如何在伙伴群集中安装证书

本步骤引用群集 cluster-paris 中的节点 phys-paris-1 和 phys-paris-2 以及群集 cluster-newyork 中的节点 phys-newyork-1 和 phys-newyork-2。

开始之前

确保已安装了下列 Network Security Services 软件包：

• SUNWpr，4.5.0 版

• SUNWprx

• SUNWtls，3.9.4 版

• SUNWtlsu

步骤

1. 在每个群集的一个节点上，即群集 cluster-paris 的节点 phys-paris-1 和群集 cluster-newyork 的节点 phys-newyork-1 上完成以下任务：

   1. 以超级用户身份登录到群集的一个节点上。

   2. 停止通用代理载体。

      # /opt/SUNWcacao/bin/cacaoadm stop

   3. 重新生成 JSSE/NSS 密钥和证书。

      该步骤创建一个名为 /etc/opt/SUNWcacao/security/nss/localca/localca.cert 的文件。在读取密钥时，localca.cert 文件用作临时存储。

      # /opt/SUNWcacao/bin/cacaoadm create-keys

   要删除本地密钥库中所有的其他密钥，请使用 --force 选项。如果您使用 --force 选项，则在您完成本步骤后，必须重新添加这些密钥。

   如果您想避免覆写密钥，则可以使用 --directory 选项在一个不同于默认安全目录的目录中生成该文件。但是，通用代理载体仅使用默认目录中的密钥，因此您需要稍后将生成的密钥添加至默认目录中的该文件。

   一旦群集配置完毕，就不要再执行 create-keys --force 命令。否则您先前配置的证书将会丢失。

   有关重新生成通用代理载体的密钥和证书的详细信息，请参阅《Sun Cluster System Administration Guide for Solaris OS》中的“How to Configure a New Security Certificate”。

2. 在节点 phys-paris-1 和 phys-newyork-1 之间交换本地证书授权。

   1. 将目录切换到节点 phys-paris-1 的证书目录。

      phys-paris-1# cd /etc/opt/SUNWcacao/security/nss/localca

   2. 将证书文件 localca.cert 从节点 phys-paris-1 复制到节点 phys-newyork-1。

      该步骤将 localca.cert 文件重命名为 localca.cert.cluster-paris，以提示该文件来自哪个群集。

      phys-paris-1# rcp localca.cert \ phys-newyork-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-paris

   3. 切换到节点 phys-newyork-1 的目标目录（您复制文件的目标位置）。

      phys-newyork-1# cd /etc/opt/SUNWcacao/security/jsse

   4. 将证书从 localca.cert.cluster-paris 文件导入节点 phys-newyork-1 的本地密钥库。

      本步骤将公共密钥从 cluster-paris 群集载入 cluster-newyork 群集的 phys-newyork-1 节点。

      ---

      注 –

      要执行该步骤，您必须位于 /etc/opt/SUNWcacao/security/jsse 目录中。

      ---

      phys-newyork-1# keytool -import -v -alias cluster-paris -keystore truststore \ -file localca.cert.cluster-paris

      keytool 命令中的 truststore 参数，是步骤 b 的复制操作中目标目录下的文件。 -alias 选项指定远程群集（证书在此生成）的名称。

      当系统提示您键入密钥库密码时，请键入 trustpass。trustpass 密码是由通用代理载体提供的非保密密码。truststore 参数保留了公共和专用对的公共密钥，因此不需要绝对保密。

      在系统询问您是否信赖该证书时，键入 yes。

   5. 检验是否已将证书正确地添加到密钥库。

      phys-newyork-1# keytool -list -v -keystore truststore

3. 在节点 phys-newyork-1 和 phys-paris-1 之间交换本地证书授权。

   1. 将目录切换到节点 hys-newyork-1 的证书目录。

      phys-newyork-1# cd /etc/opt/SUNWcacao/security/nss/localca

      要导入的证书位于名为 localca.cert 的文件中。

   2. 将证书文件从节点 phys-newyork-1 复制到节点 phys-paris-1。

      该步骤将 localca.cert 重命名为 localca.cert.cluster-newyork，以提示该文件来自哪个群集。

      # rcp localca.cert \ phys-paris-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-newyork

   3. 切换到节点 phys-paris-1 的目标目录（您复制文件的目标位置）。

      phys-paris-1# cd /etc/opt/SUNWcacao/security/jsse

   4. 将证书导入节点 phys-paris-1 的本地密钥库。

      ---

      注 –

      要执行该步骤，您必须位于 /etc/opt/SUNWcacao/security/jsse 目录中。

      ---

      phys-paris-1# keytool -import -v -alias cluster-newyork -keystore truststore \ -file localca.cert.cluster-newyork

      keytool 命令中的 truststore 参数，是步骤 b 的复制操作中目标目录下的文件。 -alias 选项指定远程群集（证书在此生成）的名称。

      当系统提示您键入密钥库密码时，请键入 trustpass。trustpass 密码是由通用代理载体提供的非保密密码。truststore 参数保留了公共和专用对的公共密钥，因此不需要绝对保密。

      在系统询问您是否信赖该证书时，键入 yes。

   5. 检验是否已将证书正确地添加到密钥库。

      phys-paris-1# keytool -list -v -keystore truststore

4. 将节点 phys-paris-1 上的 /etc/opt/SUNWcacao/security/ 目录及其所有子目录，复制到群集 cluster-paris 中除该节点以外的所有其他节点的 /etc/opt/SUNWcacao/ 目录下。

   phys-paris-2# cd /etc/opt/SUNWcacao phys-paris-2# rcp -r phys-paris-1:/etc/opt/SUNWcacao/security .

5. 将节点 phys-newyork-1 上的 /etc/opt/SUNWcacao/security/ 目录及其所有子目录，复制到群集 cluster-newyork 中除该节点以外的所有其他节点的 /etc/opt/SUNWcacao/ 目录下。

   phys-newyork-2# cd /etc/opt/SUNWcacao phys-newyork-2# rcp -r phys-newyork-1:/etc/opt/SUNWcacao/security .

6. 在所有群集的每个节点上检验是否已正确地添加了证书。

   ---

   注 –

   复制安全性目录之后，在一个群集的所有节点上运行 keytool list 命令，您会发现其输出信息中本地和远程密钥的值相同。远程群集的所有节点的密钥值均相同，但是本地和远程标记将会互换。

   ---

   # cd /etc/opt/SUNWcacao/security/jsse # keytool -list -v -keystore truststore

7. 重新启动所有群集的每个节点上的通用代理载体。

   # /opt/SUNWcacao/bin/cacaoadm start