匯出及匯入 Sun Java System Web Server 6.1 的 DAS 憑證

1. 若是使用 Application Server 9.1，請執行下列指令來匯出 DAS 憑證：

   <appserver_install_dir>/lib/upgrade/pk12util -d <domain root>/config -o sjsas.p12-W
   <file password> -K <master password> -n s1as

   • 若是使用 GlassFish v2，則必須使用下列指令匯出 DAS 憑證：

     <JAVA_HOME>/bin/keytool -export -rfc -alias s1as -keystore
     <GLASSFISH_HOME>/domains/<DOMAIN_NAME>/config/keystore.jks-file s1as.rfc

     其中，<GLASSFISH_HOME> 表示 Application Server 安裝目錄，<DOMAIN_NAME> 則表示正在匯出其憑證的網域。

   • 將憑證檔案複製到 Web 伺服器配置目錄。

2. 若是使用 Application Server 9.1，請使用下列指令，將 DAS 憑證匯入到 Web 伺服器實例：

   <webserver_install_dir>/bin/https/admin/bin/pk12util-i sjsas.p12 -d 
   <webserver_install_dir>/alias -W<file password> -K <webserver security db password> -P
   <instance-name>-<hostname>-

   <webserver_install_dir>/bin/https/admin/bin/certutil -M -n s1as -t "TCu"
   -d <webserver_install_dir>/alias -P <instance-name>-<hostname>-

   這些指令可將 Application Server CA 變成受信任的 CA，以便簽署用戶端憑證和伺服器憑證。

   • 若是使用 GlassFish v2，請從使用 certutil (NSS 安全性工具) 所建立的 rfc 檔案匯入 DAS 憑證。

     <webserver_install_dir>/bin/certutil -A -a -n s1as -t "TCu" -i s1as.rfc 
     -d <webserver_install_dir>/alias -P <instance-name>-<hostname>-

     您可以使用下列指令來檢查此憑證是否存在，它會列出 s1as 憑證與其他 CA 憑證，包括預設的伺服器憑證。請務必將此指令在單獨一行中鍵入。

     <WS_INSTALL_ROOT>/bin/certutil -L 
     -d <webserver_install_dir>/alias -P <instance-name>-<hostname>-

3. 如果 obj.conf 不含下列各行，請在檔案尾端加入這些行。若是使用 Application Server 9.1，則安裝程式會自動執行此步驟。

   <Object ppath="*lbconfigupdate*">
   PathCheck fn="get-client-cert" dorequest="1" require="1"
   <Object>
   <Object ppath="*lbgetmonitordata*">
   PathCheck fn="get-client-cert" dorequest="1" require="1"
   </Object>

4. 您可以使用確認設定一節中所提供的步驟，確認上述設定。您可以改用任何其他 CA 和伺服器憑證取代本機 CA。在這種情況下，您可以略過上一節中所示的步驟 5 和步驟 6，但需要匯入自其他 CA 所取得的伺服器憑證。