以 SSL 方式使用 retrieveSigners 命令来启用服务器到服务器信任
可以将签署者证书添加到服务器的 trust.p12
文件中,从而允许该服务器与另一服务器进行安全通信。 在对 ssl.client.props
文件进行更改之后,可以使用 retrieveSigners 命令将签署者添加到服务器的 trust.p12
文件。
准备工作
ssl.client.props
文件进行更改,然后在作为客户机来通信的服务器上运行 retrieveSigners 命令。 如果两个服务器都将充当客户机,那么应该对这两个服务器都执行这些步骤。有关此任务
ssl.client.props
文件在缺省情况下设为对客户机进行安全套接字层 (SSL) 通信配置。 这使 retrieveSigners 命令的缺省行为适用于客户机的 trust.p12
文件和 profile_root/etc
目录中的 key.p12
文件。 可以将签署者证书添加到服务器的 trust.p12
文件中,从而允许该服务器充当客户机以与另一服务器进行通信。 使用 retrieveSigners 命令将签署者添加到服务器的 trust.p12
文件时,需要对 ssl.client.props
文件进行更改。过程
结果
示例
ssl.client.props
文件的已修改部分,假设使用的是服务器的 trust.p12
文件。 只要为现有信任库提供了这些属性,那么可以使用该信任库。#-------------------------------------------------------------------------
com.ibm.ssl.alias=AnotherSSLSettings
com.ibm.ssl.protocol=SSL_TLS
com.ibm.ssl.securityLevel=HIGH
com.ibm.ssl.trustManager=IbmX509
com.ibm.ssl.keyManager=IbmX509
com.ibm.ssl.contextProvider=IBMJSSE2
com.ibm.ssl.enableSignerExchangePrompt=true
#com.ibm.ssl.keyStoreClientAlias=default
#com.ibm.ssl.customTrustManagers=
#com.ibm.ssl.customKeyManager=
#com.ibm.ssl.dynamicSelectionInfo=
#com.ibm.ssl.enabledCipherSuites=
# KeyStore information
#com.ibm.ssl.keyStoreName=AnotherKeyStore
#com.ibm.ssl.keyStore=${user.root}/etc/key.p12
#com.ibm.ssl.keyStorePassword={xor}CDo9Hgw=
#com.ibm.ssl.keyStoreType=PKCS12
#com.ibm.ssl.keyStoreProvider=IBMJCE
#com.ibm.ssl.keyStoreFileBased=true
# TrustStore information
com.ibm.ssl.trustStoreName=AnotherTrustStore
com.ibm.ssl.trustStore=${user.root}/config/cells/localhostCell01/trust.p12
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw=
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStoreProvider=IBMJCE
com.ibm.ssl.trustStoreFileBased=true
下一步做什么?
ssl.client.props
文件以取消对用于添加签署者证书的部分的注释。