AdminTask 物件的 SSLMigrationCommands 指令群組
您可以使用 Jython 或 Jacl Scripting 語言來移轉金鑰儲存庫配置。 使用 SSLMigrationCommands 群組中的指令,將自簽憑證轉換成鏈結個人憑證,並啟用可寫入金鑰環。
AdminTask 物件的 SSLMigrationCommands 指令群組包含下列指令:
convertSelfSignedCertificatesToChained 指令
convertSelfSignedCertificatesToChained 指令會將特定的自簽憑證轉換成鏈結的個人憑證。
附註: 在 Websphere Application Server 7.0 版中,鏈結憑證是預設憑證類型。 convertSelfSignedCertificatesToChained 指令會從自簽憑證取得資訊 (例如: 發出至 DN、大小及有效期限) ,並建立具有相同資訊的鏈結憑證。 新的鏈結憑證會取代自簽憑證。 安全配置中所分散之自簽憑證中的簽章者憑證,會取代為用來簽署鏈結憑證之主要憑證中的簽章者憑證。
語法
指令具有下列語法:
wsadmin>$AdminTask convertSelfSignedCertificatesToChained
[-certificateReplacementOption ALL_CERTIFICATES | DEFAULT_CERTIFICATES | KEYSTORE_CERTIFICATES]
[-keyStoreName keystore_name]
[-keyStoreScope keystore_scope]
[-rootCertificateAlias alias_name]必要參數
- 指定轉換自簽憑證取代選項。 (字串,必要)將參數值指定為下列其中一個選項:
選用參數
- keyStoreName
- 指定要在其中尋找要轉換之自簽憑證的金鑰儲存庫名稱。 在 certificateReplacementOption 參數上搭配使用此參數與 KEYSTORE_Certificates 選項。 (字串,選用)
- keyStoreScope
- 指定要在其中尋找要轉換之自簽憑證的範圍名稱。 (字串,選用)
- rootCertificateAlias
- 從用來簽署鏈結憑證的預設主要儲存庫中指定要使用的主要憑證。 預設值為root. (字串,選用)
範例
批次模式下的用法範例:
- 使用 Jacl:
$AdminTask convertSelfSignedCertificatesToChained {-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS} - 使用 Jython 字串:
AdminTask.convertSelfSignedCertificatesToChained('[-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS]') - 使用 Jython 清單:
AdminTask.convertSelfSignedCertificatesToChained(['-certificateReplacementOption', 'ALL_CERTIFICATES', '-keyStoreName', 'testKS'])避免麻煩: 為了確保移轉成功,請移至 security.xml 檔,並將預設值 dynamicallyUpdateSSLConfig 變更為false在檔案中。 如需相關資訊,請參閱說明文件中的 SSL 中的動態配置更新主題。
互動模式下的用法範例:
- 使用 Jacl:
$AdminTask exchangeSigners {-interactive} - 使用 Jython:
AdminTask.exchangeSigners('-interactive')
enableWritableKeyring 指令
enableWritableKeyring 指令會修改金鑰儲存庫,並啟用可寫入 SAF 支援。 在移轉期間,系統會使用這個指令。 這個指令會為控制區域和 SSL 金鑰儲存庫的服務者區域金鑰環建立其他可寫入的金鑰儲存庫物件。
必要參數
- -keyStoreName
- 指定用來唯一識別您要刪除之金鑰儲存庫的名稱。 (字串,必要)
選用參數
- -controlRegionUser
- 指定要用來啟用可寫入金鑰環的控制區域使用者。 (字串,選用)
- -servantRegionUser
- 指定服務者區域使用者來啟用可寫入的金鑰環。 (字串,選用)
- -scopeName
- 指定唯一識別管理範圍的名稱,例如:(cell):localhostNode01Cell. (字串,選用)
範例
批次模式下的用法範例:
- 使用 Jython 字串:
AdminTask.enableWritableKeyrings('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]') - 使用 Jython 清單:
AdminTask.enableWritableKeyrings(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])
互動模式下的用法範例:
- 使用 Jython:
AdminTask.enableWritablekeyrings('-interactive')
convertSSLConfig 指令
convertSSLConfig 指令會將現有的 SSL 配置移轉至 SSL 配置的新配置物件格式。
必要參數
- -sslConversionOption
- 指定系統如何轉換 SSL 配置。 指定CONVERT_SSLCONFIGS值,將 SSL 配置物件從先前的 SSL 配置物件轉換成新的 SSL 配置物件。 指定CONVERT_TO_DEFAULT值,將 SSL 配置轉換成集中式 SSL 配置,這也會從伺服器移除 SSL 配置直接參照。
選用參數
無。範例
批次模式下的用法範例:
- 使用 Jython 字串:
AdminTask.convertSSLConfig('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]') - 使用 Jython 清單:
AdminTask.convertSSLConfig(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])
互動模式下的用法範例:
- 使用 Jython:
AdminTask.convertSSLConfig('-interactive')
convertSSLCertifates 指令
convertSSLCertificates 指令會將 SSL 個人憑證轉換成以想要的簽章演算法所建立的個人憑證,或列出不是以想要的簽章演算法所建立的 SSL 個人憑證。
必要參數
無選用參數
- -convertSSLCertAction
- 指定 LIST 以列出未使用 -signatureAlgorithm 參數中指定的簽章演算法建立的憑證,或指定 REPLACE 以將未使用 -signatureAlgorithm 中提供的簽章演算法建立的 SSL 憑證取代為使用 -signatureAlgorithm 參數中指定的簽章演算法建立的憑證。 預設值為 LIST。
- -signatureAlgorithm
- 指定簽章演算法,以檢查並報告未使用它建立的個人憑證,或用來建立新個人憑證以取代未使用簽章演算法建立的個人憑證的簽章演算法。 有效的簽章演算法包括 SHA1withRSA、 SHA256withRSA、 SHA384withRSA、 SHA512withRSA、 SHA1withECDSA、 SHA256withECDSA、 SHA384withECDSA、 SHA512withECDSA。 預設值為 SHA256withRSA。
附註: 較強的簽章演算法需要備妥無限制原則檔,才能使用它們來建立,包括 SHA384 和 SHA512的簽章演算法。 如果要使用具有「橢圓曲線 (EC)」簽章演算法的憑證,您的 SSL 配置必須配置成使用它們。 它必須使用 TLSv1.2 通訊協定,且必須配置「橢圓曲線 (EC)」密碼。
範例
批次模式下的用法範例:
- 使用 Jython 字串:
AdminTask.convertSSLCertificates('[- convertSSLCertAction list -signatureAlgorithm SHA256withRSA') - 使用 Jython 清單:
AdminTask.convertSSLCertificates(['-convertSSLCertAction', 'list', '-signatureAlgorithm', 'SHA256withRSA'])
互動模式下的用法範例:
- 使用 Jython:
AdminTask.convertSSLCertificates('-interactive')