Websphere服務器SSL證書安裝配置說明文檔_圖文_百度文庫

1、Websphere服務器證書安裝配置說明文檔深圳市電子商務安全證書管理有限公司2007年01月23日目 錄1 應用環(huán)境 12 申請服務器證書 12.1 簡要 22.2 產生KEYSTORE文件WEBSPHERE.JKS 22.3 產生證書請求CERTREQ.PEM文件 32.4 產生證書請求CERTREQ.PEM文件 33 下載服務器證書 44 下載CA根證書 55 服務器證書安裝 65.1 將CA根證書與服務器證書導入到WEBSPHERE.JKS文件中 65.2 生成CACERTS文件 65.3 添加根證書到CACERTS 75.4 將WEBSPHERE.JKS,CACERTS拷貝到2.2中

2、相同的目錄 76 WEBSPHERE中SSL配置 86.1 在WEBSPHERE中修改SSL配置 86.2 對特定應用程序進行SSL配置 107 測試配置 148 WEBSPHERE中CRL配置 161 應用環(huán)境系統(tǒng)環(huán)境：Win2000 server, Websphere V6.0, IE 6.0, JDK1.5證書類型：深圳CA簽發(fā)的服務器證書。2 申請服務器證書以下安裝必須是已安裝Websphere及JDK后進行。Websphere安裝界面如下：點擊Websphere Application Server 試用版安裝，然后按照向導指示進行安裝。設置JDK環(huán)境變量：我的電腦屬性高級環(huán)境變量在

3、變量值處加入：D:Program FilesIBMWebSphereAppServerjavajrebin路徑（即Websphere的安裝路徑AppServerjavajrebin）2.1 進入DOS環(huán)境以下的命令行，請使用開始-運行 輸入CMD進入DOS環(huán)境下進行新建一個名為testjks的文件夾，以下操作都將在該目錄下進行。2.2 產生keystore文件的命令產生keystore文件websphere.jks：D:testjks>Keytool -genkey -alias websphere -keyalg RSA -keysize 1024 -dname "CN=lo

4、calhost,OU=SZCA,L=SHENZHEN,ST=GUANGDONG,C=CN" -keypass 11111111 -keystore ./websphere.jks -storepass 111111112.3 產生certreq.pem命令產生證書請求certreq.pem文件Keytool -certreq -alias websphere -sigalg “MD5withRSA” -file ./certreq.pem -keypass 11111111 -keystore ./websphere.jks -storepass 111111112.4 產生證書請求

5、certreq.pem文件先將certreq.pem改名為certreq.req文件。使用certreq.req到深圳CA簽發(fā)服務器證書。3 下載服務器證書將證書從頒發(fā)機構中復制出來，并在服務器上安裝。然后將安裝好的證書導出為Base64格式的證書，如圖：并將導出的證書myserver.cer存放于2.2中相同的目錄4 下載CA根證書訪問深圳CA網站下載CA根證書，并存放于3.2中相同的目錄5 服務器證書安裝5.1 將CA根證書與服務器證書導入到websphere.jks文件中Keytool -import -alias testroot -trustcacerts -file ./SZCA.

6、cer -keystore ./websphere.jks -storepass 11111111Keytool -import -trustcacerts -alias websphere -file ./localhost.cer -keypass 11111111 -keystore ./websphere.jks -storepass 111111115.2 生成cacerts文件Keytool -genkey -keystore “cacerts” -storepass 11111111 -keyalg RSA注意：這里所填寫的內容必須與證書中相應項的內容相一致！5.3 添加根證書到

7、cacertsKeytool -import -alias rootca -trustcacerts -file ./szca.cer -keystore ./cacerts -storepass 111111115.4 將websphere.jks,cacerts拷貝到2.2中相同的目錄深圳CA提供豐富的證書應用開發(fā)接口(包括Java和COM版本 ，實現(xiàn)多種證書應用功能。各接口都符合行業(yè)標準，使得系統(tǒng)集成變得非常簡單，與支票圈存系統(tǒng)可以進行快速整合，實現(xiàn)安全需求。6 websphere中ssl配置6.1 在websphere中修改ssl配置如下圖所示，點擊進入管理控制臺。你將看到如下畫面,輸

8、入用戶標識點擊安全性中的SSL新建或者修改已經存在的ssl配置表。這里選擇修改默認的ssl配置表。我們因為沒有令牌所以選擇密鑰庫。如果需要對客戶端進行驗證，則將客戶機認證勾上。在密鑰文件名中的文本框內寫上剛剛創(chuàng)建的websphere.jks的絕對路徑，密鑰文件密碼寫上，這里的是11111111。在信任文件名的文本框內寫上創(chuàng)建的cacerts的絕對路徑，信任文件密碼這里的是11111111。如果確定的，點擊應用，并且記住要保存。這時完成websphere的一般性設置6.2 對特定應用程序進行ssl配置點擊應用程序中的企業(yè)應用程序選擇要使用ssl通道的應用程序，這里選擇websphere自帶的ex

9、ample:plantsbywebsphere選擇相關相中的web模塊選擇plantsbywebsphere.war選擇web services客戶機安全綁定在http ssl 配置中點擊編輯按鈕將http ssl 已啟用勾上在http ssl配置中選擇要采取的ssl配置，這里選去剛剛設置的ssl配置項。這時已經完成websphere application server的配置。配制完成后，重起服務。右擊“我的電腦”->管理->服務。重起IBM WebSphere Application Server V6。7 測試配置打開IE,在地址欄中敲入：

10、5:9443/PlantsByWebSphere，如果出現(xiàn)下圖，則表示正常。選擇簽名證書登錄在IE狀態(tài)欄的右下端出現(xiàn)鎖標志，說明ssl通道建立成功，和服務器之間傳輸?shù)男畔⑹前踩?。雙擊紅圈中的小鎖圖標，可以查看服務器證書信息。8 websphere中crl配置設置好SSL后，將對CRL進行設置。按照原有websphere的幫助文檔配置CRL列表（如下），配置完成，但是不能通過CRL列表校驗證書注銷情況。1. 單擊服務器 > 應用程序服務器 > server_name。 2. 在“安全性”下，單擊 Web Service：Web Service 安全性的缺省綁定。 3. 在“其它屬性”下，單擊集合證書庫。 單擊已配置集合證書庫的名稱或首先創(chuàng)建一個新的集合證書庫。 4在“其它屬性”下，單擊證書撤回列表 > 新建以指定到新列表的路徑，或單擊證書撤回列表的名稱以修改它的路徑。下載最新的CRL列表，存放在2.2中相同的目錄內，在證書撤回列表路徑填寫CRL列表的絕對路徑。系統(tǒng)沒有驗證CR