![[8.5.5.4 或更高版本]](../ng_v8554.gif)
动态路由选择命令
setup、genPluginCfg 和 genKeystore dynamicRouting 命令操作用于生成插件配置和密钥库文件。进行初始设置后,可随时使用 genPluginCfg dynamicRouting 命令操作重新生成 plugin-cfg.xml 文件。例如,对新控制器启用动态路由选择功能部件或添加新 Web 服务器时。genKeystore dynamicRouting 命令操作用于生成密钥库文件。每个 dynamicRouting 命令操作都支持联机帮助。
setup
setup dynamicRouting 命令以 PKCS12 或 JKS 格式生成密钥库及一个或多个 WebSphere® 插件配置文件。此密钥库包含个人证书及 memberRoot 和 controllerRoot 签署者证书,它们允许在 WebSphere 插件与动态路由选择服务间安全通信。同一密钥库还用于向 Liberty 集合体成员中的应用程序发送 HTTPS 请求。插件配置文件包含 <IntelligentManagement> 节,该节在 WebSphere 插件中启用智能管理。<IntelligentManagement> 节包含表示集合体的一个 <ConnectorCluster> 节。对于启用了动态路由选择功能部件的每个控制器,<ConnectorCluster> 节包含一个 <Connector> 节。
要获取命令帮助,请发出 <Controller root>/bin/dynamicRouting help setup,这会显示以下内容:
描述
setup dynamicRouting 命令生成密钥库,此密钥库包含在动态路由选择服务与客户机之间进行安全通信时所需的个人证书和签署者证书。它还会生成带有 <IntelligentManagement> 节的 WebSphere 插件配置文件,该节将在 WebSphere 插件中启用智能管理。
用法
dynamicRouting setup [options]
选项
- --host=name
- 必需。目标集合体控制器的主机名。
- --password[=pwd]
- 必需。目标集合体控制器的管理员用户的密码。如果未定义值,那么系统会提示您进行定义。
- --port=num
- 必需。目标集合体控制器的 HTTPS 端口号。
- --user=name
- 必需。目标集合体控制器的管理员用户。
- --pluginInstallRoot=path
- 必需。Web 服务器主机上的 WebSphere 插件根目录的标准路径。
- --webServerNames=webServerName[,webServerName1]
- 必需。需要对其生成 WebSphere 插件配置文件的 Web 服务器的名称(名称之间以逗号分隔)。
- --keystorePassword[=pwd]
- 必需。所生成密钥库的密码。如果已指定但未定义值,那么系统会提示您进行定义。
- --keystoreType=type
- 可选。所生成密钥库的类型。缺省类型为 JKS。有效值为 JKS 和 PKCS12。
- --certificateSubject=DN
- 可选。所生成 SSL 证书的 DN。缺省 DN 为 CN=<<value of --user argument>>,OU=client,O=ibm,C=us
可通过将 JVM 属性 com.ibm.websphere.dynamicRouting.utility.autoAcceptCertificates 设置为 true 以自动信任 SSL 证书。
以下是带所有必需参数运行时的命令输出:
./dynamicRouting setup --port=9444 --host=controller1.acme.com --user=admin --password=password --keystorePassword=keypass --pluginInstallRoot=/opt/HTTPServer_Plugins --webServerNames=webServer1,webServer2 --keystoreType=PKCS12
Generating WebSphere plug-in configuration files for web servers webServer1, webServer2
Auto-accepting the certificate chain for target server.
Certificate subject DN: CN=admin, OU=controller1, O=ibm, C=us
Successfully completed MBean request to the controller.
Successfully generated WebSphere plug-in configuration files plugin-cfg-webServer1.xml, plugin-cfg-webServer2.xml
Generating keystore for web servers webServer1, webServer2
Auto-accepting the certificate chain for target server.
Certificate subject DN: CN=admin, OU=controller1, O=ibm, C=us
Successfully completed MBean request to the controller.
Successfully generated keystore plugin-key.p12.
