IBM Http Server 服务器证书安装配置指南
环度小编:ihuandu

因证书签名算法升级,目前证书均需要使用 SHA-256 算法签发。IBM Http Server 8.5之前版本不支持SHA-256算法,无法加载使用SHA-256算法证书生成的kdb文件。如需配置SHA-256算法证书,请升级IHS到8.5或以上版本。

一、创建证书请求
1.    运行ikeyman  
  IBM Http Server附带 I Key Manager 工具,可用于管理 IHS 的证书密钥文件。IBM HTTP Server V6.1版本不支持创建2048位证书请求,请使用IHS7或以上版本自带的 I Key Manager 工具来创建证书申请。选择“Start Key Management Utility”,运行I Key Manager
2.    创建密钥库文件 
  密钥库类型选择“CMS”

  注意:请选中“将密码存储到文件”选项,此选项将把密码加密保存到扩展名为.sth的文件中。IHS启动时,会自动从该.sth文件中读取密码,如果不选择此项启动HTTP SERVER 时会报错。  

3.    生成证书请求 
使用IHS7版ikeyman创建的含2048位密钥的密钥库文件,并填写证书的完整信息。
QQ截图20211022160848.png

导出证书签名请求文件certreq.arm,并稍后发送给环度网信相关人员,等待证书的签发。 

注:如SSL证书已签发,不需要再次生成证书请求,开始安装证书即可。

二、导入服务器证书 
1.    获取并导入CA证书 
将证书签发邮件中的“以下是您的中级CA证书”部分里的第一段内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,保存并修改文件扩展名为intermediate1.cer文件。
将证书签发邮件中的“以下是您的中级CA证书”部分里的第二段内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,保存并修改文件扩展名为root.cer文件。
    运行ikeyman并打开您的kdb文件,切换到“签署人证书”视图,并选择“添加”
20200429143532_59660.png
  添加中级CA证书intermediate1.cer文件,并输入证书的自定义标号名称例如:intermediate1。 

2.    获取并导入Root证书 
IHS7版ikeyman创建的kdb文件默认不包含服务器证书的根证书,需要使用IHS7版ikeyman打开生成的kdb文件, 添加根证书root.cer文件,并输入证书的自定义标号名称例如:root

20200429143543_77920.png


3.获取并导入服务器证书 
  将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”) 粘贴到记事本等文本编辑器中,保存为server.cer文件 。
  切换到“个人证书”视图,选择“接收”,选择并导入您的服务器证书文件。  
20200429143553_72273 (1).png
20200429143603_74511.png

导出成功后请双击打开个人证书,确保证书勾选了“将该证书设置为缺省证书”。


三、安装服务器证书 
打开IHS安装目录下conf目录中的httpd.conf文件,在所有已存在的 Load Module 条目下方添加如下条目以加载 IBM SSL 模块 LoadModule ibm_ssl_module modules/mod_ibm_ssl.so 
  在 httpd.conf 文件结尾处添加如下内容:
     
      Listen 0.0.0.0:443 
        
        SSLEnable
        SSLProtocolDisable SSLv2 SSLv3
        SSLCipherSpec TLS_RSA_WITH_AES_256_CBC_SHA
        SSLCipherSpec TLS_RSA_WITH_AES_128_CBC_SHA
        SSLCipherSpec  SSL_RSA_WITH_3DES_EDE_CBC_SHA
             
    SSLDisable        
    KeyFile "C:\Program Files\IBM\SSLKeyDB\key.kdb" 
  保存退出,并重启IHS。 
  完成HIS的设置后,您还需要登录Websphere控制台,检查“环境”=“虚拟主机”检查配置中default_host或您自定义的虚拟主机项,“主机别名”下,是否已正确启用443端口。 
四、服务器证书的备份及恢复 
  在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。 
1.    服务器证书的备份 
  备份服务器证书密钥库文件key.kdb、key.rdb、key.sth即可完成服务器证书的备份操作。 
2.    服务器证书的恢复 
  请参照服务器证书配置部分,将服务器证书密钥文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。



  • 扫一扫二维码可分享朋友或朋友圈