Menu Close
Settings Close

Language and Page Formatting Options

1.11.14. Keystore Manipulation Operations

您可以使用管理 CLI 和管理控制台在 Elytron key-store 资源上执行各种密钥存储操作。

使用管理 CLI 密钥存储操作操作

通过使用管理 CLI,可以执行以下密钥存储操作:

  • 生成密钥对。

    generate-key-pair 命令生成密钥对,并将生成的公钥嵌套在自签名 X.509 证书中。生成的私钥和自签名证书将添加到密钥存储中。

    /subsystem=elytron/key-store=httpsKS:add(path=/path/to/server.keystore.jks,credential-reference={clear-text=secret},type=JKS)
    
    /subsystem=elytron/key-store=httpsKS:generate-key-pair(alias=example,algorithm=RSA,key-size=1024,validity=365,credential-reference={clear-text=secret},distinguished-name="CN=www.example.com")
  • 生成证书签名请求。

    generate-certificate-signing-request 命令使用密钥存储中的 PrivateKeyEntry 生成 PKCS #10 证书签名请求。生成的证书签名请求将写入到文件中。

    /subsystem=elytron/key-store=httpsKS:generate-certificate-signing-request(alias=example,path=server.csr,relative-to=jboss.server.config.dir,distinguished-name="CN=www.example.com",extensions=[{critical=false,name=KeyUsage,value=digitalSignature}],credential-reference={clear-text=secret})
  • 导入证书或证书链。

    import-certificate 命令将文件中的证书或证书链导入到密钥存储中的条目中。

    /subsystem=elytron/key-store=httpsKS:import-certificate(alias=example,path=/path/to/certificate_or_chain/file,relative-to=jboss.server.config.dir,credential-reference={clear-text=secret},trust-cacerts=true)
  • 导出证书。

    export-certificate 命令将证书从密钥存储中的条目导出到文件。

    /subsystem=elytron/key-store=httpsKS:export-certificate(alias=example,path=serverCert.cer,relative-to=jboss.server.config.dir,pem=true)
  • 更改别名。

    change-alias 命令将现有的密钥存储条目移到新的别名。

    /subsystem=elytron/key-store=httpsKS:change-alias(alias=example,new-alias=newExample,credential-reference={clear-text=secret})
  • 存储对密钥存储所做的更改。

    store 命令保留对备份密钥存储的文件所做的任何更改。

    /subsystem=elytron/key-store=httpsKS:store()
使用管理控制台管理密钥操作操作

使用管理控制台执行操作:

  1. 访问管理控制台。

    有关更多信息,请参阅 JBoss EAP 配置指南中的管理控制台部分。

  2. 导航到 RuntimeSecurity(Elytron)Stores,然后点击 View
  3. Key Store 以打开密钥存储定义页面。
  4. 点所需的密钥存储名称。

    您可以点击带有标签的按钮来为所选密钥存储执行以下操作:

    • Load

      加载或重新加载密钥存储。

    • Store

      对提供支持密钥存储的文件进行永久性更改。

    • 生成密钥对

      生成密钥对,将公钥包装到自签名 X.509 证书,并将私钥和证书添加到密钥存储中。

    • 导入证书

      将证书链从文件导入到密钥存储。

    • 获取

      从证书颁发机构获取签名证书,并将它存储在密钥存储中。

1.11.14.1. 密钥存储证书颁发机构操作

在配置 Let 的加密帐户后,您可以在密钥存储上执行以下操作

注意

本节中的许多命令都有一个可选的 staging 参数,指明是否应使用证书颁发机构的暂存 URL。这个值默认为 false,旨在协助测试。在生产环境中不应该启用此参数。

使用管理 CLI 密钥存储证书颁发机构操作

通过使用管理 CLI,可以执行以下密钥存储证书颁发机构操作:

  • 获取签名证书。

    为密钥存储定义了证书颁发机构帐户后,您可以使用 get-certificate 命令获取签名证书并将其存储在密钥存储中。如果具有证书颁发机构的帐户不存在,则它会被自动创建。

    /subsystem=elytron/key-store=KEYSTORE:obtain-certificate(alias=ALIAS,domain-names=[DOMAIN_NAME],certificate-authority-account=CERTIFICATE_ACCOUNT,agree-to-terms-of-service=true,algorithm=RSA,credential-reference={clear-text=secret})
  • 撤销签名证书。

    revoke-certificate 命令撤销证书颁发机构发布的证书。

    /subsystem=elytron/key-store=KEYSTORE:revoke-certificate(alias=ALIAS,certificate-authority-account=CERTIFICATE_ACCOUNT)
  • 检查签名证书是否到期了续订。

    should-renew-certificate 命令确定证书是否在到期需要续订。如果证书过期的时间少于指定天数,则命令返回为 true,否则为 false

    以下命令可确定证书是否在接下来的 7 天后过期。

    /subsystem=elytron/key-store=KEYSTORE:should-renew-certificate(alias=ALIAS,expiration=7)
使用管理控制台密钥存储证书颁发机构操作

使用管理控制台执行操作:

  1. 访问管理控制台。

    有关更多信息,请参阅 JBoss EAP 配置指南中的管理控制台部分。

  2. 导航到 RuntimeSecurity(Elytron)Stores,然后点击 View
  3. Key Store 以打开密钥存储定义页面。
  4. 点所需密钥存储名称旁边的 Aliases
  5. 点所需别名。

    您可以点带有标签的按钮来为所选别名执行以下操作:

    • 更改别名

      更改条目的别名。

    • 导出证书

      将密钥存储条目中的证书导出到文件。

    • 生成 CSR

      生成证书签名请求。

    • 删除别名

      从密钥存储中删除所选别名。

    • 详情

      查看与别名关联的证书详情。

    • Revoke

      撤销与别名关联的证书。

    • 验证续订

      确定关联的证书是到期续订。