Verwalten der Domäne › Verwalten von Zertifikaten › Implementieren Ihres vertrauenswürdigen SSL-Zertifikats eines Drittanbieters

Implementieren Ihres vertrauenswürdigen SSL-Zertifikats eines Drittanbieters

CA Process Automation unterstützt Drittanbieter-Sicherheitszertifikate für den HTTPS-Webzugriff und das Signieren von JAR-Dateien. Sie können solche Zertifikate von einer Drittanbieter-Zertifizierungsstelle erhalten.

Gehen Sie folgendermaßen vor:

1. Entscheiden Sie sich für ein Zertifikatskennwort, und rufen Sie ein Sicherheitszertifikat von einer Zertifizierungsstelle ab.
2. Importieren Sie unter Verwendung der Anweisungen der Zertifizierungsstelle das Zertifikat in einen Schlüsselspeicher. 

   Normalerweise verwenden Sie einen Befehl wie keytool –import –alias meinAlias –file certfile –keystore  "Pfad-_und_Dateiangaben_für_Schlüsselspeicher".

3. Geben Sie für das Schlüsselspeicherkennwort von der Zertifizierungsstelle bereitgestellte Zertifikatskennwort ein.
4. Rufen Sie eine verschlüsselte Version des Schlüsselspeicherkennworts ab.
   1. Navigieren Sie zu "Installationsverzeichnis\server\c2o".
   2. Suchen Sie das Kennwortverschlüsselungsskript ("PasswordEncryption.bat" für Windows, "PasswordEncryption.sh" für UNIX und Linux).
   3. Führen Sie "PasswordEncryption <zu_verschlüsselndes_Kennwort>" aus.
   4. Speichern Sie den langen verschlüsselten Wert, der für die Eingabe in der Eigenschaftsdatei zurückgegebenen wird.
5. Stoppen Sie den Koordinationsrechner.
6. Sichern und bearbeiten Sie die Oasis-Konfigurationseigenschaftsdatei, um Folgendes hinzuzufügen oder zu aktualisieren:
   1. itpam.web.keystorepath zum Speicherort des Schlüsselspeichers mithilfe des vollqualifizierten Pfades und Dateinamens für die Schlüsselspeicherdatei.
   2. itpam.web.keystore.password mit dem verschlüsselten Schlüsselspeicher-Kennwort (setzen Sie verschlüsselte Kennwortwerte nicht in Anführungszeichen)
   3. itpam.web.keystorealias zu dem Alias, der verwendet wird, um auf das Zertifikat im Schlüsselspeicher zu verweisen ("meinAlias" in den Beispielen).
7. Signieren Sie JAR-Dateien, indem Sie "SignC2OJars" ("SignC2OJars.bat" für Windows, "SignC2OJars.sh" für UNIX und Linux) mit CA Process Automation in "Installationsverzeichnis\server\c2o" ausführen. Führen Sie "SignC2oJars" ohne Parameter aus, um die JAR-Dateien zu signieren. Wenn das eingegebene Schlüsselspeicherkennwort nicht mit dem Zertifikatskennwort übereinstimmt, geben Sie das Zertifikatskennwort bei jeder JAR-Signierung ein.

   Hinweis: Unter AIX besteht ein bekanntes Problem, wenn Sie eine JAR-Datei mithilfe von "SignC2OJars" erneut signieren. Um dieses Problem zu umgehen, müssen Sie die Signierung der JAR-Dateien manuell aufheben, indem Sie die *.SF- und *.RSA-Dateien im Ordner "META-INF" für jedes Java-Archiv entfernen, bevor Sie "SignC2OJars" ausführen.

8. Wenn der Schlüsselspeicher mehr als einen Alias enthält, ändern Sie die Connector-Eingabe in "server.xml". Die Datei "server.xml" befindet sich unter "<Installationsverzeichnis>\server\c2o\deploy\jbossweb-tomcat55.sar\server.xml". Fügen Sie die Zeile in Fettschrift hinzu:

   <Connector port="${tomcat.secure.port}" address="${jboss.bind.address}"
   

   maxThreads="100" strategy="ms" maxHttpHeaderSize="8192"
   emptySessionPath="true"
   scheme="https" secure="true" clientAuth="false" 
   keystoreFile="${itpam.web.keystorepath}"
   keyAlias="${itpam.web.keystorealias}"
   keystorePass="${itpam.web.keystore.password}" sslProtocol = "${SSL_PROTOCOL}" algorithm = "${X509_ALGORITHM}" useBodyEncodingForURI="true"/>
   

9. Starten Sie den Koordinationsrechner.
10. Wiederholen Sie diesen Vorgang für jeden Koordinationsrechner, der das neue Zertifikat verwenden soll.

Weitere Informationen:

Oasis-Konfigurationseigenschaftsdatei