重新配置 SSL 的過期自簽憑證

使用此範例可協助您重新部署過期的自簽憑證。

假設和必備項目

此範例會進行下列假設,並需要下列必要條件:
  • 您必須刪除舊的金鑰儲存庫檔 <HOME>/IBM®/LogAnalysis/wlp/usr/servers/Unity/resources/security/key.jks 檔。

建立新的金鑰儲存庫

請完成下列步驟:
1. 產生金鑰
視您使用的簽章演算法而定,執行下列其中一個指令:
  • 對於 SHA1withRSA 簽章演算法的使用者:
    ./keytool -genkey -keystore ~/IBM/LogAnalysis/wlp/usr/
servers/Unity/resources/security/key.jks 
-storepass loganalytics -keypass loganalytics -validity 365 
-dname "CN=abc12345678.in.example.com, OU=IT, O=EXAMPLE LTD, 
L=Bangalore,S=Karnataka, C=IN" -alias default -keyalg RSA 
-sigalg SHA1withRSA -ext san=dns:localhost.localdomain,dns:abc12345678,
dns:abc12345678.example.com,dns:localhost,ip:1.234.56.78 -keysize <encryption-key-size>
    其中 <encryption-key-size> 是加密金鑰的大小; 例如 2048。
  • 對於 SHA256withRSA 簽章演算法的使用者:
    ./keytool -genkey -keystore ~/IBM/LogAnalysis/wlp/usr/
servers/Unity/resources/security/key.jks 
-storepass loganalytics -keypass loganalytics -validity 365 
-dname "CN=abc12345678.in.example.com, OU=IT, O=EXAMPLE LTD, 
L=Bangalore,S=Karnataka, C=IN" -alias default -keyalg RSA 
-sigalg SHA256withRSA -ext san=dns:localhost.localdomain,dns:abc12345678,
dns:abc12345678.example.com,dns:localhost,ip:1.234.56.78 -keysize <encryption-key-size>
    其中 <encryption-key-size> 是加密金鑰的大小,例如 2048。

Log Analysis 的金鑰儲存庫檔為 <HOME>/IBM/LogAnalysis/wlp/usr/servers/Unity/resources/security/key.jks

-dname 參數的值是用來識別您伺服器的網域。 這裡指定的詳細資料是用來識別該伺服器。 例如,在此範例中,此參數指定如下:
-dname "CN=abc12345678.in.example.com, OU=IT, O=EXAMPLE LTD, 
L=Bangalore,S=Karnataka, C=IN"
其中 CN 是通用名稱。 OU 是組織單位。 O 是組織。 L 是位置。 S 是州/省(縣/市)。 C 是國家/地區。
2. 將自簽憑證匯出至檔案
在首要步驟中產生金鑰儲存庫之後,會以 default 這個別名產生預設自簽憑證。 您需要將此憑證匯出至檔案。 完成此步驟之後,您可以將檔案匯入至 <HOME>/IBM/LogAnalysis/ibm-java 資料夾,該資料夾是安裝 Log Analysis 所建立之資料夾的一部分。 請參閱步驟 3 中的指示。
完成此步驟可確保 Log Analysis 的所有元件使用相同的憑證。
這是必要步驟,因為您產生新的金鑰儲存庫時,此變更需要您重新整理用戶端的公用憑證。
如果在產生新的金鑰儲存庫憑證之前,未刪除舊的金鑰儲存庫憑證,而較舊的憑證使用相同的別名(即 default),則會產生錯誤。 若要避免此情況,您可以刪除較舊的憑證,也可以變更別名值。
若要將憑證匯出至檔案,請執行下列指令:
./keytool -exportcert
-keystore ~/IBM/LogAnalysis/
wlp/usr/servers/Unity/resources/security/key.jks 
-alias default -file client.crt
系統提示時,提供 Liberty 金鑰儲存庫密碼;例如:loganalytics
3. 匯入自簽憑證
若要將此憑證匯入至 Java™ 執行時期環境金鑰儲存庫,請輸入下列指令:
./keytool
-import -keystore ~/IBM/LogAnalysis/ibm-java/
jre/lib/security/cacerts -alias default -file client.crt
系統提示時,提供 Java 金鑰儲存庫密碼;例如:changeit

如果您已安裝 Log Analysis 元件 (例如「EIF 接收端」) 的遠端實例, IBM Tivoli® Monitoring 日誌檔代理程式, 或 Logstash,您必須在遠端伺服器上的 Java 執行時期環境中匯入憑證。

4. 更新 Solr 相關憑證
使用下列指令,將 Solr 憑證匯入至金鑰儲存庫。

./keytool -import -trustcacerts -keystore <HOME>/IBM/LogAnalysis/wlp/usr /servers/Unity/resources/security/key.jks -alias SolrCert123 -file <HOME>/solrConfigs/solr_ssl_shared.cer
當系統提示時,請指定金鑰儲存庫建立期間在步驟 1 中指定的相同儲存庫密碼。

如果顯示警告,指出別名已存在,請以您選擇的替代別名重新執行指令。

5. 重新啟動 Log Analysis
執行下列指令,以重新啟動 Log Analysis
<HOME>/IBM/LogAnalysis/utilities/unity.sh -restart