以 SSL 方式使用 retrieveSigners 命令来启用服务器到服务器信任

可以将签署者证书添加到服务器的 trust.p12 文件中,从而允许该服务器与另一服务器进行安全通信。 在对 ssl.client.props 文件进行更改之后,可以使用 retrieveSigners 命令将签署者添加到服务器的 trust.p12 文件。

准备工作

如果服务器要作为客户机进行通信,那么必须识别该服务器,然后才能建立服务器到服务器信任。 应该对 ssl.client.props 文件进行更改,然后在作为客户机来通信的服务器上运行 retrieveSigners 命令。 如果两个服务器都将充当客户机,那么应该对这两个服务器都执行这些步骤。

有关此任务

ssl.client.props 文件在缺省情况下设为对客户机进行安全套接字层 (SSL) 通信配置。 这使 retrieveSigners 命令的缺省行为适用于客户机的 trust.p12 文件和 profile_root/etc 目录中的 key.p12 文件。 可以将签署者证书添加到服务器的 trust.p12 文件中,从而允许该服务器充当客户机以与另一服务器进行通信。 使用 retrieveSigners 命令将签署者添加到服务器的 trust.p12 文件时,需要对 ssl.client.props 文件进行更改。

过程

  1. 打开 ssl.client.props 文件。
    ssl.client.props 文件位于 profile_root/properties 目录中。
  2. 取消注释以 com.ibm.ssl.alias=AnotherSSLSettings 属性开头的 ssl.client.props 部分。
  3. 取消注释以 com.ibm.ssl.trustStoreName=AnotherTrustStore 属性开头的 ssl.client.props 部分。
  4. 输入应该添加签署者的信任库的位置。
    如果要将服务器信任库用于 Deployment Manager ,那么它位于 profile_root/config/cells/cell name/trust.p12中。 如果将信任库用于应用程序服务器,那么它位于 profile_root/config/cells/cell name/nodes/node name/trust.p12中。
  5. 在此部分中用与被使用信任库相关联的值来更新余下的属性。
    可以在 ssl.client.props 客户机配置文件中找到属性的描述。
  6. 可选: 取消注释和更新以 com.ibm.ssl.trustStoreName=AnotherKeyStore 属性开头的部分。
    大多数情况下,只需对信任库添加一个签署者。 本示例只对信任库添加一个签署者,但您还可以按步骤 3 至步骤 5 中对信任库所执行的操作那样,通过更新属性将签署者添加到密钥库中。
  7. 保存对 ssl.client.props所作的更改。
  8. 运行 retrieveSigners 命令。
    有关更多信息,请参阅有关 retrieveSigners 命令的页面。
    retrieveSigners NodeDefaultTrustStore AnotherTrustStore -host ademyers.austin.ibm.com -port 8879

    示例输出:
    CWPKI0308I: Adding signer alias "default_1" to local keystore
                     "AnotherTrustStore" with the following SHA digest:
                     F4:71:97:79:3E:C1:DC:E7:9F:8F:3D:F0:A0:15:1E:D1:44:73:2C:06

结果

在成功完成上述步骤后, 充当客户机的服务器将具有其他服务器的签署证书。 这将允许该服务器建立与其他服务器的 SSL 连接。

示例

本示例显示了 ssl.client.props 文件的已修改部分,假设使用的是服务器的 trust.p12 文件。 只要为现有信任库提供了这些属性,那么可以使用该信任库。
#-------------------------------------------------------------------------
com.ibm.ssl.alias=AnotherSSLSettings
com.ibm.ssl.protocol=SSL_TLS
com.ibm.ssl.securityLevel=HIGH
com.ibm.ssl.trustManager=IbmX509
com.ibm.ssl.keyManager=IbmX509
com.ibm.ssl.contextProvider=IBMJSSE2
com.ibm.ssl.enableSignerExchangePrompt=true
#com.ibm.ssl.keyStoreClientAlias=default
#com.ibm.ssl.customTrustManagers=
#com.ibm.ssl.customKeyManager=
#com.ibm.ssl.dynamicSelectionInfo=
#com.ibm.ssl.enabledCipherSuites=

# KeyStore information
#com.ibm.ssl.keyStoreName=AnotherKeyStore
#com.ibm.ssl.keyStore=${user.root}/etc/key.p12
#com.ibm.ssl.keyStorePassword={xor}CDo9Hgw=
#com.ibm.ssl.keyStoreType=PKCS12
#com.ibm.ssl.keyStoreProvider=IBMJCE
#com.ibm.ssl.keyStoreFileBased=true

# TrustStore information
com.ibm.ssl.trustStoreName=AnotherTrustStore
com.ibm.ssl.trustStore=${user.root}/config/cells/localhostCell01/trust.p12
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw=
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStoreProvider=IBMJCE
com.ibm.ssl.trustStoreFileBased=true

下一步做什么?

在添加签署者后,编辑 ssl.client.props 文件以取消对用于添加签署者证书的部分的注释。