Sostituzione del certificato autofirmato con risposta di certificato da autorità di certificazione

Creare una richiesta di firma del certificato (CSR) per il server di sessione e inviarla all'autorità di certificazione (CA) prescelta. Quando si riceve il certificato firmato dall'autorità di certificazione, procedere nel modo seguente:

Importare il certificato/la catena firmato/a nell'archivio chiavi del server di sessione.

È possibile eseguire questo task utilizzando KeyStore Explorer o le istruzioni da riga di comando di Java Keytool. Indipendentemente dallo strumento prescelto, se CA Reply contiene file separati per il certificato radice e il certificato intermedio, importare nell'archivio chiavi prima il certificato radice, quindi il certificato intermedio.

Con KeyStore Explorer

Aprire keystore.bcfks in KeyStore Explorer. Utilizzare la password changeit.
Se sono disponibili file separati per il certificato radice e intermedio, nella barra degli strumenti selezionare Import Trusted Certificate per importare i certificati.
Selezionare la coppia di chiavi servlet-engine. Fare clic con il pulsante destro del mouse e selezionare Import CA Reply (Importa CA Reply) per importare il file nella coppia di chiavi.
Se richiesto, immettere la password changeit.
Passare alla posizione in cui è memorizzato il file CA Reply, selezionarlo e fare clic su Import.

Con Java Keytool

In questi esempi vengono utilizzati i comandi di keytool nella directory sessionserver\etc.

Per Windows:

Importare certificati CA radice e certificati intermedi

  ..\..\java\bin\keytool.exe -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit ..\..\java\bin\keytool.exe -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

Importare CA Reply

  ..\..\java\bin\keytool.exe -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

Per Unix:

Importare certificati CA radice e certificati intermedi

  ../../java/bin/keytool -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider ../../java/bin/keytool -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

Importare CA Reply

  ../../java/bin/keytool -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

Confermare l'attendibilità del nuovo certificato in MSS.
- Eseguire il login a MSS come amministratore.
- Nel pannello a sinistra fare clic su Configure Settings (Configura impostazioni) > Trusted Certificates (Certificati attendibili).
- Selezionare Trusted Sub-System (Sottosistema attendibile). L'elenco contiene i certificati che MSS considera attendibili.
- Fare clic su IMPORT (IMPORTA) per aggiungere il certificato del server di sessione all'elenco.
- Non è necessario ripetere la procedura per ciascun MSS. Le modifiche vengono replicate automaticamente negli altri MSS del cluster.

Nella guida di Administrative Console sono disponibili informazioni dettagliate: Trusted Certificates (Certificati attendibili)..