Saltar a contenido

Sustituir el certificado autofirmado por la respuesta del certificado de la autoridad certificadora

  1. Cree una petición de firma del certificado (CSR) para el servidor de sesión y envíela a la autoridad certificadora (CA) de su elección. Cuando haya recibido el certificado firmado de la CA:
  2. Importe la cadena o el certificado firmados por la CA en el almacén de claves del servidor de sesión.

    Puede realizar estas tareas mediante las instrucciones de la línea de comandos de Java Keytool o KeyStore Explorer. Independientemente de la herramienta utilizada, si la respuesta de la CA contiene archivos de certificados raíz y de certificados intermedios independientes, importe primero el certificado raíz en el almacén de claves y, a continuación, el certificado intermedio.

    • Utilizar el KeyStore Explorer

    • Abra keystore.bcfks en KeyStore Explorer. Utilice la contraseña changeit.

    • Si se dispone de certificados raíz e intermedios separados, desde la barra de herramientas seleccione Importar certificado de confianza para importar certificados.
    • Seleccione el par de claves servlet-engine. Haga clic derecho y seleccione Importar respuesta de CA para importar el archivo al par de claves.
    • Si se le pide, introduzca la contraseña changeit.
    • Navegue hasta la ubicación en la que esté guardado el archivo CA Reply, seleccione el archivo y haga clic en Importar.

    • Utilizar Java Keytool

    Estos ejemplos utilizan el comando keytool en el directorio sessionserver/etc.

    • Para Windows:

    Importar certificados raíz de CA y certificados intermedios

       ..\..\java\bin\keytool.exe -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks storetype bcfks -storepass changeit
       ..\..\java\bin\keytool.exe -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
    

    Importar CA Reply

      ..\..\java\bin\keytool.exe -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
    
    • En Unix:

    Importar certificados raíz de CA y certificados intermedios

      ../../java/bin/keytool -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
      ../../java/bin/keytool -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
    

    Importar CA Reply

      ../../java/bin/keytool -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
    
  3. Confíe en el nuevo certificado en MSS.

    • Como administrador, entre en MSS.

    • En el panel izquierdo, haga clic en Configurar parámetros > Certificados de confianza.

    • Seleccione Subsistema de confianza. La lista contiene los certificados que son de confianza para MSS.

    • Haga clic en IMPORTAR para añadir el certificado del servidor de sesión a la lista.

    • No es necesario repetir el procedimiento en cada instancia de MSS. Los cambios se replican automáticamente en otras instancias de MSS del clúster.

Puede encontrar información detallada en la Ayuda de la Consola Administrativa: Trusted Certificates (Certificados de confianza/).