Generated WebSphere plug-in configuration files plugin-cfg-webServer1.xml, plugin-cfg-webServer2.xml for web servers webServer1, webServer2.
Also generated keystore file plugin-key.p12 that enables secure communication between the Dynamic Routing service and clients..
The file contains personal certificate issued to DN CN=admin,OU=client,O=ibm,C=us. Ensure the admin user exists in the user registry and has a role assigned.
If you are using quick start security, add the following line to the controller server.xml file and update the password:
<quickStartSecurity user="admin" "password=""/>
If you are using basic registry, add the following lines to the controller server.xml file and update the password:
<basicRegistry id="basic" realm="ibm/api">
<user name="admin" password=""/>
</basicRegistry>
<administrator-role>
<user>admin</user>
</administrator-role/>
Copy the WebSphere plug-in configuration file to the directory specified in the WebSpherePluginConfig directive in the IBM HTTP Server httpd.conf file. Copy keystore file plugin-key.p12 to a directory on the web server host, and run "gskcmd" to convert the keystore to CMS format and to set personal certificate as the default.
For example:
gskcmd -keydb -convert -pw <<password>> -db /tmp/plugin-key.p12 -old_format pkcs12 -target /tmp/plugin-key.kdb -new_format cms -stash
gskcmd -cert -setdefault -pw <<password>> -db /tmp/plugin-key.kdb -label default
Copy resulting /tmp/plugin-key.kdb, .sth, .rdb files to the directory /opt/HTTPServer_Plugins/config/webServer1
genPluginCfg
此操作生成插件配置文件。每个插件配置文件包含 <IntelligentManagement> 节,该节启用插件的智能管理功能部件。<IntelligentManagement> 节包含一个 <ConnectorCluster> 节,该包含表示集合体。对于启用了动态路由选择功能部件的每个控制器,<ConnectCluster> 节包含一个 <Connect> 节。系统对 --webServerNames 参数指定 Web 服务器名称(名称之间以逗号分隔)。例如,如果指定了 --webServerNames=webServer1,webServer2,那么会生成 plugin-cfg-webServer1.xml 和 plugin-cfg-webServer2.xml 文件。
要获取在线帮助,请发出 <Controller root>/bin/dynamicRouting help genPluginCfg,这会显示以下信息:
描述
生成带 <IntelligentManagement> 节的 WebSphere 插件配置文件,该节将在 WebSphere 插件中启用智能管理。
用法
dynamicRouting genPluginCfg [options]
选项
- --host=name
- 必需。目标集合体控制器的主机名。
- --password[=pwd]
- 必需。目标集合体控制器的管理员用户的密码。如果未定义值,那么系统会提示您进行定义。
- --port=num
- 必需。目标集合体控制器的 HTTPS 端口号。
- --user=name
- 必需。目标集合体控制器的管理员用户。
- --pluginInstallRoot=path
- 必需。Web 服务器主机上的 WebSphere 插件根目录的标准路径。
- --webServerNames=webServerName[,webServerName1]
- 必需。需要对其生成 WebSphere 插件配置文件的 Web 服务器的名称(名称之间以逗号分隔)。
通过将 JVM 属性 com.ibm.websphere.dynamicRouting.utility.autoAcceptCertificates 设置为 true,将自动信任 SSL 证书。
以下是带所有必需参数运行时的命令输出:
./dynamicRouting genPluginCfg --port=9444 --host=controller1.acme.com --user=admin --password=password --pluginInstallRoot=/opt/HTTPServer_Plugins --webServerNames=webServer1
Generating WebSphere plug-in configuration file for web server webServer1
Auto-accepting the certificate chain for target server.
Certificate subject DN: CN=admin, OU=controller1, O=ibm, C=us
Successfully completed MBean request to the controller.
File /home/user1/Liberty/wlp/bin/plugin-cfg.xml exists.
Saving to /home/user1/Liberty/wlp/bin/plugin-cfg.xml.old.
Successfully generated WebSphere plug-in configuration file plugin-cfg.xml
Generated WebSphere plug-in configuration file plugin-cfg.xml for web server webServer1.
