ibm websphere
缺省情况下,在安装和配置IBM®WebSphere®Application Server Network Deployment时,还将在密钥库中配置缺省的自签名证书。 当这些证书过期时,或者如果您需要更改参数(例如密钥大小或签名算法以提高安全性),则必须更新证书。 一些方法是:
- 使用
wsadmin
命令来转换默认证书的算法或其他属性。 如果密钥库仅包含默认的根证书,则可以使用此方法。 但是,如果您的WebSphere环境中托管的应用程序需要除默认证书以外的其他证书(即,密钥库中存在其他自签名或证书颁发机构(CA)证书),则wsadmin
命令可能不起作用。 在某些情况下,转换步骤会导致Java异常。 - 将默认证书替换为外部或内部第三方CA签名的证书。 对于此方法,您必须请求证书到证书颁发机构,这可能是一个漫长的过程。 您还必须删除现有证书并将其替换为新证书。
本教程描述了如何使用WebSphere管理控制台来创建自签名根证书。 您可以为参数指定新值,然后用新证书替换现有的根证书。 使用这种方法,您可以保留旧证书,以便在必须还原更改时可以使用它们。 新的证书集包含已修改的参数,并且证书在您更新端点安全配置时生效。
备份Deployment Manager概要文件
在开始之前,请备份WebSphere Network Deployment服务器的Deployment Manager(dmgr)概要文件:
# cd <DMGR_PROFILE>/bin
./backupConfig.sh -nostop
保存security.xml,key.p12和trust.p12文件的副本,这些文件位于以下目录中:
<DMGR profile>/config/cells/<Cell Name>/security.xml
<DMGR profile>/config/cells/<Cell Name>/nodes/<Node Name>/key.p12
<DMGR profile>/config/cells/<Cell Name>/nodes/<Node Name>/trust.p12
从Deployment Manager的默认根存储中创建自签名根证书
在DmgrDefaultRootStore密钥库下创建具有所需参数的自签名根证书:
- 登录到服务器的管理控制台。 选择安全性 > SSL证书和密钥管理 。 从“ 密钥库用法”菜单中,选择“ 根证书”密钥库 。
- 选择DmgrdefaultRootStore 。
- 在“ 其他属性”下 ,单击“ 个人证书” 。 单击创建 ,然后选择自签名证书以创建自签名证书。 在此示例中,新证书的别名为root_2048_sha256。
- 在“ 签名算法”字段中,输入
SHA256withRSA
。 在密钥大小字段中,输入2048
。 - 单击“ 应用” ,然后单击“ 确定” 。 单击查看 ,然后选择同步 。 点击保存 。
Deployment Manager根密钥库和签署者存储中的Exchange签署者证书
在部署管理器的根存储(DmgrDefaultRootStore)和签名存储(DmgrDefaultSignerStore)之间交换签名者证书。 结果,将DmgrDefaultRootStore中选定的根个人证书添加到DmgrDefaultSignerStore的签署者列表中。
- 在服务器的管理控制台中,选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 从“ 密钥库用法”菜单中,选择“ 全部” 。
- 选择DmgrDefaultRootStore和DmgrDefaultSignersStore ,然后单击Exchange签署者 。
- 在“ 要交换的签名者”下 ,选择root_2048_sha256证书。 然后,点击添加 。 然后将证书添加到DmgrDefaultSignersStore密钥库。
使用单元的默认信任库交换签名者
在部署管理器的密钥库(DmgrDefaultRootStore)和单元的默认信任库(CellDefaultTrustStore)之间交换签名者证书。 结果,将DmgrDefaultRootStore中选定的根个人证书添加到CellDefaultTrustStore的签署者列表中。
- 选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 从“ 密钥库用法”菜单中,选择“ 全部” 。 选择DmgrDefaultRootStore和CellDefaultTrustStore ,然后单击Exchange签署者 。
- 选择
root_2048_sha256
,然后单击添加以将签署者证书添加到CellDefaultTrustStore密钥库中。 - 单击“ 应用”,然后单击“确定” 。 单击查看 ,选择同步 ,然后单击保存 。
使用证书管理服务(CMS)密钥库交换签名者
在DmgrDefaultRootStore和CMSKeyStore密钥库之间交换签名者证书。 结果,在DmgrDefaultRootStore中选择的根个人证书将添加到CMSKeyStore的签署者列表中。
- 选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 从“ 密钥库用法”菜单中,选择“ 全部” 。 选择DmgrDefaultRootStore和CMSKeyStore ,然后单击“ Exchange签名者”。
- 选择root_2048_sha256 ,然后单击“ 添加”以将证书添加到CMSKeyStore签名者。
在单元的默认密钥库中创建默认的链式证书
在CellDefaultKeyStore下创建一个链式证书。 您在步骤2中创建的根证书用作此链接证书的签名者证书。
- 选择安全性 > SSL证书和密钥管理 。
- 选择CellDefaultKeyStore 。 单击“ 个人证书” ,然后创建一个链式证书。
- 证书的别名为default_2048_sha256。 在用于对证书进行签名的根证书下,选择root_2048_sha256 。
- 输入参数值。 单击“ 应用” ,然后单击“ 确定” 。 单击查看 ,选择同步 ,然后单击保存以将更改与您的节点同步。
在节点的默认密钥库中创建默认的链式证书
在NodeDefaultKeyStore下创建一个链式证书。 您在步骤2中创建的根证书用作此链接证书的签名者证书。
- 选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 选择NodeDefaultKeyStore 。 单击“ 个人证书”,然后创建一个链式证书。 证书的别名为default_2048_sha256。
- 展开用于签署证书菜单的根证书 ,然后选择root_2048_sha256 。
- 输入参数值。 单击“ 应用” ,然后单击“ 确定” 。 选择同步 ,然后单击保存以将更改与您的节点同步。
更新每个单元和节点的端点安全性配置
管理每个单元和节点的端点安全配置(入站和出站)。
- 选择安全性 > SSL证书和密钥管理 。 下图显示了入站配置CellDefaultSSLSettings和NodeDefaultSSLSettings,以及出站配置CellDefaultSSLSettings和NodeDefaultSSLSettings。
- 在每种配置下,将KeyStore中的Certificate别名的值更改为
default_2048_sha256
。
重新启动应用程序服务器和其他进程
停止应用程序服务器,节点代理和Deployment Manager时,提示您接受创建的新证书。 选择Y接受证书并继续。 所有进程停止后,请重新启动它们。
从profile_root / bin目录中,停止应用程序服务器,节点代理和Deployment Manager:
./stopServer.sh server_name
./stopNode.sh
./stopManager.sh
启动所有WebSphere流程:
./startManager.sh
./startNode.sh
./startServer.sh server_name
从< IHS_install_dir > / bin目录重新启动IBM HTTP Server(Web服务器)进程:
./apachectl stop
./apachectl start
通过访问WebSphere管理控制台来验证证书及其参数:
https://<dmgrhostname>:9043/ibm/console
结论
本教程展示了如何使用WebSphere Application Server管理控制台来修改缺省的自签名根证书的属性。 您学习了如何创建新证书,然后将其应用于端点安全配置。 当服务器的密钥库包含默认证书和第三方CA签名证书的混合时,可以使用此方法。
ibm websphere