Sustituir el certificado autofirmado por la respuesta del certificado de la autoridad certificadora (CA)

  1. Cree una petición de firma del certificado (CSR) para el servidor de sesión y envíela a la CA de su elección. Cuando haya recibido el certificado firmado de la CA:

  2. Importe la cadena o el certificado firmados por la CA en el almacén de claves del servidor de sesión.

    Puede realizar estas tareas mediante las instrucciones de la línea de comandos de Java Keytool o KeyStore Explorer. Independientemente de la herramienta utilizada, si la respuesta de la CA contiene archivos de certificados raíz y de certificados intermedios independientes, importe primero el certificado raíz en el almacén de claves y, a continuación, el certificado intermedio.

    Mediante esta herramienta

    Realice la operación siguiente...

    KeyStore Explorer

    1. Abra keystore.bcfks en KeyStore Explorer. Utilice la contraseña changeit.

    2. Si se dispone de certificados raíz e intermedios separados, desde la barra de herramientas seleccione Importar certificado de confianza para importar certificados.

    3. Seleccione el par de claves servlet-engine. Haga clic derecho y seleccione Importar respuesta de CA para importar el archivo al par de claves.

    4. Si se le pide, introduzca la contraseña changeit.

    5. Navegue hasta la ubicación en la que esté guardado el archivo CA Reply, seleccione el archivo y haga clic en Importar.

    JavaKeytool

    Estos ejemplos utilizan el comando keytool en el directorio sessionserver/etc.

    Windows

    Importar certificados raíz de CA y certificados intermedios

    ..\..\java\bin\keytool.exe -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit

    ..\..\java\bin\keytool.exe -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

    Importar CA Reply

    ..\..\java\bin\keytool.exe -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

    JavaKeytool

    UNIX

     

    Importar certificados raíz de CA y certificados intermedios

    ../../java/bin/keytool -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

    ../../java/bin/keytool -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

    Importar CA Reply

    ../../java/bin/keytool -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

  3. Confíe en el nuevo certificado en MSS.

    • Como administrador, entre en MSS.

    • En el panel izquierdo, haga clic en Configurar parámetros > Certificados de confianza.

    • Seleccione Subsistema de confianza. La lista contiene los certificados que son de confianza para MSS.

    • Haga clic en IMPORTAR para añadir el certificado del servidor de sesión a la lista.

    • No es necesario repetir el procedimiento en cada instancia de MSS. Los cambios se replican automáticamente en otras instancias de MSS del clúster.

    En el tema General Security and Certificates (Seguridad general y certificados) de la Ayuda de la Consola Administrativa, se ofrece información detallada.