IBM Support

如何为Guardium服务器安装GUI证书

Question & Answer


Question

如何为Guardium服务器安装GUI证书?

Answer

请使用以下步骤安装 GUI 证书:

1) 从您的CA签发者处获取公共证书。

您必须从您的CA处(例如, Verisign)获得公共证书,且公共证书必须使用 PEM 格式。



注意:

- 证书必须是 PEM 格式(以 .pem 为后缀的文件), 而不能是二进制格式。

- 如果证书不是自签署(self signed)的,您还必须同时获取每个签发者的公共证书,直到最底层的(例如,自签署的证书)。



2) 对于以上步骤获取的每个证书,确认它们已经被签署过并且您已经获取了每个"签发者"的公共证书,直到最底层的(例如,自签署的证书)。您可以使用以下命令来展示一个 x509 类型的证书:

    openssl x509 -in t.pem -text -noout



3) 对于每个证书(每个签发者都必须有一个证书):存储证书来提示Guardium从现在起开始信任这些签发者。使用以下命令进行存储,遇到提示时请提供.pem证书的内容:

V9 GPU300 之前版本,请使用:

store trusted certificate

V9 GPU300 及之后的版本, 请使用:

store certificate keystore



4) 使用命令来生成您的证书签发请求:

V9 GPU300 之前版本,请使用:

csr

V9 GPU300 及之后的版本, 请使用:

create csr gui


完成需填写的数据。例如:
     
C=US, ST=Massachusetts, L=Waltham, O=Guardium, Inc., OU=Support, CN=gmachine/emailAddress=support@guardium.com
     
注意:

- 对于常用名(Common Name), 我们推荐您使用FQDN格式(fully qualified domain name)的主机名。但如果您通常使用简写的主机名(例如. system1),而非FDQN格式的主机名(例如. system1.us.ibm.com),您在使用简写名连接至GUI时就会有证书错误抛错"地址不匹配"。这种情况下您需要设置 CN=system1 或者使用 https://system1.us.ibm.com:8443/sqlguard 来进行连接。

- 国家码必须是2个字母

- 在 8.0.1 版本,我们使用的 keysize=1024位。在 8.0.2 和 9 版本,您可以选择使用 1024 或者 2048。


csr 或者 create csr gui 命令会输出类似以下的内容。将结果保存至文件并提供给您的CA进行"签署":

      ----BEGIN CERTIFICATE REQUEST-------
      jlfklklfkflfl;k;;;;;;;;;;;;;;;;;;;;;;
      jkjkjlklklklklkl
      < bla bla bla >
      ----END CERTIFICATE REQUEST---------
     

 
5) 将前一步产生的内容(从 -----BEGIN CERTIFICATE REQUEST------- 到 ----END CERTIFICATE REQUEST---------)复制粘贴至一个文本文件,然后发送至您的CA来给您返回签署后的秘钥。

注意:

- 提交请求至您的CA时,确保您请求的证书格式是 PKCS#7 PEM 格式。



6) 等待您的CA发回签署后的证书。CA会签署 CSA 然后给您发送签署后的秘钥。

   

7) 收到CA签署后的证书(另一个 .pem 文件)后,查看一下内容,它应该是以下类似内容。将其复制到剪贴板然后进入下一步:

-----BEGIN CERTIFICATE-----
< some code here>
. . .
. . .
-----END CERTIFICATE-----



8) 使用以下命令存储证书:


V9 GPU300 之前版本,请使用:

store certificate console

V9 GPU300 及之后的版本, 请使用:

store certificate gui

您会收到以下提示:

       Please paste your new server certificate, in PEM format.


将剪贴板内容粘贴上,包括 BEGIN 和 END 行,然后按下 CTRL-D。之后会提示您存储操作成功或失败。



9) 重启图形界面:

V9 GPU300 之前版本,请使用:

restart GUI

V9 GPU300 及之后的版本, 请使用:

restart gui

[{"Product":{"code":"SSMPHH","label":"IBM Security Guardium"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Not Applicable","Platform":[{"code":"PF016","label":"Linux"}],"Version":"8.2;9.0;9.1;9.5","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
16 June 2018

UID

swg21995937

Page Feedback