test

Sun Java System Web Server 7.0 管理员指南

管理证书

请求证书

证书中包含的数字数据指定了个人、公司或其他实体的名称,并证明证书中包含的公钥属于该个人。启用 SSL 的服务器必须具有证书,客户机有无证书均可。

证书由证书授权机构(即 CA)颁发并进行数字签名。CA 可以是通过 Internet 销售证书的公司,也可以是负责为您公司的内联网或外部网颁发证书的部门。您可以将您充分信任的 CA 确定为其他用户身份的检验器。

您可以请求证书并将其提交到证书授权机构 (Certificate Authority, CA)。如果公司有自己的内部 CA,则可以向其申请证书。如果打算从商业 CA 处购买证书,请选择一个 CA 并索要所需的特定格式信息。您还可以为服务器创建自签名证书。自签名证书不适用于面向 Internet 的部署,但对于开发和测试却很有帮助,因为它们使您在无需 CA 介入的情况下即可设置测试服务器。

如上所述,证书包含实体(此例中为 Web 服务器)的公钥。公钥是根据特定的算法而生成(证书中还对该算法类型进行了编码)。下一节介绍有关 Web Server 对其密钥支持的算法类型的背景。

Procedure请求证书

  1. 单击“服务器证书”选项卡 >“请求”按钮。

  2. 选择配置

    从需要为其安装证书的配置列表中选择一个配置。

  3. 选择令牌

    选择包含密钥的令牌(加密设备)。如果密钥存储在由 Sun Java System Web Server 7.0 维护的本地密钥数据库中,请选择内部令牌。如果密钥存储在智能卡或者其他外部设备或引擎中,请从下拉式列表框中选择外部令牌的名称。输入选定令牌的密码。

  4. 输入详细信息

    开始请求过程之前,请确保您了解 CA 所需的信息。无论是从商业 CA 还是内部 CA 请求服务器证书,都需要提供以下信息:

    • 服务器名必须是在 DNS 查找中使用的全限定主机名(例如,www.sun.com)。这是浏览器用于连接至您站点的 URL 中的主机名。如果这两个名称不匹配,客户机将收到证书名称与站点名称不匹配的通知,并怀疑您的证书的真实性。

      如果从内部 CA 申请证书,也可以在此字段中输入通配符或正则表达式。多数供应商都不会批准在通用名称中输入通配符或正规表达式的证书请求。

    • 组织是公司、教育机构、合作伙伴等的正式而合法的名称。多数 CA 需要您使用法律文档(例如营业执照副本)来验证此信息。

    • 组织单位是用于说明公司中组织的可选字段。也可以用于标注不太正式的公司名称(不带 Inc.Corp. 等等)。

    • 地址是通常用于说明组织所在的城市、公国的可选字段。

    • 省/自治区/直辖市为可选字段。

    • 国家/地区是必填的,即您所在国家/地区名称的两个字符的缩写(以 ISO 格式)。美国的国家代码为 US。

    所有这些信息组合为一系列属性值对(称为标识名 [DN]),用于形成证书的主题。

  5. 选择证书选项

    您必须提供密钥信息。您可以选择 RSA 或 ECC 密钥类型。如果密钥类型为 RSA,则密钥大小可以为 1024、2048 或 4098。如果密钥类型为 ECC,则您还需要选择曲线。请谨记,生成新的密钥对需要花费时间。密钥长度越长,向导生成它所需的时间越长。

    注意 – 注意 –

    请务必选择 CA(稍后会向其提交签署请求)可以支持的密钥类型。

  6. 选择证书类型

    为自签名证书或 CA 签署的证书选择证书签署授权机构 (Certificate Signing Authority, CSA)。如果选择自签名证书,则还可以关联证书的 HTTP 侦听器。也可以在以后执行此操作。

  7. 生成请求

    如果是 CA 签名证书,生成的证书请求将以 ASCII 格式提供。如果是自签名证书,则生成的证书将直接安装。如果为自签名类型,请为昵称、有效期(月份)和 HTTP 侦听器名称提供相应的值以便处理安全请求。

