为 Sun Java System Web Server 6.1 导出和导入 DAS 证书

1. 如果使用的是 Application Server 9.1，请通过执行以下命令导出 DAS 证书：

   <appserver_install_dir>/lib/upgrade/pk12util -d <domain root>/config -o sjsas.p12-W
   <file password> -K <master password> -n s1as

   • 如果使用的是 GlassFish v2，必须使用以下命令导出 DAS 证书：

     <JAVA_HOME>/bin/keytool -export -rfc -alias s1as -keystore
     <GLASSFISH_HOME>/domains/<DOMAIN_NAME>/config/keystore.jks-file s1as.rfc

     其中，<GLASSFISH_HOME> 表示 Application Server 安装目录，<DOMAIN_NAME> 表示要导出其证书的域。

   • 将证书文件复制到 Web 服务器配置目录。

2. 如果使用的是 Application Server 9.1，请使用以下命令将 DAS 证书导入到 Web Server 实例中：

   <webserver_install_dir>/bin/https/admin/bin/pk12util-i sjsas.p12 -d 
   <webserver_install_dir>/alias -W<file password> -K <webserver security db password> -P
   <instance-name>-<hostname>-

   <webserver_install_dir>/bin/https/admin/bin/certutil -M -n s1as -t "TCu"
   -d <webserver_install_dir>/alias -P <instance-name>-<hostname>-

   这些命令将使 Application Server CA 成为受信任的 CA 以同时签署客户机证书和服务器证书。

   • 如果使用的是 GlassFish v2，请从使用 NSS 安全工具 certutil 创建的 rfc 文件导入 DAS 证书。

     <webserver_install_dir>/bin/certutil -A -a -n s1as -t "TCu" -i s1as.rfc 
     -d <webserver_install_dir>/alias -P <instance-name>-<hostname>-

     可以使用以下命令检查此证书是否存在，将列出 s1as 证书以及其他 CA 证书（包括默认的服务器证书）。确保在单行中键入命令。

     <WS_INSTALL_ROOT>/bin/certutil -L 
     -d <webserver_install_dir>/alias -P <instance-name>-<hostname>-

3. 如果 obj.conf 不包含以下行，请在文件结尾附加它们。如果使用的是 Application Server 9.1，安装程序将自动执行此步骤。

   <Object ppath="*lbconfigupdate*">
   PathCheck fn="get-client-cert" dorequest="1" require="1"
   <Object>
   <Object ppath="*lbgetmonitordata*">
   PathCheck fn="get-client-cert" dorequest="1" require="1"
   </Object>

4. 可以使用在验证安装一节中提供的步骤从 DAS 验证上面的设置。可以使用任何其他 CA 和服务器证书，而不是使用本地 CA。在这种情况下，可以跳过上一节中列出的步骤 5 和 6，但是需要导入从其他 CA 获得的服务器证书。