Zum Inhalt

Eigensigniertes Zertifikat mit der Zertifikatantwort der Zertifizierungsstelle ersetzen

  1. Erstellen Sie einen Zertifizierungsantrag für den Sitzungsserver und senden Sie ihn an die Zertifizierungsstelle (ZS) Ihrer Wahl. Nach dem Empfang des signierten Zertifikats von der Zertifizierungsstelle gehen Sie wie folgt vor:

  2. Importieren Sie das ZS-signierte Zertifkat bzw. die Zertifikatskette in den Keystore des Sitzungsservers.

    Sie können diese Aufgabe mit KeyStore Explorer oder mit den Java Keytool-Befehlszeilenanweisungen ausführen. Wenn die Antwort der Zertifizierungsstelle separate Dateien für das Stammzertifikat und das Zwischenzertifikat enthält, importieren Sie unabhängig vom verwendeten Werkzeug zunächst das Stammzertifikat und anschließend das Zwischenzertifikat in den Keystore.

    Verwenden von KeyStore Explorer

    1. Öffnen Sie keystore.bcfks in KeyStore Explorer. Verwenden Sie das Passwort changeit.
    2. Wenn separate Dateien für das Stammzertifikat und das Zwischenzertifikat verfügbar sind, wählen Sie in der Symbolleiste die Option „Import Trusted Certificate“ (Verbürgtes Zertifikat importieren) aus, um die Zertifikate zu importieren.
    3. Wählen Sie das Schlüsselpaar „servlet-engine“ aus. Klicken Sie mit der rechten Maustaste und wählen Sie „Import CA Reply“ (Antwort der Zertifizierungsstelle importieren) aus, um die Datei in das Schlüsselpaar zu importieren.
    4. Geben Sie bei der entsprechenden Aufforderung das Passwort changeit ein.
    5. Navigieren Sie zu dem Speicherort, an dem die Datei mit der Antwort der Zertifizierungsstelle gespeichert ist, wählen Sie die Datei aus, und klicken Sie auf „Importieren“.

    Verwenden von Java Keytool

    In den folgenden Beispielen werden Keytool-Befehle im Verzeichnis sessionserver/etc verwendet.

    Für Windows:

    Stammzertifizierungsstellenzertifikat und Zwischenzertifikat importieren

   ..\..\java\bin\keytool.exe -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks storetype bcfks -storepass changeit

   ..\..\java\bin\keytool.exe -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
Antwort der Zertifizierungsstelle importieren

   ..\..\java\bin\keytool.exe -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

Für Unix:

Stammzertifizierungsstellenzertifikat und Zwischenzertifikat importieren

   ../../java/bin/keytool -importcert -alias rootca -trustcacerts -file <RootCA.cer> -keystore keystore.bcfks storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

   ../../java/bin/keytool -importcert -alias intermediateca -trustcacerts -file <IntermediateCA.cer> -keystore keystore.bcfks storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider
Antwort der Zertifizierungsstelle importieren

   ../../java/bin/keytool -importcert -alias servlet-engine -trustcacerts -file <CertChainFromCA.p7b> -keystore keystore.bcfks storetype bcfks -storepass changeit -providername BCFIPS -providerpath ../lib/bc-fips-*.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider

  1. Verbürgen Sie das neue Zertifikat in MSS.

    • Melden Sie sich als Administrator bei MSS an.

    • Klicken Sie im linken Bereich auf „Configure Settings > Trusted Certificates“ (Einstellungen konfigurieren > Verbürgte Zertifikate).

    • Wählen Sie „Trusted Sub-System“ (Verbürgtes Subsystem) aus. Die Liste enthält die von MSS verbürgten Zertifikate.

    • Klicken Sie auf „IMPORT“ (Importieren), um das Sitzungsserverzertifikat zur Liste hinzuzufügen.

    • Es ist nicht erforderlich, die Prozedur für jede MSS-Instanz zu wiederholen. Die Änderungen werden automatisch auf den anderen MSS-Instanzen im Cluster repliziert.

Eine ausführliche Hilfe ist in der Verwaltungskonsolenhilfe unter Trusted Certificates (Verbürgte Zertifikate) verfügbar.