Sostituzione del certificato autofirmato con risposta di certificato da autorità di certificazione
- Creare una richiesta di firma del certificato (CSR) per il server di sessione e inviarla all'autorità di certificazione (CA) prescelta. Quando si riceve il certificato firmato dall'autorità di certificazione, procedere nel modo seguente:
-
Importare il certificato/la catena firmato/a nell'archivio chiavi del server di sessione.
È possibile eseguire questo task utilizzando KeyStore Explorer o le istruzioni da riga di comando di Java Keytool. Indipendentemente dallo strumento prescelto, se CA Reply contiene file separati per il certificato radice e il certificato intermedio, importare nell'archivio chiavi prima il certificato radice, quindi il certificato intermedio.
Con KeyStore Explorer
- Aprire
keystore.bcfks
in KeyStore Explorer. Utilizzare la password changeit. - Se sono disponibili file separati per il certificato radice e intermedio, nella barra degli strumenti selezionare Import Trusted Certificate per importare i certificati.
- Selezionare la coppia di chiavi servlet-engine. Fare clic con il pulsante destro del mouse e selezionare Import CA Reply (Importa CA Reply) per importare il file nella coppia di chiavi.
- Se richiesto, immettere la password changeit.
- Passare alla posizione in cui è memorizzato il file CA Reply, selezionarlo e fare clic su Import.
Con Java Keytool
In questi esempi vengono utilizzati i comandi di keytool nella directory
sessionserver\etc
.Per Windows:
Importare certificati CA radice e certificati intermedi
Importare CA Reply..\..\java\bin\keytool.exe -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit ..\..\java\bin\keytool.exe -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
java ..\..\java\bin\keytool.exe -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
Per Unix:
Importare certificati CA radice e certificati intermedi
Importare CA Reply../../java/bin/keytool -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider ../../java/bin/keytool -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
../../java/bin/keytool -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
- Aprire
-
Confermare l'attendibilità del nuovo certificato in MSS.
-
Eseguire il login a MSS come amministratore.
-
Nel pannello a sinistra fare clic su Configure Settings (Configura impostazioni) > Trusted Certificates (Certificati attendibili).
-
Selezionare Trusted Sub-System (Sottosistema attendibile). L'elenco contiene i certificati che MSS considera attendibili.
-
Fare clic su IMPORT (IMPORTA) per aggiungere il certificato del server di sessione all'elenco.
-
Non è necessario ripetere la procedura per ciascun MSS. Le modifiche vengono replicate automaticamente negli altri MSS del cluster.
-
Nella guida di Administrative Console sono disponibili informazioni dettagliate: Trusted Certificates (Certificati attendibili).