更新内部签名证书
您可以使用管理图形用户界面或命令行界面(CLI)为系统创建一个内部签名证书。
注: 在更新证书之前,请考虑以下因素:
- 更新证书会使您退出当前管理 GUI 会话,需要全新登录。 对于支持信任检查链的功能部件,在更新内部签名证书时不会中断安全连接。
- IBM® Security Guardium® Key Lifecycle Manager密钥服务器目前不支持使用 IBM Storage Virtualize 进行信任链检查。 必须将新的内部签名证书导出到密钥服务器以重新建立安全连接。
- 如果您正在使用 IBM Security Verify 多因子认证,那么更新证书后,需要使用多因子认证的用户无法登录到管理 GUI。 必须使用 CLI 导出新的内部签名证书,并将其作为新的签署者证书添加到 IBM Security Verify 以成功认证。
使用 管理 GUI
要配置内部签名证书,请完成以下步骤:
- 如果尚未导出根证书,请将根证书导出到需要与系统进行安全通信的其他系统, Web 浏览器和设备。 有关更多信息,请参阅 导出证书。
- 在管理 GUI 中,选择 。
- 在 "系统证书" 页面上,将显示当前证书详细信息。注: 系统不支持创建新的自签名证书。 如果您当前使用自签名证书,那么可以继续使用该证书,直到其到期,或者生成内部签名证书或外部签名证书。
- 自动更新系统证书
如果系统证书由系统根 CA 签署,那么可以自动更新该系统证书。 通过转至 并将自动更新设置为 开启来开启自动更新。 系统证书的缺省有效期为一年。 如果自动更新为 开启,那么系统证书将在到期日期前 30 天更新。 如果系统证书的有效期少于 30 天,那么证书将每 8 小时更新一次。
更新后的证书包含与先前证书相同的所有字段值,密钥类型和有效期详细信息。
- 从图标菜单中,选择 更新证书。
- 选择 内部签名证书 作为证书类型。
- 如果您已在使用证书,那么将自动填充 证书详细信息 。 您可以更新以下任何详细信息:
- 键类型
- 选择用于生成证书的密钥类型。
- 有效期天数
- 输入证书有效的天数。 允许的最大天数为 9000。
- 国家或地区
- 输入两个字母的国家或地区代码或位置,例如, 01 表示美国。
- 状态
- 输入请求证书的系统所在的状态的名称。
- 市/县/区
- 输入系统所在城市的名称。
- 组织名称
- 输入组织的名称。
- 组织单元
- 输入组织单元的名称。
- 公共名称
- 输入证书的公共名称。
- 主题备用名称
- 主题备用名称是系统的主机名。
Web 浏览器以及使用证书认证的其他功能部件需要 主体替代名称,这是公用密钥证书的因特网标准的扩展。 主题备用名称 扩展用于匹配域名和站点证书,可以是电子邮件地址, IP 地址, URI 或 DNS 名称。 证书可包含这些值的集合,以便您可以在多个站点上使用此证书。
主题备用名称 字段可以包含集群或 DNS 名称的管理 IP 地址,集群或 DNS 名称中每个节点的服务 IP 地址以及为 IP 复制配置的任何 IP 地址。
例如,如果系统的管理 DNS 名称为 cluster.company.com,服务 DNS 名称为 node1.company.com 和 node2.company.com,请在 主题备用名称 字段中输入这些值。 对于多个值,请在主题备用名称字段框中列出所有这些值(每行一个值):DNS:cluster.company.com DNS:node1.company.com DNS:node2.company.com IP:196.192.0.20 - 电子邮件地址
- 输入电子邮件地址。
- 单击更新。 将在主面板中更新证书。
如果使用当前不支持信任链检查的 IBM Security Guardium Key Lifecycle Manager ,请导出新系统证书并将其安装在密钥服务器上。
如果将 多因子认证 与使用系统证书作为签署者证书的 IBM Security Verify 配合使用,请导出新系统证书并将其作为签署者证书安装在 IBM Security Verify中。 在添加新证书之前,管理 GUI 不可用,因此必须使用 CLI 来导出新证书。
使用命令行界面 (CLI)
使用以下步骤在命令行界面中生成内部签名证书。
要生成使用 RSA 2048 密钥类型并在一年内到期的内部签名证书,请输入以下命令:
chsystemcert -mksystemsigned -commonname virtualize -country GB -locality Manchester -org IBM -orgunit Systems -email certificates@support.ibm.com -keytype rsa2048 -validity 365 -subjectalternativename "DNS:test.ibm.com"注: 必须使用 -subjectalternativename 参数来包含管理主机名或 IP 地址。
例如,要向主题备用名称扩展添加 DNS 名称,请在 chsystemcert CLI 命令中包含以下参数: -subjectalternativename
"DNS:dns.mysystem.com" 对于多个值,请使用建议的定界符来分隔 -subjectalternativename 参数的每个条目。
定界符可以混合:
有关受支持的定界符的更多信息,请参阅 chsystemcert CLI 命令。
定界符可以混合:
| 定界符名称 | 符号 | 示例 |
|---|---|---|
| 空间 | (空格) | -subjectalternativename "DNS:dns.myco.com IP:1.2.3.20 URI:http:\\www.myco.com email:support@myco.com" |
| 逗号 | (,) | -subjectalternativename "DNS:dns.myco.com,IP:1.2.3.20,URI:http:\\www.myco.com,email:support@myco.com" |
| 分号 | (;) | -subjectalternativename "DNS:dns.myco.com;IP:1.2.3.20;URI:http:\\www.myco.com;email:support@myco.com" |
| Newline (适用于 Linux® 或 UNIX 操作系统) | (\n) | -subjectalternativename "DNS:dns.myco.com\nIP:1.2.3.20\nURI:http:\\www.myco.com\nemail:support@myco.com" |
| Tab (针对 Linux 或 UNIX 操作系统) | (\t) | -subjectalternativename "DNS:dns.myco.com\tIP:1.2.3.20\tURI:http:\\www.myco.com\temail:support@myco.com" |
| 回车符 (针对 Windows 操作系统) | (\r) | -subjectalternativename "DNS:dns.myco.com\rIP:1.2.3.20\rURI:http:\\www.myco.com\remail:support@myco.com" |
| 带有换行符的回车符 (对于 Windows 操作系统) | (\r\n) | -subjectalternativename "DNS:dns.myco.com\r\nIP:1.2.3.20\r\nURI:http:\\www.myco.com\r\nemail:support@myco.com" |