创建新 SSL 证书以替换单元中的现有证书

要替换整个单元中的缺省安全套接字层 (SSL) 证书,必须在根密钥库 DmgrDefaultRootStore 中创建新的自签名根证书,并将旧根证书替换为新根证书。

有关此任务

对于 CellDefaultKeyStore 中的单元的缺省证书和 NodeDefaultKeyStore 中的每个节点的缺省证书,请创建新的链式证书并将旧缺省证书替换为新证书。

The root certificate is created by default on WebSphere® Application Server, and has a subjectDN in the form cn=<hostname>, ou=Root Certificate, ou=<cell name>, ou=<node name>, o=ibm, c=us. 创建新根证书时,还可定制主题 DN。

要在管理控制台中创建新的 SSL 根证书,请执行以下操作:

过程

创建新的 SSL 根证书。

  1. 单击 安全性> SSL 证书和密钥管理> 密钥库和证书
  2. 在 "密钥库使用情况" 下拉列表下,选择 根证书密钥库
  3. 单击密钥库用法列表中的 DmgrDefaultRootStore
  4. 在 "其他属性" 下,选择 个人证书
  5. 在 "创建下拉列表" 下,选择 自签名证书
  6. 输入证书和别名。
    它可以是您选择的任何名称,只要该别名尚不存在。 它只是用于在密钥库中标识该证书的标签。
  7. 在“公共名称”字段中,输入安装了 WebSphere Application Server 的计算机的标准域名。
    它通常是正在运行该节点的主机名。
  8. 可选: 填写任何其他主题 DN 相关字段。
    如果您希望主体集 DN 类似于 WebSphere Application Server上的缺省 subjectDN ,请输入:
    • IBM(在“组织”字段中)。
    • <cell name>,ou=<node name>(在“组织单元”字段中)。
    • 在“国家或地区”下拉菜单中,选择美国
  9. 可对用于签署证书的根证书、密钥大小和有效期使用缺省值或提供您自己的值。
  10. 单击 应用> 保存
    注: 您还可以使用 createSelfSignedCertificate 命令创建自签名证书。 有关更多信息,请参阅“AdminTask 对象的 PersonalCertificateCommands 命令组”。

将旧根证书替换为您刚创建的根证书。

现在必须将旧根证书替换为您刚创建的证书。 替换证书选项不仅会将旧的缺省证书替换为新证书,还会将旧证书的签署者的所有实例替换为新证书的签署者。 系统还会检查配置以查找旧证书别名的引用并将其替换为新证书的别名。 要将旧证书替换为新证书,请完成余下步骤。

  1. 在 " 个人证书 " 页面中,选中旧根证书的复选框。
  2. 单击 替换
  3. 从“替换为”列表中,选择所创建的证书的别名。
  4. 选择 替换后删除旧证书
    要点: 请确保未选中 删除旧签署者 复选框。
  5. 单击 应用> 保存

在缺省单元密钥库 CellDefaultKeystore 中创建链式个人证书。

  1. 在 " 密钥库和证书 " 页面中,选择要更改的节点的 CellDefaultKeyStore
  2. 在 "其他属性" 下,选择 个人证书
  3. 选择节点的缺省证书,通常称为 default
  4. 单击 创建> 链式证书
  5. 在“别名”字段中,输入新的个人证书别名。
  6. 用于签署证书的根证书 下拉列表中,选择别名 root
  7. 在“公共名称”字段中,输入安装了 WebSphere Application Server 的计算机的标准域名。
  8. 单击 应用> 保存

在缺省单元密钥库 CellDefaulltKeystore 中替换个人证书。

  1. 在 " 个人证书 " 页面中,选择缺省复选框。
  2. 单击 替换
  3. 替换为 下拉列表中选择刚创建的新证书的证书别名。
  4. 选择 替换后删除旧证书
    要点: 请确保未选中 删除旧签署者 复选框。
  5. 单击 应用> 保存

下一步做什么?

还可替换节点中的缺省证书。 有关更多信息,请阅读“创建新 SSL 证书以替换节点中的现有证书”主题。