Informationen zu diesem Vorgang
Ferne JMX-Verbindungen zu einem Verbundcontroller verwenden SSL und erfordern geeignete SSL-Schlüssel. Der Befehl
genKey des Verbunddienstprogramms generiert einen Keystore mit einem persönlichen Zertifikat, das
der Verbundcontroller anerkennt. Der generierte Keystore enthält auch ein öffentliches Unterzeichnerzertifikat und kann somit als Truststore
fungieren.
Eine Java Virtual Machine (JVM), z. B. ein Verbundmember-Server oder ein
Nicht-Liberty-Server, benötigt für das Herstellen einer Verbindung zu einem Verbundcontroller
einen Keystore, der einen Schlüssel enthält, den der Verbundcontroller anerkennt. Mit dem Befehl genKey wird ein solcher
Keystore generiert.
Wenn die JVM den Keystore hat, kann sie eine Verbindung zum Verbundcontroller herstellen und der Verbundcontroller kann seinen
Schlüssel zurückgeben. Die Rückgabe des Schlüssels des Verbundcontrollers an die JVM wird als
SSL-Handshake bezeichnet.
Damit die JVM den Schlüssel des Verbundcontrollers zum JVM-Truststore hinzufügen kann, muss die
JVM-Eigenschaft com.ibm.websphere.collective.utility.autoAcceptCertificates auf
true gesetzt sein. Wenn die JVM-Eigenschaft nicht gesetzt ist, wird der Benutzer aufgefordert, den Schlüssel zum Truststore
hinzuzufügen. In Schritt 1 der Prozedur ist beschrieben,
wie die JVM-Eigenschaft definiert und der Schlüssel ohne Eingabeaufforderung automatisch zum Truststore hinzugefügt wird.
- Wenn SSL-Zertifikate automatisch anerkannt werden sollen, setzen Sie die JVM-Eigenschaft
com.ibm.websphere.collective.utility.autoAcceptCertificates auf
true.
Führen Sie an der Eingabeaufforderung, an der Sie den Verbundbefehl
genKey ausführen werden, einen Befehl aus, mit dem die JVM-Eigenschaft
auf true gesetzt wird:




$ export JVM_ARGS=-Dcom.ibm.websphere.collective.utility.autoAcceptCertificates=true

set JVM_ARGS=-Dcom.ibm.websphere.collective.utility.autoAcceptCertificates=true
Führen Sie die folgenden Befehle aus, um sich zu vergewissern, dass die JVM-Eigenschaft ordnungsgemäß festgelegt wurde:




$ export JVM_ARGS

set JVM_ARGS
Tipp: Sie können diese JVM-Eigenschaft auf true setzen, bevor Sie Verbundbefehle ausführen. Dies gilt mit Ausnahme des
Befehls create.
Viele Verbundunterbefehle stellen eine Verbindung zu einem Verbundcontroller her und
erhalten während eines SSL-Handshakes einen Schlüsse zurück. Zu den Verbundunterbefehlen, die Hostauthentifizierungsinformationen
in Form des Benutzerkennworts oder des privaten SSH-Schlüssels erfordern, gehören
genKey, join, registerHost, remove, unregisterHost
und updateHost.
- Führen Sie den Verbundbefehl genKey aus, um einen
JKS-Keystore zu generieren.
wlp/bin/collective genKey [--host=Host_des_Verbundcontrollers --password=Administratorkennwort_für_Verbundcontroller --port=HTTPS-Port_des_Verbundcontrollers --user=Administrator-ID_für_Verbundcontroller --keystorePassword=generiertes_Keystore-Kennwort]
Für einen einen Verbundcontroller auf dem Host
machineA, der den Port
1090 verwendet und dessen Administrator
Admin1 mit dem Kennwort Admin1pwd ist, müssten Sie beispielsweise den folgenden
Befehl ausführen, um einen Keystore zu generieren und das Keystore-Kennwort auf
kspwd zu setzen:
collective genKey [--host=machineA --password=Admin1pwd --port=1090 --user=Admin1 --keystorePassword=kspwd]
In diesem Beispiel sind die erforderlichen Einstellungen für den Befehl genKey enthalten:
- --host=Host_des_Verbundcontrollers
- Name des Hosts für den Zielverbundcontroller
- --password=Administratorkennwort_für_Verbundcontroller
- Kennwort des Benutzers mit Verwaltungsaufgaben für den Zielverbundcontroller. Wenn kein Kennwort definiert wird, werden Sie aufgefordert, das Kennwort für den Benutzer mit Verwaltungsaufgaben, der über die Einstellung --user definiert ist, anzugeben.
- --port=HTTPS-Port_des_Verbundcontrollers
- Nummer des HTTPS-Ports für den Zielverbundcontroller
- --user=Administrator-ID_für_Verbundcontroller
- Benutzer mit Verwaltungsaufgaben für den Zielverbundcontroller
- --keystorePassword=generiertes_Keystore-Kennwort
- Kennwort für den generierten Keystore. Bei Angabe ohne Wert werden Sie zur Eingabe eines Kennworts aufgefordert.
Der Befehl genKey kann auch mit optionalen Einstellungen verwendet werden:
- --certificateSubject=DN
- Definierter Name (DN) des generierten SSL-Zertifikats.
Der Standard-DN ist:
CN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=us
- --certificateValidity=Anzahl_Tage
- Gültigkeitsdauer des generierten SSL-Zertifikats in Tagen. Der Standardgültigkeitszeitraum
ist 1825 Tage oder fünf Jahre. Der Mindestgültigkeitszeitraum liegt bei
365 Tagen.
- --keystoreFile=Dateipfad
- Datei, in die der Keystore geschrieben wird. Standardmäßig wird die Datei key.jks im aktuellen Verzeichnis
verwendet.
- --key=Schlüssel
- Für die Verschlüsselung (aes) zu verwendender Schlüssel. Das Produkt wandelt die angegebene Schlüsselzeichenfolge in einen Hashwert
um, um einen Chiffrierschlüssel für die Ver- und Entschlüsselung des Kennworts zu erzeugen. Definieren Sie eine Variable
wlp.password.encryption.key, deren Wert der Schlüssel
ist, um den Schlüssel an den Server zu übergeben. Wenn Sie diese Option nicht angeben, stellt das Produkt einen Standardschlüssel bereit.