在升级之后打开 OnCommand Insight Web UI 时,将显示证书警告。显示该警告消息的原因是升级之后没有可用的有效自签名证书。要防止将来再次显示该警告消息,您可以安装有效的自签名证书以替换原证书。
开始之前
系统必须满足最低加密位级别(1024 位)。
关于本任务
证书警告不会影响系统正常使用。在消息提示中,您可以指示自己明白相关风险,然后继续使用 Insight。
步骤
- 列出密钥库的内容: C:\Program Files\SANscreen\java64\bin>keytool.exe -list -v -keystore "c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore"
当系统提示您提供密码时,输入 changeit。
密钥库应包含至少一个证书,即 ssl certificate。
- 删除 ssl certificate: keytool -delete -alias ssl
certificate -keystore c:\ProgramFiles\SANscreen\wildfly\standalone\configuration\server.keystore
- 生成新密钥: keytool -genkey -alias OCI.hostname.com -keyalg RSA -keysize 2048 -keystore "c:\ProgramFiles\SANscreen\wildfly\standalone\configuration\server.keystore"
- 当系统提示您提供名字和姓氏时,输入要使用的完全限定域名 (Fully Qualified Domain Name, FQDN)。
- 提供以下有关您的组织和组织结构的信息:
- 国家或地区:所在国家或地区的 ISO 缩写(由两个字母组成,例如,US)
- 州或省:您的组织的总部所在州或省的名称(例如,马萨诸塞州)。
- 区域:您的组织的总部所在城市的名称(例如,沃尔瑟姆)
- 组织名称:拥有该域名的组织的名称(例如,NetApp)
- 组织单位名称:将使用该证书的部门或组的名称(例如,支持部门)
- 域名/公用名:用于对您的服务器执行 DNS 查找的 FQDN(例如,www.example.com)
此时,系统将返回类似于以下内容的信息作为响应: Is CN=www.example.com, OU=support, O=NetApp, L=Waltham, ST=MA, C=US correct?
- 如果公用名 (Common Name, CN) 等于 FQDN,则输入 Yes。
- 当系统提示您提供密钥密码时,输入密码,或者按 Enter 键以使用现有的密钥库密码。
- 生成证书请求文件: keytool -certreq -alias localhost -keystore "c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file c:\localhost.csr
c:\localhost.csr 文件是新生成的证书请求文件。
- 将 c:\localhost.csr 文件提交给证书颁发机构 (CA) 进行审批。
证书请求文件获得批准之后,您希望证书以 .der 格式返回。该文件不一定会以 .der 文件格式返回。对于 Microsoft CA 服务,默认文件格式是 .cer。
- 导入已获得批准的证书: keytool -importcert -alias localhost -file c:\localhost2.DER -keystore "c:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore"
- 当系统提示您提供密码时,输入密钥库密码。
此时,系统将显示以下消息: Certificate reply was installed in keystore
- 重新启动 SANscreen 服务器服务。