Sustituir el certificado autofirmado por la respuesta del certificado de la autoridad certificadora
- Cree una petición de firma del certificado (CSR) para el servidor de sesión y envíela a la autoridad certificadora (CA) de su elección. Cuando haya recibido el certificado firmado de la CA:
-
Importe la cadena o el certificado firmados por la CA en el almacén de claves del servidor de sesión.
Puede realizar estas tareas mediante las instrucciones de la línea de comandos de Java Keytool o KeyStore Explorer. Independientemente de la herramienta utilizada, si la respuesta de la CA contiene archivos de certificados raíz y de certificados intermedios independientes, importe primero el certificado raíz en el almacén de claves y, a continuación, el certificado intermedio.
-
Utilizar el KeyStore Explorer
-
Abra
keystore.bcfks
en KeyStore Explorer. Utilice la contraseña changeit. - Si se dispone de certificados raíz e intermedios separados, desde la barra de herramientas seleccione Importar certificado de confianza para importar certificados.
- Seleccione el par de claves servlet-engine. Haga clic derecho y seleccione Importar respuesta de CA para importar el archivo al par de claves.
- Si se le pide, introduzca la contraseña changeit.
-
Navegue hasta la ubicación en la que esté guardado el archivo CA Reply, seleccione el archivo y haga clic en Importar.
-
Utilizar Java Keytool
Estos ejemplos utilizan el comando keytool en el directorio
sessionserver/etc
.- Para Windows:
Importar certificados raíz de CA y certificados intermedios
..\..\java\bin\keytool.exe -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit ..\..\java\bin\keytool.exe -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
Importar CA Reply
..\..\java\bin\keytool.exe -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
- En Unix:
Importar certificados raíz de CA y certificados intermedios
../../java/bin/keytool -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider ../../java/bin/keytool -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
Importar CA Reply
../../java/bin/keytool -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
-
-
Confíe en el nuevo certificado en MSS.
-
Como administrador, entre en MSS.
-
En el panel izquierdo, haga clic en Configurar parámetros > Certificados de confianza.
-
Seleccione Subsistema de confianza. La lista contiene los certificados que son de confianza para MSS.
-
Haga clic en IMPORTAR para añadir el certificado del servidor de sesión a la lista.
-
No es necesario repetir el procedimiento en cada instancia de MSS. Los cambios se replican automáticamente en otras instancias de MSS del clúster.
-
Puede encontrar información detallada en la Ayuda de la Consola Administrativa: Trusted Certificates (Certificados de confianza/).