AdminTask 对象的 SSLMigrationCommands 命令组
可以使用 Jython 或 Jacl 脚本语言来迁移密钥库配置。 使用 SSLMigrationCommands 组中命令来将自签名证书转换为链式个人证书以及启用可写密钥环。
AdminTask 对象的 SSLMigrationCommands 命令组包括以下命令:
convertSelfSignedCertificatesToChained 命令
convertSelfSignedCertificatesToChained 命令将特定自签名证书转换为链式个人证书。
注: 链式证书是 Websphere Application Server V7.0 中的缺省证书类型。 convertSelfSignedCertificatesToChained
命令从针对 DN、大小和使用期限等发出的自签名证书获取信息,并创建包含此信息的链式证书。 新的链式证书会替换自签名证书。 来自分布在安全性配置中的自签名证书的签署者证书会被替换为来自用于对链式证书进行签名的根证书的签署者证书。
语法
该命令使用以下语法:
wsadmin>$AdminTask convertSelfSignedCertificatesToChained
[-certificateReplacementOption ALL_CERTIFICATES | DEFAULT_CERTIFICATES | KEYSTORE_CERTIFICATES]
[-keyStoreName keystore_name]
[-keyStoreScope keystore_scope]
[-rootCertificateAlias alias_name]
必需参数
- 指定转换自签名证书替换选项。 (字符串,必需)请指定该参数的值作为下列其中一个选项:
可选参数
- keyStoreName
- 指定用于在其中查找要转换的自签名证书的密钥库的名称。 请将此参数与 certificateReplacementOption 参数的 KEYSTORE_CERTIFICATES 选项配合使用。 (字符串,可选)
- keyStoreScope
- 指定用于在其中查找要转换的自签名证书的作用域的名称。 (字符串,可选)
- rootCertificateAlias
- 指定要从用于对链式证书进行签名的缺省根库中使用的根证书。 缺省值为root. (字符串,可选)
示例
批处理方式示例用法:
- 使用 Jacl:
$AdminTask convertSelfSignedCertificatesToChained {-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS}
- 使用 Jython 字符串:
AdminTask.convertSelfSignedCertificatesToChained('[-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS]')
- 使用 Jython 列表:
AdminTask.convertSelfSignedCertificatesToChained(['-certificateReplacementOption', 'ALL_CERTIFICATES', '-keyStoreName', 'testKS'])
提示: 要确保迁移成功,请转至 security.xml 文件并将 dynamicallyUpdateSSLConfig 的缺省值更改为false在文件中。 有关更多信息,请参阅 SSL 主题中的 "动态配置更新"。
交互方式示例用法:
- 使用 Jacl:
$AdminTask exchangeSigners {-interactive}
- 使用 Jython:
AdminTask.exchangeSigners('-interactive')
enableWritableKeyrings 命令
enableWritableKeyrings 命令修改密钥库和启用可写 SAF 支持。 在迁移期间,系统会使用此命令。 该命令会为 SSL 密钥库的控制区域和服务方区域密钥环创建其他可写密钥库对象。
必需参数
- -keyStoreName
- 指定唯一地标识要删除的密钥库的名称。 (字符串,必需)
可选参数
- -controlRegionUser
- 指定要用于启用可写密钥环的控制区域用户。 (字符串,可选)
- -servantRegionUser
- 指定要启用可写密钥环的服务方区域用户。 (字符串,可选)
- -scopeName
- 指定唯一标识管理作用域的名称,例如:(cell):localhostNode01Cell. (字符串,可选)
示例
批处理方式示例用法:
- 使用 Jython 字符串:
AdminTask.enableWritableKeyrings('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
- 使用 Jython 列表:
AdminTask.enableWritableKeyrings(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])
交互方式示例用法:
- 使用 Jython:
AdminTask.enableWritablekeyrings('-interactive')
convertSSLConfig 命令
convertSSLConfig 命令将现有 SSL 配置迁移至 SSL 配置的新配置对象格式。
必需参数
- -sslConversionOption
- 指定系统转换 SSL 配置的方式。 指定CONVERT_SSLCONFIGS值,用于将 SSL 配置对象从先前的 SSL 配置对象转换为新的 SSL 配置对象。 指定CONVERT_TO_DEFAULT用于将 SSL 配置转换为集中式 SSL 配置的值,这还会从服务器中除去直接引用的 SSL 配置。
可选参数
无。示例
批处理方式示例用法:
- 使用 Jython 字符串:
AdminTask.convertSSLConfig('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
- 使用 Jython 列表:
AdminTask.convertSSLConfig(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])
交互方式示例用法:
- 使用 Jython:
AdminTask.convertSSLConfig('-interactive')
convertSSLCertificates 命令
convertSSLCertificates 命令将 SSL 个人证书转换为使用所需要的签名算法创建的个人证书,或者列示不是使用所需要的签名算法创建的 SSL 个人证书。
必需参数
无可选参数
- -convertSSLCertAction
- 指定 LIST 以列示不是使用在 -signatureAlgorithm 参数中所指定的签名算法创建的证书,或者指定 REPLACE 以将不是使用在 -signatureAlgorithm 中所提供的签名算法创建的 SSL 证书替换为使用在 -signatureAlgorithm 参数中所指定的签名算法创建的 SSL 证书。 缺省值为 LIST。
- -signatureAlgorithm
- 指定签名算法,用来检查和报告哪些个人证书不是使用该签名算法创建的;或者指定签名算法,用来创建新的个人证书以替换不是使用该签名算法创建的个人证书。 有效的签名算法包括 SHA1withRSA、SHA256withRSA、SHA384withRSA、SHA512withRSA、SHA1withECDSA、SHA256withECDSA、SHA384withECDSA 和 SHA512withECDSA。 缺省值为 SHA256withRSA。
注: 更强的签名算法将要求不受限的策略文件到位,以便使用这些策略文件 (包括 SHA384 和 SHA512的签名算法) 进行创建。 要使用采用椭圆曲线 (EC) 签名算法的证书,SSL 配置需要配置为使用这些签名算法。 它必须使用 TLSv1.2 协议,并且必须配置椭圆曲线 (EC) 密码。
示例
批处理方式示例用法:
- 使用 Jython 字符串:
AdminTask.convertSSLCertificates('[- convertSSLCertAction list -signatureAlgorithm SHA256withRSA')
- 使用 Jython 列表:
AdminTask.convertSSLCertificates(['-convertSSLCertAction', 'list', '-signatureAlgorithm', 'SHA256withRSA'])
交互方式示例用法:
- 使用 Jython:
AdminTask.convertSSLCertificates('-interactive')