Copy the WebSphere plug-in configuration file to the directory specified in the WebSpherePluginConfig directive in the IBM HTTP Server httpd.conf file.
genKeystore
此操作以 PKCS12 或 JKS 格式生成密钥库。使用 --keystoreType 操作以指定密钥库格式。仅当使用 IBM Java 时,才支持生成 PKCS12 密钥库。此密钥库包含个人证书及 memberRoot 和 controllerRoot 签署者证书,它们允许在 WebSphere 插件与动态路由选择服务间安全通信。同一密钥库还用于向 Liberty 集合体成员中的应用程序发送 HTTPS 请求。
要获取在线帮助,请发出 <Controller root>/bin/dynamicRouting help genKeystore,这会显示以下信息:
描述
生成密钥库,此密钥库包含在动态路由选择服务与客户机之间进行安全通信时所需的个人证书和签署者证书。
用法
dynamicRouting genKeystore [options]
选项
- --host=name
- 必需。目标集合体控制器的主机名。
- --password[=pwd]
- 必需。目标集合体控制器的管理员用户的密码。如果未定义值,那么系统会提示您进行定义。
- --port=num
- 必需。目标集合体控制器的 HTTPS 端口号。
- --user=name
- 指定目标集合体控制器的管理员用户。(必需)
- --keystorePassword[=pwd]
- 必需。所生成密钥库的密码。如果已指定但未定义值,那么系统会提示您进行定义。
- --keystoreType=type
- 可选。所生成密钥库的类型。缺省类型为 JKS。有效值为 JKS 和 PKCS12。
- --certificateSubject=DN
- 可选。所生成 SSL 证书的 DN。缺省 DN 为 CN=<<value of --user argument>>,OU=client,O=ibm,C=us
通过将 JVM 属性 com.ibm.websphere.dynamicRouting.utility.autoAcceptCertificates 设置为 true,将自动信任 SSL 证书。
以下是带所有必需参数运行时的命令输出:
./dynamicRouting genKeystore --port=9444 --host=contoller1.acme.com --user=admin --password=password --keystoreType=PKCS12 --keystorePassword
Enter password --keystorePassword:
Re-enter password --keystorePassword:
Generating the plugin-key.p12 keystore...
Auto-accepting the certificate chain for target server.
Certificate subject DN: CN=admin, OU=controller1, O=ibm, C=us
Successfully completed MBean request to the controller.
File /home/user1/Liberty/wlp/bin/plugin-key.p12 exists.
Saving to /home/user1/Liberty/wlp/bin/plugin-key.p12.old.
Successfully generated keystore plugin-key.p12.
Generated keystore file plugin-key.p12 that enables secure communication between the Dynamic Routing service and clients..
The file contains a personal certificate issued to DN CN=admin,OU=client,O=ibm,C=us. Ensure the admin user exists in the user registry and has a role assigned.
If you are using quick start security, add the following line to the controller server.xml file and update the password:
<quickStartSecurity user="admin" password=""/>
If you are using basic registry, add the following lines to the controller server.xml files and update the password:
<basicRegistry id="basic" realm="ibm/api">
<user name="admin" password=""/>
</basicRegistry>
<administrator-role>
<user>admin</user>
</administrator-role/>
Copy the WebSphere plug-in configuration file to the directory specified in the WebSpherePluginConfig directive in the IBM HTTP Server httpd.conf file. Copy keystore file plugin-key.p12 to a directory on the web server host, and run "gskcmd" to convert the keystore to CMS format and to set personal certificate as the default.
For example:
gskcmd -keydb -convert -pw <<password>> -db /tmp/plugin-key.p12 -old_format pkcs12 -target /tmp/plugin-key.kdb -new_format cms -stash
gskcmd -cert -setdefault -pw <<password>> -db /tmp/plugin-key.kdb -label default
Copy resulting /tmp/plugin-key.kdb, .sth, .rdb files to the keyring directory specified in the plug-in configuration file.