  8. 查看结果

    此页面为您提供了选定选项的摘要。单击“完成”可以完成请求的生成。

    注 –

    使用 CLI

    要通过 CLI 请求证书,请执行以下命令:


    wadm> create-cert-request --user=admin --password-file=admin.pwd 
--host=serverhost --port=8989 --config=config1 --server-name=servername.org 
--org=sun --country=ABC --state=DEF --locality=XYZ --token=internal

    请参见 CLI 参考 create-cert-request(1)

安装证书

从 CA 获取证书后,您可以使用管理控制台为配置安装此证书。

Procedure安装证书

  1. 单击“服务器证书”选项卡 >“安装”按钮。

  2. 选择配置

    从需要为其安装证书的配置列表中选择一个配置。

  3. 选择令牌

    选择包含密钥的令牌(加密设备)。如果密钥存储在由 Sun Java System Web Server 7.0 维护的本地密钥数据库中,请选择内部令牌。如果密钥存储在智能卡或者其他外部设备或引擎中,请从下拉式列表框中选择外部令牌的名称。输入选定令牌的密码。

  4. 输入证书数据

    将证书文本粘贴到所提供的文本区域中。复制并粘贴文本时,请确保包含标头 "Begin Certificate" 和 "End Certificate",其中包含起始和终止连字符。您也可以单击“浏览”按钮并手动选择 .DER 文件。

  5. 提供证书详细信息

    提供将用于此证书的昵称。从可用列表中选择 HTTP 侦听器以便处理安全请求。

  6. 查看结果

    此页面为您提供了选定选项的摘要。单击“完成”可以完成安装过程。

    注 –

    使用 CLI

    要通过 CLI 安装证书,请执行以下命令:


    wadm> install-cert --user=admin --port=8989  --password-file=admin.pwd 
--config=config1 --token=internal --cert-type=server --nickname=cert1 cert.req

    其中 cert.req 包含证书数据。

    请参见 CLI 参考 install-cert(1)

更新证书

要更新现有证书,请执行以下步骤:

Procedure更新证书

  1. 单击“服务器证书”选项卡>“证书名”>“更新”按钮。

  2. 提供令牌信息

    输入令牌密码(如果需要)。否则,单击“下一步”继续进行操作。

  3. 更新证书详细信息

    查看证书详细信息,并提供有效期(以月份为单位)。

  4. 更新密钥信息

    您可以选择 RSA 或 ECC 密钥类型。如果密钥类型为 RSA,则密钥大小可以为 1024、2048 或 4098。如果密钥类型为 ECC,则您还需要选择曲线。请谨记,生成新的密钥对需要花费时间。

  5. 查看摘要

    此页面为您提供了选定选项的摘要。单击“完成”以完成更新过程。

删除证书

要删除证书,请执行以下任务:

Procedure删除证书

  1. 单击“服务器证书”选项卡。

  2. 选择证书

    从证书列表中选择相应的证书名。

  3. 删除证书

    单击“删除”按钮以删除选定证书。

    注 –

    使用 CLI

    要通过 CLI 删除证书,请执行以下命令:


    wadm> delete-cert --user=admin --port=8989  --password-file=admin.pwd 
--token=internal --config=config1 cert1

    请参见 CLI 参考 delete-cert(1)

更新 Administration Server 证书

要更新管理服务器证书,请执行 CLI 命令 renew-admin-certs。使用此命令可更新昵称为 Admin-CA-Cert Admin-Server-CertAdmin-Client-Cert 的管理认证。此命令还可以更新当前正在运行且使用更新的证书可以访问的节点。

执行此命令后,建议重新启动管理服务器和节点,以便新证书能够生效。如果在更新证书的过程中,节点处于脱机状态(未运行或由于网络问题无法访问),必须重新注册该节点。要更新管理服务器证书,请执行以下命令:


wadm> renew-admin-certs --user=admin --password-file=admin.pwd --host=serverhost 
--port=8989 --validity=120

请参见 CLI 参考 renew-admin-certs(1)