如果使用的是 Application Server 9.1,请通过执行以下命令导出 DAS 证书:
<appserver_install_dir>/lib/upgrade/pk12util -d <domain root>/config -o sjsas.p12-W <file password> -K <master password> -n s1as
如果使用的是 Application Server 9.1,请使用以下命令将 DAS 证书导入到 Web Server 实例中:
<webserver_install_dir>/bin/https/admin/bin/pk12util-i sjsas.p12 -d <webserver_install_dir>/alias -W<file password> -K <webserver security db password> -P <instance-name>-<hostname>-
<webserver_install_dir>/bin/https/admin/bin/certutil -M -n s1as -t "TCu" -d <webserver_install_dir>/alias -P <instance-name>-<hostname>-
这些命令将使 Application Server CA 成为受信任的 CA 以同时签署客户机证书和服务器证书。
如果使用的是 GlassFish v2,请从使用 NSS 安全工具 certutil 创建的 rfc 文件导入 DAS 证书。
<webserver_install_dir>/bin/certutil -A -a -n s1as -t "TCu" -i s1as.rfc -d <webserver_install_dir>/alias -P <instance-name>-<hostname>-
可以使用以下命令检查此证书是否存在,将列出 s1as 证书以及其他 CA 证书(包括默认的服务器证书)。确保在单行中键入命令。
<WS_INSTALL_ROOT>/bin/certutil -L -d <webserver_install_dir>/alias -P <instance-name>-<hostname>-
如果 obj.conf 不包含以下行,请在文件结尾附加它们。如果使用的是 Application Server 9.1,安装程序将自动执行此步骤。
<Object ppath="*lbconfigupdate*"> PathCheck fn="get-client-cert" dorequest="1" require="1" <Object> <Object ppath="*lbgetmonitordata*"> PathCheck fn="get-client-cert" dorequest="1" require="1" </Object>
可以使用在验证安装一节中提供的步骤从 DAS 验证上面的设置。可以使用任何其他 CA 和服务器证书,而不是使用本地 CA。在这种情况下,可以跳过上一节中列出的步骤 5 和 6,但是需要导入从其他 CA 获得的服务器证书。