创建概要文件期间的证书选项

从 WebSphere® Application Server V 7.0开始,您可以在创建概要文件期间使用与服务器的缺省证书和根证书相关的多个选项。

新的证书选项使您能够:
  • 导入服务器的缺省证书
  • 导入服务器的根证书
  • 定制服务器的缺省证书 subjectDN 和有效期
  • 定制服务器的根证书 subjectDN 和有效期

在创建概要文件期间,有两个新面板可用,使您能够作出有关服务器的缺省证书和根证书的决策。

第一个名为 "安全证书 (第 1 部分)" 的面板使您能够选择导入证书或让 WebSphere Application Server 为您创建服务器的缺省证书或缺省根证书。

名为 "安全证书 (第 2 部分)" 的第二个面板显示从上一个面板导入的证书中的信息,或者如果选择让 WebSphere Application Server 创建证书,那么允许您更改 subjectDN 和证书有效期。

还可以使用 manageprofile 命令以及从静默安装响应文件定制证书。

在创建概要文件期间导入服务器的缺省证书

如果在创建概要文件期间导入了服务器的缺省证书,那么在独立应用程序服务器上会将此证书添加至 NodeDefaultKeyStore,在 Deployment Manager 上会将其添加至 CellDefaultKeyStore。 已导入的证书签署者已添加至 NodeDefaultTrustStore 或 CellDefaultTrustStore。

要导入服务器的缺省证书,您必须已存储个人证书以及您可以访问的密钥库。 您必须知道该密钥库的位置、类型和密码。 在“安全证书(第 1 部分)”面板上,请执行下列操作:
  1. 选择导入现有缺省个人证书
  2. 输入或者选择密钥库文件名。
  3. 输入密钥库的密码。
  4. 从下拉列表中选择密钥库类型。
  5. 如果您在前三个步骤中已经正确填写了所有信息,那么您能够从下拉列表中选择证书别名。

您选择的证书已导入到服务器的缺省密钥库。 下一个面板“安全证书(第 2 部分)”将显示 issuedTo 和 issuedBy 证书信息。

如果您使用 manageprofiles 命令来导入缺省证书,那么可以选择下列选项:
-importPersonalCertKS keystore_path
密钥库文件位置
-importPersonalCertKSType keystore_type
密钥库的类型
-importPersonalCertKSPassword keystore_password
用于打开密钥库的密码
-importPersonalCertKSAlias keystore_alias
密钥库中使用的证书的别名

在创建概要文件期间导入服务器的根证书

如果在创建概要文件期间导入了服务器的根证书,那么在独立应用程序服务器上会将此证书添加至 NodeDefaultRootStore,在 Deployment Manager 上会将其添加至 DmgrDefaultRootStore。 从已导入的根证书中拉取签署者并将其添加至 NodeDefaultTrustStore 或 CellDefaultTrustStore。 根证书由 WebSphere Application Server 用于对其创建的任何链式证书进行签名。 如果在创建概要文件期间未提供缺省证书,那么 WebSphere Application Server 将使用根证书来签署服务器的缺省证书。

要导入服务器的缺省证书,您必须已存储个人证书以及您可以访问的密钥库。 您必须知道该密钥库的位置、类型和密码。 在“安全证书(第 1 部分)”面板上,请执行下列操作:
  1. 选择导入现有根签名证书
  2. 输入或者选择密钥库文件名。
  3. 输入密钥库的密码。
  4. 从下拉列表中选择密钥库类型。
  5. 如果您在前三个步骤中已经正确填写了所有信息,那么您能够从下拉列表中选择证书别名。

您选择的证书已导入到服务器的根密钥库。 下一个面板“安全证书(第 2 部分)”将显示 issuedTo 和 issuedBy 证书信息。

如果您使用 manageprofiles 命令来导入根证书,那么可以选择下列选项:
-importSigninglCertKS keystore_path
密钥库文件位置
-importSigningCertKSType keystore_type
密钥库的类型
-importSigningCertKSPassword keystore_password
用于打开密钥库的密码
-importSigningCertKSAlias keystore_alias
密钥库中使用的证书的别名

定制 WebSphere Application Server 创建的缺省证书

如果选择让 WebSphere Application Server 创建服务器的缺省证书,那么可以定制主体集专有名称 (DN) 和证书的生命周期。

要在“安全证书(第 1 部分)”面板上定制服务器的缺省证书,请执行下列操作:

  1. 选择创建新的缺省个人证书
  2. 在下一个面板 "安全证书 (部件 2)" 上, "发放到专有名称" 字段包含 WebSphere Application Server 缺省 DN。 请将此 DN 替换为您定制的 DN。
  3. 在“到期时间段(按年计)”中,选择您希望证书保持有效的年数。
如果您使用 manageprofiles 命令来定制缺省证书,那么可以选择下列选项:
-personalCertDN distinguished_name
要为证书指定的 DN
-personalCertValidityPeriod validity_period
要为证书指定的有效期范围

定制 WebSphere Application Server 创建的根证书

如果选择让 WebSphere Application Server 创建根证书,那么可以定制证书的 DN 和证书的寿命。

要在“安全证书(第 1 部分)”面板上定制服务器的根证书,请执行下列操作:
  1. 选择创建新的根签名证书
  2. 在下一个面板 "安全证书 (部件 2)" 上, "由专有名称发放" 字段包含 WebSphere Application Server 缺省根证书 DN。 请将此 DN 替换为您定制的 DN。
  3. 在“到期时间段(按年计)”中,选择您希望根证书保持有效的年数。

如果您使用 manageprofiles 命令来定制根证书,那么可以选择下列选项:
-signingCertDN distinguished_name
要为根证书指定的 DN
-signingCertValidityPeriod validity_period
要为根证书指定的有效期范围