CA-Zertifikat in SSL erstellen

Zertifikate können von einer Zertifizierungsstelle (Certificate Authority, CA) erstellt werden, wenn ein CAClient-Objekt für die Verbindung zur Zertifizierungsstelle, die das Zertifikat erstellen soll, konfiguriert ist. Mit einem CA-Client erstellte Zertifikate von einer Zertifizierungsstelle werden in der Sicherheitskonfiguration in einem Objekt mit dem Namen CACertificate protokolliert. Das Zertifikat wird in einem Keystore gespeichert. Zur Konfiguration wird ein CACertificate-Objekt hinzugefügt, das auf das Zertifikat verweist. CA-Zertifikate sind persönliche Zertifikate.

Vorbereitungen

Zunächst müssen Sie einen CA-Client erstellen, um eine Verbindung zum Server der Zertifizierungsstelle herstellen zu können. Anschließend werden Sie mithilfe der Administrationskonsole ein CA-Zertifikat erstellen.
Hinweis: In diesem Release von WebSphere® Application Serversind die gültigen Schlüsselgrößenwerte 512, 1024, 2048, 4096 und 8192. Die Standardschlüsselgröße ist 2048 Bit.

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
  2. Klicken Sie unter "Zugehörige Elemente" auf Keystores und Zertifikate.
  3. Klicken Sie auf einen < Keystore-Name> , dem Sie das neue CA-Zertifikat hinzufügen möchten.
  4. Klicken Sie unter "Weitere Eigenschaften" auf Persönliche Zertifikate , um ein neues CA-Zertifikat in der Konfiguration zu erstellen.
    Anmerkung: Mit requestCACertificate AdminTask können Sie auch ein CA-Zertifikat erstellen.
  5. Klicken Sie auf die Schaltfläche Erstellen und wählen Sie CA-signiertes Zertifikataus.
  6. Geben Sie im Abschnitt "CA-Zertifikat" die folgenden Informationen ein.
    • Widerrufkennwort
    • Kennwort bestätigen
    • Wählen Sie in der Pull-down-Liste den CA-Client aus.
      Anmerkung: Sie können einen neuen CA-Client erstellen, der auf diese CA-Berechtigung angewendet werden soll, indem Sie auf die Schaltfläche Neu klicken.
    • Geben Sie im Abschnitt "Anforderungsspezifikation" die folgenden Informationen ein:
      • Wählen Sie das Optionsfeld für einen vordefinierten Anforderungsalias aus, wenn bereits eine Zertifikatsanforderung erstellt wurde.
      • Falls es keinen vordefinierten Zertifikatsanforderungsalias gibt, füllen Sie die folgenden Felder aus:
        1. Geben Sie im Feld "Aliasname" einen Aliasnamen ein. Der Aliasname identifiziert die Zertifikatsanforderung im Keystore.
        2. Geben Sie einen allgemeinen Namen (CN, Common Name) ein. Dieser Wert ist der CN-Wert im definierten Namen (DN, Distinguished Name) des Zertifikats.
        3. Optional: Geben Sie eine Organisation an. Dieser Wert ist der O-Wert im DN des Zertifikats.
        4. Optional: Wählen Sie eine Schlüsselgröße aus. Die gültigen Schlüsselgrößenwerte sind 512, 1024, 2048, 4096 und 8192. Die Standardschlüsselgröße ist 2048 Bit.
        5. Locality
        6. Optional: Geben Sie einen Bundesstaat bzw. ein Bundesland ein. Dieser Wert ist der ST-Wert im DN des Zertifikats.
        7. Optional: Geben Sie eine Postleitzahl ein. Dieser Wert ist der POSTALCODE-Wert im DN des Zertifikats.
        8. Optional: Geben Sie ein Land oder eine Region aus der Liste ein. Dieser Wert ist der "C="-Wert im DN des Zertifikats.
  7. Klicken Sie auf Anwenden und dann auf OK.

Ergebnisse

Das Zertifikat wird in dem Keystore gespeichert, den Sie während des Prozesses bis zum Erscheinen dieser Anzeige ausgewählt haben. Außerdem wird ein CACertificate-Konfigurationsobjekt erstellt. Das erstellte CA-Zertifikat kann von der Laufzeit für die SSL-Kommunikation verwendet werden.

Für die Erstellung des CA-Zertifikats können Sie eine vorhandene Zertifikatsanforderung nutzen oder eine neue Zertifikatsanforderung erstellen. In dieser Anzeige wird das CA-Zertifikat mit dem AdminTask-Befehl requestCAClient erstellt.