创建认证中心请求

要确保安全套接字层 (SSL) 通信，服务器需要自签名的或由外部认证中心 (CA) 链接或签署的个人证书。您必须首先创建个人证书请求以获取由 CA 签署的证书。

准备工作

包含个人证书请求的密钥库必须已存在。

备用方法: 要使用 wsadmin 工具创建证书请求，请使用 AdminTask 对象的 createCertificateRequest 命令。有关更多信息，请参阅“AdminTask 对象的 CertificateRequestCommands 命令组”一文。

避免麻烦: 在使用 WebSphere® Application Server 来创建 CA 请求之前，请确保您知道正在使用的 CA 的需求。从管理控制台启动 WebSphere Application Server SSL CA 证书请求过程时，未将 "组织" 属性标记为必需设置。但是，当您从某些 CA（例如 VeriSign）请求证书时，Organization 属性是必需设置。

有关此任务

在管理控制台中完成下列步骤：

过程

单击安全性 > SSL 证书和密钥管理 > 密钥库和证书 > 密钥库。
单击个人证书请求 > 新建。
输入证书请求文件的完整路径。
将在此位置创建证书请求。
在密钥标签字段中输入别名。

别名标识密钥库中的证书请求。

创建证书请求时，将从证书别名中除去任何空空间。具有空空间的证书别名可能导致 Java™ 版本之间的兼容性问题。
输入公共名 (CN) 值。
此值是证书专有名称 (DN) 中的 CN 值。
您可以配置下列一个或多个可选值：
- 选择密钥大小值。有效密钥大小值为 512、1024、2048、4096 和 8192。缺省密钥大小值为 2048 位。
- 输入组织值。此值是证书 DN 中的 O 值。
  注: 如果在组织值中指定 (，) 逗号，那么逗号必须用双引号 (") 括起或使用反斜杠 (\) 进行转义。如果专有名称字符串值包含逗号并且未以此方式指定，那么组织值将作为无效名称出错。以下示例中提供了正确的规范:
  - 指定 X 和 Y 服务公司作为: "X and Y Services, Inc." OR X and Y Services\, Inc.
  - 将 X ， Y 和 Z Company 指定为: "X, Y, and Z Company" OR X\, Y\, and Z Company
- 输入组织单位值。此组织单位值是证书 DN 中的 OU 值。
  注: 如果在组织单元值中指定 (，) 逗号，那么逗号必须用双引号 (") 括起或使用反斜杠 (\) 进行转义。如果专有名称字符串值包含逗号并且未以此方式指定，那么组织单元值将作为无效名称出错。以下示例中提供了正确的规范:
  - 将 Sales 和 Distribution 指定为: "Sales, Distribution" OR Sales\, Distribution
  - 将 "库存" ， "控制" 和 "市场营销" 指定为: "Inventory, Control, and Marketing" 或 Inventory\, Control\, and Marketing
- 输入地区值。此地区值是证书 DN 中的 L 值。
- 输入州或省值。此值是证书 DN 中的 ST 值。
- 输入邮政编码值。 “邮政编码”值是证书 DN 中的 POSTALCODE 值。
- 从列表选择国家或地区值。此“国家/地区”值是证书请求 DN 中的 C= 值。
- 选择签名算法。缺省值为 RSAwithSHA256。
- 选择证书的一个或多个密钥用法。缺省情况下，不包含任何内容。
- 为证书选择一个或多个扩展密钥用途。缺省情况下，不包含任何内容。
- 输入要作为证书主题备用名称的一部分的电子邮件地址。
- 输入 DNS 名称以作为证书主体替代名称的一部分。
- 输入要作为证书主题备用名称一部分的 IP 地址。
单击应用。

结果

在密钥库中指定的文件位置创建了证书请求。在手动接收密钥库中的证书前，该请求充当已签署证书的临时占位符。

注: 密钥库工具 (例如 iKeyman 和 keyTool) 无法接收由来自 WebSphere Application Server的证书请求生成的签名证书。同样， WebSphere Application Server 无法接受由来自其他密钥库实用程序的证书请求生成的证书。

重要信息: 对于已到期的证书链或已到期的认证中心 (CA) 证书链，您需要更新整个链。您必须生成具有各个签署者证书的新证书链。对于 CA 证书链，这可能需要导入新的证书链，通常通过新的证书请求文件 (CSR)。

下一步做什么？

现在您可以将 CA 签署的证书接收到密钥库中以完成为服务器生成已签署证书的过程。