升级加密密钥强度

将服务器从 V6.0.1.1 或更低版本升级到高于 V6.0.1.1 的版本时,可以升级 SSL 加密。

关于此任务

此升级是可选的,但是它会增强服务器的安全性。

过程

  1. 升级服务器的 HTTPS 证书:
    1. 在服务器上,打开命令行窗口并转至 server_install/opt/tomcat/conf 文件夹,其中 server_install 是服务器安装文件夹。 缺省服务器安装目录是 /opt/ibm-ucd/server(在 Linux 上)和 C:\Program Files\ibm-ucd\server(在 Windows 上)。
    2. 使用以下命令删除现有证书:
      keytool -delete 
        -alias tomcat 
        -keystore tomcat.keystore 
        -storepass changeit
      注: 此示例以及下列示例中的每条命令必须写在一行上。
    3. 使用以下命令创建证书:
      keytool -genkey 
        -alias tomcat 
        -storepass changeit 
        -keypass changeit 
        -keyalg RSA 
        -sigalg SHA256withRSA 
        -keysize 2048 
        -validity 7305 
        -dname CN=host_name 
        -keystore tomcat.keystore
      对于 host_name,请使用服务器的主机名。
    4. 转至 server_install/conf 文件夹。
    5. 使用以下命令删除密钥库的现有条目:
      keytool -delete 
        -alias server 
        -keystore server.keystore 
        -storepass changeit
    6. 使用以下命令创建密钥库的条目:
      keytool -genkey 
        -alias server 
        -storepass changeit 
        -keypass changeit 
        -keyalg RSA 
        -sigalg SHA256withRSA 
        -keysize 2048 
        -validity 7305 
        -dname CN=host_name 
      -keystore tomcat.keystore
      对于 host_name,请使用服务器的主机名。
  2. 对于每个代理程序中继设备,使用以下步骤来升级该加密:
    1. 在命令行窗口中,转至 relay_install/conf/jms-relay 文件夹,其中 relay_install 是中继设备安装文件夹。
    2. 使用以下命令删除代理程序中继设备的密钥库中的现有条目:
      keytool -delete 
        -alias agentrelay 
        -keystore agentrelay.keystore 
        -storepass changeit
    3. 使用以下命令添加具有新加密级别的条目:
      keytool -genkey 
        -alias agentrelay 
        -keystore agentrelay.keystore 
        -storepass changeit 
        -keypass changeit 
        -keyalg RSA 
        -sigalg SHA256withRSA 
        -keysize 2048 
        -validity 7305 
        -dname CN=host_name
      对于 host_name,请使用服务器的主机名。
  3. 如果要在服务器与代理程序之间使用相互加密,请在每个代理程序上升级该加密:
    1. 在命令行窗口中,转至 agent_install/conf/jms-relay 文件夹,其中 agent_install 是代理程序安装文件夹。
    2. 使用以下命令删除代理程序的密钥库中的现有条目:
      keytool -delete 
        -alias alias 
        -keystore keystore_file 
        -storepass changeit
      alias 替换为代理程序密钥库中服务器证书的别名,keystore_file 是密钥库文件。密钥库文件的缺省名称为 ibm-ucd.keystore。要找到该别名,请运行以下命令并查找输出中的别名:
      keytool -list -v -keystore keystore_file
    3. 执行配置相互认证中的步骤,以将新的服务器证书添加到代理程序。

反馈