeyStore下创建一个链式证书。 您在步骤2中创建的根证书用作此链接证书的签名者证书。

  1. 选择安全性 > SSL证书和密钥管理
  2. 选择CellDefaultKeyStore 。 单击“ 个人证书” ,然后创建一个链式证书。
    创建链接证书
  3. 证书的别名为default_2048_sha256。 在用于对证书进行签名的根证书下,选择root_2048_sha256
    指定链接证书的属性
  4. 输入参数值。 单击“ 应用” ,然后单击“ 确定” 。 单击查看 ,选择同步 ,然后单击保存以将更改与您的节点同步。

在节点的默认密钥库中创建默认的链式证书

在NodeDefaultKeyStore下创建一个链式证书。 您在步骤2中创建的根证书用作此链接证书的签名者证书。

  1. 选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 选择NodeDefaultKeyStore 。 单击“ 个人证书”,然后创建一个链式证书。 证书的别名为default_2048_sha256。
  2. 展开用于签署证书菜单的根证书 ,然后选择root_2048_sha256
  3. 输入参数值。 单击“ 应用” ,然后单击“ 确定” 。 选择同步 ,然后单击保存以将更改与您的节点同步。

更新每个单元和节点的端点安全性配置

管理每个单元和节点的端点安全配置(入站和出站)。

  1. 选择安全性 > SSL证书和密钥管理 。 下图显示了入站配置CellDefaultSSLSettings和NodeDefaultSSLSettings,以及出站配置CellDefaultSSLSettings和NodeDefaultSSLSettings。
    单元和节点的入站和出站SSL配置
  2. 在每种配置下,将KeyStore中的Certificate别名的值更改为default_2048_sha256
    在密钥库中更改证书别名

重新启动应用程序服务器和其他进程

停止应用程序服务器,节点代理和Deployment Manager时,提示您接受创建的新证书。 选择Y接受证书并继续。 所有进程停止后,请重新启动它们。

从profile_root / bin目录中,停止应用程序服务器,节点代理和Deployment Manager:

./stopServer.sh server_name
 ./stopNode.sh
 ./stopManager.sh

启动所有WebSphere流程:

./startManager.sh
./startNode.sh
./startServer.sh server_name

从< IHS_install_dir > / bin目录重新启动IBM HTTP Server(Web服务器)进程:

./apachectl stop
./apachectl start

通过访问WebSphere管理控制台来验证证书及其参数:

https://<dmgrhostname>:9043/ibm/console

结论

本教程展示了如何使用WebSphere Application Server管理控制台来修改缺省的自签名根证书的属性。 您学习了如何创建新证书,然后将其应用于端点安全配置。 当服务器的密钥库包含默认证书和第三方CA签名证书的混合时,可以使用此方法。


翻译自: https://www.ibm.com/developerworks/websphere/library/techarticles/1606_sutariya-trs/1606_sutariya.html

ibm websphere

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值