1.11.13. 使用证书颁发机构管理签名的证书

您可以使用 JBoss EAP 管理 CLI 和管理控制台获取和管理签名证书。这可让您直接从 CLI 或控制台创建签名证书，然后将其导入到所需的密钥存储中。

注意

本节中的许多命令都有一个可选的 暂存 参数，用于指示是否应使用证书颁发机构的暂存 URL。这个值默认为 false，旨在协助测试目的。在生产环境中不应该启用此参数。

自 JBoss EAP 7.3 起，Let 的加密是唯一受支持的证书颁发机构。要管理签名的证书，必须使用证书颁发机构创建帐户，并提供以下信息：

/subsystem=elytron/certificate-authority-account=CERTIFICATE_ACCOUNT:add(key-store=KEYSTORE,alias=ALIAS,contact-urls=[mailto:EMAIL_ADDRESS])

旦配置了帐户，可以通过同意其服务条款与证书认证机构创建帐户。

/subsystem=elytron/certificate-authority-account=CERTIFICATE_ACCOUNT:create-account(agree-to-terms-of-service=true)

可以使用 update-account 命令更新证书颁发机构帐户选项。

/subsystem=elytron/certificate-authority-account=CERTIFICATE_ACCOUNT:update-account(agree-to-terms-of-service=true)

可以使用 change-account-key 命令来更改与证书颁发机构帐户关联的密钥。

/subsystem=elytron/certificate-authority-account=CERTIFICATE_ACCOUNT:change-account-key()

如果不再需要该帐户，则可以使用 deactivate -account 命令取消激活 帐户。

/subsystem=elytron/certificate-authority-account=CERTIFICATE_ACCOUNT:deactivate-account()

帐户的元数据可以通过 get-metadata 命令查询。这提供以下信息：

/subsystem=elytron/certificate-authority-account=CERTIFICATE_ACCOUNT:get-metadata()

使用管理控制台配置 Let 的加密帐户：

访问管理控制台。
如需更多信息，请参见《JBoss EAP 配置指南 https://access.redhat.com/documentation/en-us/red_hat_jboss_enterprise_application_platform/7.3/html-single/configuration_guide/#management_console_overview 》中的管理控制台部分。
导航到 Runtime Host Security(Elytron) SSL，再点击 View。
单击 Certificate Auth… ，以打开证书颁发机构帐户页面。
您可以点击带有标签的按钮为所选别名执行以下配置：
- create
  使用证书颁发机构创建帐户。
- 取消激活
  取消激活所选证书颁发机构帐户。
- Update（更新）
  使用证书颁发机构更新所选帐户。
- 获取元数据
  查看以下有关证书颁发机构帐户的信息：
  - 关联的别名
  - 证书颁发机构名称
  - 联系详情
  - 密钥存储名称
  - 证书颁发机构详情
- 更改帐户密钥
  - 使用证书颁发机构更改关联的密钥。