websphere6.1+hs集群环境下的ssl配置方法websphere6.1+ihs集群环境下的ssl配置方法websphere6.1+ihs集群环境下的ssl配置方法websphere6.1+ihs集群环境下的ssl配置方法.doc

WebSphere6.1+IHS集群环境下的 SSL配置方法 曹玮成 2009年12月29日 目 录 一、 前提 3 二、 为IHS制作密钥库和服务器证书 3 1. 创建密钥数据库 3 2. 生成服务器证书申请文件 4 3. 使用申请书在JIT CA中签发服务器证书 5 4. 接收服务器证书 10 5. 添加签署人证书 13 三、 为WebSphere各应用节点制作密钥库和服务器证书 14 四、 IHS和WebSphere各应用节点交换签署人证书（可选操作） 15 五、 为WebSphere各应用节点添加SSL配置 15 六、 修改IHS配置文件，为IHS添加SSL配置 23 七、 配置Web Server Plugin 24 前提 本文档所描述的信息是基于正确安装WebSphere6.1（版本7）和IBM HTTP Server6.1并进行了集群配置后进行的。 文档中所列举的集群拓扑结构如下图： 为IHS制作密钥库和服务器证书 可以通过运行IHS安装目录中的\HTTPServer\bin\ikeyman.bat，打开IBM密钥管理软件。 创建密钥数据库 选择 密钥数据库文件 点击新建 密钥数据库类型选择 CMS 文件名称、位置任选（本文档所例举的IHS密钥库文件存储在\HTTPServer\ihs_ssl\） 输入密钥库密码（注意保存此密码，配置SSL时会用到） 删除所有默认的签署人证书 生成服务器证书申请文件 选择 个人证书请求 点击 新建 输入 证书编号（站点证书的别名） 选择密钥大小 输入 组织（ou）组织单位（o）市/县/区(L) 省/直辖市(S) 邮编不需要填写 国家选择CN 证书请求文件可放在任意位置 使用申请书在JIT CA中签发服务器证书 本章节内容由信息通信处负责，可忽略。 修改上个步骤中创建的申请证书，用文本编辑软件将头尾去掉。删除以下两行 -----BEGIN NEW CERTIFICATE REQUEST----- -----END NEW CERTIFICATE REQUEST----- 打开签发工具，“证书申请”→“服务器证书申请”； 点击“提交申请”，点击“确定”； 点击“提交修改”，点击“确定”； 点击“审核申请”，选中“审核通过”，点击“确定”； 点击“确定”； 点击“浏览”，选择去掉头尾的申请证书，点击“打开”； 点击“制证”； 制证成功，点击“确定”。 接收服务器证书 修改上个步骤中签发好的证书（*.cer文件），将签发的证书加上头尾（最后一行加个回车行）。加入以下两行内容： -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- 选择“个人证书”； 点击“接收”； 选择修改好的证书，点击“打开”； 点击“确定”； 导入后点击查看/编辑确认证书是否正确 添加签署人证书 选择签署人证书，点击添加导入根证书。 需要添加的签署人证书分别是： RootCA.cer 公安部的根证书 SDCA.cer 山东省公安厅的根证书 以上两个文件可直接联系省厅信息通信处索要。 至此，IHS密钥库制作完成，关闭ikeyman即可。 为WebSphere各应用节点制作密钥库和服务器证书 同第二部分中为IHS制作密钥库文件一样，重复章节2.1-2.5描述的内容，分别为WAS集群的两个应用节点zbgaoa18和zbgaoa19创建密钥库文件。 分别登录zbgaoa18和zbgaoa19,可以通过运行WAS安装目录中的\WebSphere\AppServer\bin\ikeyman.bat，打开IBM密钥管理软件。 注意：为WAS创建的密钥数据库类型需要选择JKS。 IHS和WebSphere各应用节点交换签署人证书（可选操作） 如果IHS密钥库和WAS应用节点密钥库中添加的签署人证书不同，则需要交换证书。 将WAS的签署人证书添加至IHS密钥库的签署人证书中。 将IHS的签署人证书添加至WAS密钥库的签署人证书中。 本文档所例举的密钥库，签署人证书均为RootCA.cer和SDCA.cer，所以此章节可跳过。 为WebSphere各应用节点添加SSL配置 在各节点的服务器上登录WAS Deployment Manager的管理控制台，依次打开 安全性 - SSL证书和密钥管理 - 管理端点安全配置，依次为两个应用节点（zbgaoa18和zbgaoa19）添加SSL配置。 本文档所例举的WAS密钥库文