Ersetzen des eigensignierten Zertifikats mit der Zertifikatantwort der Zertifizierungsstelle (ZS)

Erstellen Sie einen Zertifizierungsantrag für den Sitzungsserver und senden Sie ihn an die ZS Ihrer Wahl. Nach dem Empfang des signierten Zertifikats von der Zertifizierungsstelle gehen Sie wie folgt vor:

Importieren Sie das ZS-signierte Zertifkat bzw. die Zertifikatskette in den Keystore des Sitzungsservers.

Sie können diese Aufgabe mit KeyStore Explorer oder mit den Java Keytool-Befehlszeilenanweisungen ausführen. Wenn die Antwort der Zertifizierungsstelle separate Dateien für das Stammzertifikat und das Zwischenzertifikat enthält, importieren Sie unabhängig vom verwendeten Werkzeug zunächst das Stammzertifikat und anschließend das Zwischenzertifikat in den Keystore.

Werkzeug	Vorgehensweise
Keystore Explorer	Öffnen Sie keystore.bcfks in KeyStore Explorer. Verwenden Sie das Passwort changeit. Wenn separate Dateien für das Stammzertifikat und das Zwischenzertifikat verfügbar sind, wählen Sie in der Symbolleiste die Option Vertrauenswürdiges Zertifikat importieren aus, um die Zertifikate zu importieren. Wählen Sie das Schlüsselpaar servlet-engine aus. Klicken Sie mit der rechten Maustaste, und wählen Sie Import CA Reply (Antwort der Zertifizierungsstelle importieren) aus, um die Datei in das Schlüsselpaar zu importieren. Geben Sie bei der entsprechenden Aufforderung das Passwort changeit ein. Navigieren Sie zu dem Speicherort, an dem die Datei mit der Antwort der Zertifizierungsstelle gespeichert ist, wählen Sie die Datei aus, und klicken Sie auf „Importieren“.
JavaKeytool In den folgenden Beispielen werden Keytool-Befehle im Verzeichnis sessionserver/etc verwendet.	Windows Importieren des Stammzertifizierungsstellenzertifikats und Zwischenzertifikats ..\..\java\bin\keytool.exe -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit ..\..\java\bin\keytool.exe -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider Importieren der Antwort der Zertifizierungsstelle ..\..\java\bin\keytool.exe -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

Werkzeug

Vorgehensweise

Keystore Explorer

Öffnen Sie keystore.bcfks in KeyStore Explorer. Verwenden Sie das Passwort changeit.
Wenn separate Dateien für das Stammzertifikat und das Zwischenzertifikat verfügbar sind, wählen Sie in der Symbolleiste die Option Vertrauenswürdiges Zertifikat importieren aus, um die Zertifikate zu importieren.
Wählen Sie das Schlüsselpaar servlet-engine aus. Klicken Sie mit der rechten Maustaste, und wählen Sie Import CA Reply (Antwort der Zertifizierungsstelle importieren) aus, um die Datei in das Schlüsselpaar zu importieren.
Geben Sie bei der entsprechenden Aufforderung das Passwort changeit ein.
Navigieren Sie zu dem Speicherort, an dem die Datei mit der Antwort der Zertifizierungsstelle gespeichert ist, wählen Sie die Datei aus, und klicken Sie auf „Importieren“.

JavaKeytool

In den folgenden Beispielen werden Keytool-Befehle im Verzeichnis sessionserver/etc verwendet.

Windows

Importieren des Stammzertifizierungsstellenzertifikats und Zwischenzertifikats

..\..\java\bin\keytool.exe -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit

..\..\java\bin\keytool.exe -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

Importieren der Antwort der Zertifizierungsstelle

..\..\java\bin\keytool.exe -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

JavaKeytool	UNIX
	Importieren des Stammzertifizierungsstellenzertifikats und Zwischenzertifikats ../../java/bin/keytool -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider ../../java/bin/keytool -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider Importieren der Antwort der Zertifizierungsstelle ../../java/bin/keytool -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

JavaKeytool

UNIX

Importieren des Stammzertifizierungsstellenzertifikats und Zwischenzertifikats

../../java/bin/keytool -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

../../java/bin/keytool -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

Importieren der Antwort der Zertifizierungsstelle

../../java/bin/keytool -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks –storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

Verbürgen Sie das neue Zertifikat in MSS.

Melden Sie sich als Administrator bei MSS an.
Klicken Sie im linken Bereich auf Configure Settings > Trusted Certificates (Einstellungen konfigurieren > Verbürgte Zertifikate).
Wählen Sie Trusted Sub-System (Vertrauenswürdiges Teilsystem) aus. Die Liste enthält die von MSS verbürgten Zertifikate.
Klicken Sie auf IMPORT (Importieren), um das Sitzungsserverzertifikat zur Liste hinzuzufügen.
Es ist nicht erforderlich, die Prozedur für jede MSS-Instanz zu wiederholen. Die Änderungen werden automatisch auf den anderen MSS-Instanzen im Cluster repliziert.

Ausführliche Informationen hierzu sind in der Hilfe der Verwaltungskonsole unter General Security and Certificates (Allgemeine Sicherheit und Zertifikate) verfügbar.