在升级 OnCommand Insight 之后替换证书

在升级之后打开 OnCommand Insight Web UI 时,将显示证书警告。显示该警告消息的原因是升级之后没有可用的有效自签名证书。要防止将来再次显示该警告消息,您可以安装有效的自签名证书以替换原证书。

开始之前

系统必须满足最低加密位级别(1024 位)。

关于本任务

证书警告不会影响系统正常使用。在消息提示中,您可以指示自己明白相关风险,然后继续使用 Insight

步骤

  1. 列出密钥库的内容: C:\Program Files\SANscreen\java64\bin>keytool.exe -list -v -keystore "c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore"
    当系统提示您提供密码时,输入 changeit
    密钥库应包含至少一个证书,即 ssl certificate
  2. 删除 ssl certificatekeytool -delete -alias ssl certificate -keystore c:\ProgramFiles\SANscreen\wildfly\standalone\configuration\server.keystore
  3. 生成新密钥: keytool -genkey -alias OCI.hostname.com -keyalg RSA -keysize 2048 -keystore "c:\ProgramFiles\SANscreen\wildfly\standalone\configuration\server.keystore"
    1. 当系统提示您提供名字和姓氏时,输入要使用的完全限定域名 (Fully Qualified Domain Name, FQDN)。
    2. 提供以下有关您的组织和组织结构的信息:
      • 国家或地区:所在国家或地区的 ISO 缩写(由两个字母组成,例如,US)
      • 州或省:您的组织的总部所在州或省的名称(例如,马萨诸塞州)。
      • 区域:您的组织的总部所在城市的名称(例如,沃尔瑟姆)
      • 组织名称:拥有该域名的组织的名称(例如,NetApp)
      • 组织单位名称:将使用该证书的部门或组的名称(例如,支持部门)
      • 域名/公用名:用于对您的服务器执行 DNS 查找的 FQDN(例如,www.example.com)
      此时,系统将返回类似于以下内容的信息作为响应: Is CN=www.example.com, OU=support, O=NetApp, L=Waltham, ST=MA, C=US correct?
    3. 如果公用名 (Common Name, CN) 等于 FQDN,则输入 Yes
    4. 当系统提示您提供密钥密码时,输入密码,或者按 Enter 键以使用现有的密钥库密码。
  4. 生成证书请求文件: keytool -certreq -alias localhost -keystore "c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file c:\localhost.csr
    c:\localhost.csr 文件是新生成的证书请求文件。
  5. c:\localhost.csr 文件提交给证书颁发机构 (CA) 进行审批。
    证书请求文件获得批准之后,您希望证书以 .der 格式返回。该文件不一定会以 .der 文件格式返回。对于 Microsoft CA 服务,默认文件格式是 .cer
  6. 导入已获得批准的证书: keytool -importcert -alias localhost -file c:\localhost2.DER -keystore "c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore"
    1. 当系统提示您提供密码时,输入密钥库密码。
      此时,系统将显示以下消息: Certificate reply was installed in keystore
  7. 重新启动 SANscreen 服务器服务。

结果

Web 浏览器不再报告证书警告。