因证书签名算法升级,目前证书均需要使用 SHA-256 算法签发。IBM Http Server 8.5之前版本不支持SHA-256算法,无法加载使用SHA-256算法证书生成的kdb文件。如需配置SHA-256算法证书,请升级IHS到8.5或以上版本。
一、创建证书请求
1. 运行ikeyman
IBM Http Server附带 I Key Manager 工具,可用于管理 IHS 的证书密钥文件。IBM HTTP Server V6.1版本不支持创建2048位证书请求,请使用IHS7或以上版本自带的 I Key Manager 工具来创建证书申请。选择“Start Key Management Utility”,运行I Key Manager
2. 创建密钥库文件
密钥库类型选择“CMS”
注意:请选中“将密码存储到文件”选项,此选项将把密码加密保存到扩展名为.sth的文件中。IHS启动时,会自动从该.sth文件中读取密码,如果不选择此项启动HTTP SERVER 时会报错。
3. 生成证书请求
使用IHS7版ikeyman创建的含2048位密钥的密钥库文件,并填写证书的完整信息。
导出证书签名请求文件certreq.arm,并稍后发送给环度网信相关人员,等待证书的签发。
注:如SSL证书已签发,不需要再次生成证书请求,开始安装证书即可。
二、导入服务器证书
1. 获取并导入CA证书
将证书签发邮件中的“以下是您的中级CA证书”部分里的第一段内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,保存并修改文件扩展名为intermediate1.cer文件。
将证书签发邮件中的“以下是您的中级CA证书”部分里的第二段内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,保存并修改文件扩展名为root.cer文件。
运行ikeyman并打开您的kdb文件,切换到“签署人证书”视图,并选择“添加”
添加中级CA证书intermediate1.cer文件,并输入证书的自定义标号名称例如:intermediate1。
2. 获取并导入Root证书
IHS7版ikeyman创建的kdb文件默认不包含服务器证书的根证书,需要使用IHS7版ikeyman打开生成的kdb文件, 添加根证书root.cer文件,并输入证书的自定义标号名称例如:root
3.获取并导入服务器证书
将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”) 粘贴到记事本等文本编辑器中,保存为server.cer文件 。
切换到“个人证书”视图,选择“接收”,选择并导入您的服务器证书文件。
导出成功后请双击打开个人证书,确保证书勾选了“将该证书设置为缺省证书”。
三、安装服务器证书
打开IHS安装目录下conf目录中的httpd.conf文件,在所有已存在的 Load Module 条目下方添加如下条目以加载 IBM SSL 模块 LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
在 httpd.conf 文件结尾处添加如下内容:
Listen 0.0.0.0:443
SSLEnable
SSLProtocolDisable SSLv2 SSLv3
SSLCipherSpec TLS_RSA_WITH_AES_256_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_128_CBC_SHA
SSLCipherSpec SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSLDisable
KeyFile "C:\Program Files\IBM\SSLKeyDB\key.kdb"
保存退出,并重启IHS。
完成HIS的设置后,您还需要登录Websphere控制台,检查“环境”=“虚拟主机”检查配置中default_host或您自定义的虚拟主机项,“主机别名”下,是否已正确启用443端口。
四、服务器证书的备份及恢复
在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。
1. 服务器证书的备份
备份服务器证书密钥库文件key.kdb、key.rdb、key.sth即可完成服务器证书的备份操作。
2. 服务器证书的恢复
请参照服务器证书配置部分,将服务器证书密钥文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。