Java Keytool / ikeyman für IBM Websphere Liberty Zertifikate

Um Zertifikate einer eigenen Zertifizierungsstelle in IBM Websphere Liberty einzubinden, so dass der Browser wieder grünes Licht gibt, ist es notwendig, diese mittels ikeycmd oder keytool einzubinden. Hier ist auch die Zertifikatskette bei Bedarf zu berücksichtigen.

Anker

Für Letsencrypt empfiehlt sich hier die Challenge DNS, damit die Validierung erfolgen kann.

certbot certonly --preferred-challenges=dns --manual -d tsm81.tiri.li

Anker

Um das Zertifikat für IBM Websphere Liberty weiterverwenden zu können, ist eine Konvertierung in das Format PKCS12 nötig.

openssl pkcs12 -export -out /opt/tivoli/tsm/ui/Liberty/usr/servers/guiServer/tsm81.pfx -inkey /etc/ssl/privkey.pem -in /etc/ssl/cert.pem -certfile /etc/chain.pem

Anker

Die Zertifikatskette kann folgendermaßen in den Keystore integriert werden.

/opt/tivoli/tsm/ui/jre/bin/keytool -import -trustcacerts -alias letsencypt -file /etc/ssl/chain3.pem -keystore /opt/tivoli/tsm/ui/Liberty/usr/servers/guiServer/gui-truststore.jks -storetype jks

Das Zertifikat wird folgendermaßen eingebunden.

/opt/tivoli/tsm/ui/jre/bin/ikeycmd -cert -delete -label default -db /opt/tivoli/tsm/ui/Liberty/usr/servers/guiServer/gui-truststore.jks
/opt/tivoli/tsm/ui/jre/bin/ikeycmd -cert -import -alias default -file /opt/tivoli/tsm/ui/Liberty/usr/servers/guiServer/tsm81.tiri.li.pfx -target /opt/tivoli/tsm/ui/Liberty/usr/servers/guiServer/gui-truststore.jks

Details sind durch den folgenden Befehl sichtbar zu machen.

/opt/tivoli/tsm/ui/jre/bin/ikeycmd -cert -details -label default -db /opt/tivoli/tsm/ui/Liberty/usr/servers/guiServer/gui-truststore.jks