SSL部署文档

服务器证书安装配置指南(IBM Http Server)

因证书签名算法升级,目前证书均需要使用 SHA-256 算法签发。IBM Http Server 8.5之前版本不支持SHA-256算法,无法加载使用SHA-256算法证书生成的kdb文件。如需配置SHA-256算法证书,请升级IHS到8.5或以上版本。

一、创建证书请求

1.    运行ikeyman  

  IBM Http Server附带 I Key Manager 工具,可用于管理 IHS 的证书密钥文件。IBM HTTP Server V6.1版本不支持创建2048位证书请求,请使用IHS7或以上版本自带的 I Key Manager 工具来创建证书申请。选择“Start Key Management Utility”,运行I Key Manager

2.    创建密钥库文件 

  密钥库类型选择“CMS”

注意:请选中“将密码存储到文件”选项,此选项将把密码加密保存到扩展名为.sth的文件中。IHS启动时,会自动从该.sth文件中读取密码,如果不选择此项启动HTTP SERVER 时会报错。  

3.    生成证书请求 

使用IHS7版ikeyman创建的含2048位密钥的密钥库文件,并填写证书的完整信息。

导出证书签名请求文件certreq.arm,并稍后发送给天威诚信商务人员,等待证书的签发。 

注:如SSL证书已签发,不需要再次生成证书请求,开始安装证书即可。


二、导入服务器证书 

1.    获取并导入CA证书 

将证书签发邮件中的“以下是您的中级CA证书”部分里的第一段内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,保存并修改文件扩展名为intermediate1.cer文件。

将证书签发邮件中的“以下是您的中级CA证书”部分里的第二段内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,保存并修改文件扩展名为root.cer文件。

    运行ikeyman并打开您的kdb文件,切换到“签署人证书”视图,并选择“添加”

  添加中级CA证书intermediate1.cer文件,并输入证书的自定义标号名称例如:intermediate1。 

2.    获取并导入Root证书 

IHS7版ikeyman创建的kdb文件默认不包含服务器证书的根证书,需要使用IHS7版ikeyman打开生成的kdb文件, 添加根证书root.cer文件,并输入证书的自定义标号名称例如:root

3.获取并导入服务器证书 

  将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”) 粘贴到记事本等文本编辑器中,保存为server.cer文件 。

  切换到“个人证书”视图,选择“接收”,选择并导入您的服务器证书文件。  

导出成功后请双击打开个人证书,确保证书勾选了“将该证书设置为缺省证书”。


三、安装服务器证书 

打开IHS安装目录下conf目录中的httpd.conf文件,在所有已存在的 Load Module 条目下方添加如下条目以加载 IBM SSL 模块 LoadModule ibm_ssl_module modules/mod_ibm_ssl.so 

  在 httpd.conf 文件结尾处添加如下内容:

     

      Listen 0.0.0.0:443 

        

        SSLEnable

        SSLProtocolDisable SSLv2 SSLv3

        SSLCipherSpec TLS_RSA_WITH_AES_256_CBC_SHA

        SSLCipherSpec TLS_RSA_WITH_AES_128_CBC_SHA

        SSLCipherSpec  SSL_RSA_WITH_3DES_EDE_CBC_SHA

        

     

    SSLDisable        

    KeyFile "C:\Program Files\IBM\SSLKeyDB\key.kdb" 

保存退出,并重启IHS。 

完成HIS的设置后,您还需要登录Websphere控制台,检查“环境”=“虚拟主机”检查配置中default_host或您自定义的虚拟主机项,“主机别名”下,是否已正确启用443端口。 

四、服务器证书的备份及恢复 

  在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。 

1.    服务器证书的备份 

备份服务器证书密钥库文件key.kdb、key.rdb、key.sth即可完成服务器证书的备份操作。 

2.    服务器证书的恢复 

请参照服务器证书配置部分,将服务器证书密钥文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。