创建认证中心请求

要确保安全套接字层 (SSL) 通信，服务器需要自签名的或由外部认证中心 (CA) 链接或签署的个人证书。您必须首先创建个人证书请求以获取由 CA 签署的证书。

准备工作

包含个人证书请求的密钥库必须已存在。

替代方法：要使用 wsadmin 工具创建证书请求，请使用createCertificateRequest指挥AdminTask目的。有关更多信息，请参阅“AdminTask 对象的 CertificateRequestCommands 命令组”一文。

避免麻烦：使用前WebSphere® Application Server要创建 CA 请求，请确保您了解所用 CA 的要求。当。。。的时候WebSphere Application ServerSSL CA 证书请求过程从管理控制台启动，组织属性未标记为必需设置。但是，当您从某些 CA（例如 VeriSign）请求证书时，Organization 属性是必需设置。

有关此任务

在管理控制台中完成下列步骤：

过程

点击安全> SSL 证书和密钥管理>密钥库和证书>密钥库。
点击个人证书申请>新的。
输入证书请求文件的完整路径。
将在此位置创建证书请求。
在钥匙标签场地。

别名标识密钥库中的证书请求。

创建证书请求时，证书别名中的所有空格都会被删除。带有空格的证书别名可能会导致 Java™ 版本之间的兼容性问题。
输入公共名 (CN) 值。
此值是证书专有名称 (DN) 中的 CN 值。
您可以配置下列一个或多个可选值：
- 选择密钥大小值。有效密钥大小值为 512、1024、2048、4096 和 8192。缺省密钥大小值为 2048 位。
- 输入组织值。此值是证书 DN 中的 O 值。
  笔记：如果在组织值中指定 (,) 逗号，则逗号必须用双引号 (") 括起来或用反斜杠 (\) 转义。如果可分辨名称字符串值包含逗号且未以这种方式指定，则组织值会出错，因为名称无效。正确的规范如下：
  - 将 X and Y Services, Inc. 指定为："X and Y Services, Inc."或者X and Y Services\, Inc.
  - 将 X、Y 和 Z 公司指定为："X, Y, and Z Company"或者X\, Y\, and Z Company
- 输入组织单位值。此组织单位值是证书 DN 中的 OU 值。
  笔记：如果在组织单位值中指定 (,) 逗号，则必须将逗号括在双引号 (") 中或使用反斜杠 (\) 进行转义。如果可分辨名称字符串值包含逗号且未以这种方式指定，则组织单位值将作为无效名称而出错。正确的规范如下：
  - 将销售、分销指定为："Sales, Distribution"或者Sales\, Distribution
  - 将库存、控制和营销指定为："Inventory, Control, and Marketing"或者Inventory\, Control\, and Marketing
- 输入地区值。此地区值是证书 DN 中的 L 值。
- 输入州或省值。此值是证书 DN 中的 ST 值。
- 输入邮政编码值。 “邮政编码”值是证书 DN 中的 POSTALCODE 值。
- 从列表选择国家或地区值。此“国家/地区”值是证书请求 DN 中的 C= 值。
- 选择签名算法。默认值为RSAwithSHA256 。
- 为证书选择一个或多个密钥用途。默认情况下，不包括任何内容。
- 为证书选择一个或多个扩展密钥用途。默认情况下，不包括任何内容。
- 键入电子邮件地址作为证书主体备用名称的一部分。
- 键入作为证书主体备用名称一部分的 DNS 名称。
- 键入 IP 地址作为证书主体备用名称的一部分。
单击应用。

结果

在密钥库中指定的文件位置创建了证书请求。在手动接收密钥库中的证书前，该请求充当已签署证书的临时占位符。

笔记：密钥库工具（例如iKeyman和keyTool）无法接收由以下机构的证书请求生成的签名证书： WebSphere Application Server。相似地， WebSphere Application Server不能接受由其他密钥库实用程序的证书请求生成的证书。

重要的：对于过期的证书链或过期的证书颁发机构 (CA) 证书链，您需要更新全部的链。您必须生成包含各个签名者证书的新证书链。对于 CA 证书链，这可能需要导入新的证书链，通常通过新的证书请求文件 (CSR)。

下一步做什么？

现在您可以将 CA 签署的证书接收到密钥库中以完成为服务器生成已签署证书的过程。