Creación de certificados SSL nuevos para sustituir los existentes en una célula

Para sustituir los certificados SSL (Secure Socket Layer) predeterminados en toda la célula, debe crear un nuevo certificado raíz autofirmado en el almacén de claves raíz, DmgrDefaultRootStore, y sustituir el certificado raíz antiguo por el nuevo.

Acerca de esta tarea

Para cambiar el certificado predeterminado de una célula en CellDefaultKeyStore y el certificado predeterminado de cada nodo en NodeDefaultKeyStore, cree un nuevo certificado encadenado y sustituya el certificado predeterminado antiguo por el nuevo.

El certificado raíz se crea de forma predeterminada en WebSphere® Application Server, y tiene un subjectDN con el formato cn=<nombre de host>, ou=Certificado raíz, ou=<nombre de celda>, ou=<nombre de nodo>, o=ibm, c=us. Cuando crea un certificado raíz nuevo, también puede personalizar el DN de sujeto.

Para crear un nuevo certificado raíz SSL en la consola administrativa:

Procedimiento

  1. Cree el nuevo certificado raíz de SSL. Pulse Seguridad > Gestión de claves y certificados SSL > Almacenes de claves y certificados.
  2. En el menú desplegable Usos del almacén de claves, seleccione Almacén de claves de certificado raíz.
  3. Haga clic en el DmgrDefaultRootStore en la lista de usos del almacén de claves.
  4. En Propiedades adicionales, seleccione Certificados personales.
  5. En el menú desplegable Crear, seleccione Certificado autofirmado.
  6. Especifique un certificado y nombre de alias.
    Este puede ser cualquier nombre que elija siempre y cuando el alias no exista aún. Es sólo una etiqueta para identificar el certificado en el almacén de claves.
  7. En el campo Nombre común, especifique el nombre de dominio completo del sistema donde se ha instalado WebSphere Application Server.
    Generalmente es el nombre de host en el que se ejecuta el nodo.
  8. Opcional: Complete cualquiera de los otros campos relacionados con el DN del Asunto.
    Si desea que el DN del asunto se vea como el predeterminado subjectDN en WebSphere Application Server, luego ingresa:
    • IBM en el campo Organización.
    • <cell name>,ou=<node name>en el campo Unidad de organización.
    • En el desplegable País o región, seleccione ES.
  9. Puede utilizar los valores predeterminados para Certificado raíz para firmar el certificado, Tamaño de clave y Periodo de validez, o proporcionar nuevos valores.
  10. Hacer clic Aplicar > Guardar.
    Nota: También puede crear un certificado autofirmado utilizando el createSelfSignedCertificate dominio. Lea el grupo de mandatos PersonalCertificateCommands del objeto AdminTask para obtener más información.

    A continuación, debe sustituir el certificado raíz antiguo por el recién creado. La opción de sustituir certificado no sólo sustituye el certificado predeterminado anterior por uno nuevo, sino que también sustituye todas las apariciones del firmante del certificado anterior por el firmante del nuevo certificado. También se comprueban en la configuración las referencias al nombre de alias del certificado anterior y la sustituyen por el nombre de alias del certificado nuevo. Para sustituir el certificado anterior por el nuevo, complete los pasos restantes.

  11. Sustituya el certificado raíz antiguo por el recién creado. En la página Certificados personales, seleccione la casilla correspondiente al certificado raíz antiguo.
  12. Hacer clic Reemplazar.
  13. En la lista Sustituir por, seleccione el alias del certificado que ha creado.
  14. Seleccionar Eliminar el certificado antiguo después del reemplazo.
    Importante: Asegúrese de que el Eliminar firmante antiguo la casilla de verificación no está seleccionada.
  15. Hacer clic Aplicar > Guardar
  16. Cree un certificado personal encadenado en el almacén de claves de célula predeterminado: CellDefaultKeystore. En la página Almacenes de claves y certificados, seleccione el CellDefaultKeyStore del nodo que desee cambiar.
  17. En Propiedades adicionales, seleccione Certificados personales.
  18. Seleccione el certificado predeterminado del nodo, generalmente llamadodefault .
  19. Hacer clic Crear > Certificado encadenado.
  20. En el campo Alias, especifique un nuevo alias de certificado personal.
  21. En el Certificado raíz utilizado para firmar el certificado. lista desplegable, seleccione el aliasroot .
  22. En el campo Nombre común, especifique el nombre de dominio completo del sistema donde se ha instalado WebSphere Application Server.
  23. Hacer clic Aplicar > Guardar.
  24. Sustituya el certificado personal en el almacén de claves de célula predeterminado: CellDefaulltKeystore. En la página Certificados personales, seleccione la casilla Predeterminado.
  25. Hacer clic Reemplazar.
  26. Seleccione el nombre de alias del certificado para el nuevo certificado que acaba de crear desde el Reemplazar con derribar.
  27. Seleccionar Eliminar el certificado antiguo después del reemplazo.
    Importante: Asegúrese de que el Eliminar firmante antiguo la casilla de verificación no está seleccionada.
  28. Hacer clic Aplicar > Guardar

Qué hacer a continuación

También puede sustituir los certificados predeterminados en un nodo. Consulte 'Creación de un certificado SSL nuevo para sustituir un certificado existente en un nodo' para obtener más información.