将服务器从 V6.0.1.1 或更低版本升级到高于 V6.0.1.1 的版本时,可以升级 SSL 加密。
关于此任务
此升级是可选的,但是它会增强服务器的安全性。
过程
- 升级服务器的 HTTPS 证书:
- 在服务器上,打开命令行窗口并转至 server_install/opt/tomcat/conf 文件夹,其中 server_install 是服务器安装文件夹。 缺省服务器安装目录是 /opt/ibm-ucd/server(在
Linux 上)和 C:\Program Files\ibm-ucd\server(在 Windows 上)。
- 使用以下命令删除现有证书:
keytool -delete
-alias tomcat
-keystore tomcat.keystore
-storepass changeit
注: 此示例以及下列示例中的每条命令必须写在一行上。
- 使用以下命令创建证书:
keytool -genkey
-alias tomcat
-storepass changeit
-keypass changeit
-keyalg RSA
-sigalg SHA256withRSA
-keysize 2048
-validity 7305
-dname CN=host_name
-keystore tomcat.keystore
对于 host_name,请使用服务器的主机名。
- 转至 server_install/conf 文件夹。
- 使用以下命令删除密钥库的现有条目:
keytool -delete
-alias server
-keystore server.keystore
-storepass changeit
- 使用以下命令创建密钥库的条目:
keytool -genkey
-alias server
-storepass changeit
-keypass changeit
-keyalg RSA
-sigalg SHA256withRSA
-keysize 2048
-validity 7305
-dname CN=host_name
-keystore tomcat.keystore
对于 host_name,请使用服务器的主机名。
- 对于每个代理程序中继设备,使用以下步骤来升级该加密:
- 在命令行窗口中,转至 relay_install/conf/jms-relay 文件夹,其中 relay_install 是中继设备安装文件夹。
- 使用以下命令删除代理程序中继设备的密钥库中的现有条目:
keytool -delete
-alias agentrelay
-keystore agentrelay.keystore
-storepass changeit
- 使用以下命令添加具有新加密级别的条目:
keytool -genkey
-alias agentrelay
-keystore agentrelay.keystore
-storepass changeit
-keypass changeit
-keyalg RSA
-sigalg SHA256withRSA
-keysize 2048
-validity 7305
-dname CN=host_name
对于 host_name,请使用服务器的主机名。
- 如果要在服务器与代理程序之间使用相互加密,请在每个代理程序上升级该加密:
- 在命令行窗口中,转至 agent_install/conf/jms-relay 文件夹,其中 agent_install 是代理程序安装文件夹。
- 使用以下命令删除代理程序的密钥库中的现有条目:
keytool -delete
-alias alias
-keystore keystore_file
-storepass changeit
将 alias
替换为代理程序密钥库中服务器证书的别名,keystore_file 是密钥库文件。密钥库文件的缺省名称为
ibm-ucd.keystore。要找到该别名,请运行以下命令并查找输出中的别名:
keytool -list -v -keystore keystore_file
- 执行配置相互认证中的步骤,以将新的服务器证书添加到代理程序。