服务器证书安装配置指南（Websphere6）

转自 http://hi.baidu.com/itrus_china/blog/item/13805402e63b9c760308812d.html

一、 确认证书安装 Websphere通常只作为应用服务器，它可以方便的与其他Web服务器做应用集成。如果您的Websphere集成了Apache、IBM Http Server、IIS等Web服务器，则您的服务器证书需要配置在您的Web服务器上。如果您的Webspere不仅作为应用服务器，也做为Web服务器提供直接的Web访问方式，您才需要将证书安装配置在Webspere中。 二、 生成证书请求 1. 安装JDK（可选） Websphere安装后自带JDK安装。如果您直接在服务器上生成证书请求，请进入Weblogic安装目录下JDK所在路径的bin目录，运行keytool命令。 如果您需要在其他环境下生成证书请求文件，则您可以选择安装JDK，并稍后上传生成的密钥库文件keystore.jks到服务器上进行配置。 Java SE Development Kit (JDK) 下载。下载地址：http://java.sun.com/javase/downloads/index.jsp 2. 生成keystore文件 生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK下的bin目录，运行keytool命令。（示例中粗体部分为可自定义部分，请根据实际配置情况作相应调整） keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password 以上命令中，server为私钥别名(-alias)，生成的keystore.jks文件默认放在命令行当前路径下。 3. 生成证书请求文件(CSR) Keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password 备份密钥库文件keystore.jks，并稍后提交证书请求文件certreq.csr，等待证书签发。 三、 导入服务器证书 1.     获取服务器证书中级CA证书 从邮件中获取中级CA证书： 将证书签发邮件中从BEGIN到 END结束的中级CA证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘贴到记事本等文本编辑器中，并修改文件名，保存为intermediate.cer文件。 下载中级CA证书：http://www.itrus.com.cn/verisignchina/Service/download/ 2.     获取服务器证书 将证书签发邮件中的从BEGIN到 END结束的服务器证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为server.cer文件。 3.     查看Keystore文件内容 进入JDK安装目录下的bin目录，运行keytool命令。 keytool -list -keystore C:/keystore.jks -storepass password 查询到PrivateKeyEntry属性的私钥别名(alias)为server。记住该别名，在稍后导入服务器证书时需要用到。（示例中粗体部分为可自定义部分，请根据实际配置情况作相应调整。） 注意，导入证书时，一定要使用生成证书请求文件时生成的keystore.jks文件。keystore.jks文件丢失或生成新的keystore.jks文件，都将无法正确导入您的服务器证书。 4.     导入证书 导入中级CA证书 keytool -import -alias intermediate -keystore C:/keystore.jks -trustcacerts -storepass password -file C:/intermediate.cer 私钥的别名 导入服务器证书 keytool -import -alias server -keystore C:/keystore.jks -trustcacerts -storepass password -file C:/server.cer 导入服务器证书时，服务器证书的别名必须和私钥别名一致。请留意导入中级CA证书和导入服务器证书时的提示信息，如果您在导入服务器证书时使用的别名与私钥别名不一致，将提示“认证已添加至keystore中”而不是应有的“认证回复已安装在keystore中”。 证书导入完成，运行keystool命令，再次查看keystore文件内容 keytool -list -keystore C:/keystore.jks -storepass password 四、 安装服务器证书 1. 导入keysotre密钥库 登陆Websphere控制台 选择“安全性”è“SSL证书和密钥管理”è“密钥库和证书” 选择“新建” 创建新密钥库 2. 修改SSL配置 回到“SSL证书和密钥管理”，选择“SSL配置” 选择“新建” 为新建的SSL通道创建名称、指定密钥库及缺省证书 保存后，选择“保真质量(QoP)设置” 配置访问规则，及协议版本和加密传输属性。在这里，可设置是否要求双向认证。 回到“应用程序服务器”下，您的应用 找到该应用下的“通信”è“端口” 点击默认端口9443的“查看关联传输” 点击进入默认关联传输链 点选“SSL入站通道(SSL_2)” 选择新创建的SSL配置 保存到主配置，并退出 3. 访问测试 重启应用或重启Websphere，访问https://youdomain:port/youapp/，测试证书的安装。 五、 服务器证书的备份及恢复 在您成功的安装和配置了服务器证书之后，请务必依据下面的操作流程，备份好您的服务器证书，以防证书丢失给您带来不便。 1. 服务器证书的备份 备份服务器证书密钥库文件keystore.jks文件即可完成服务器证书的备份操作。 2. 服务器证书的恢复 请参照服务器证书安装部分，将服务器证书密钥库keystore.jks文件恢复到您的服务器上，并修改配置，恢复服务器证书的应用。   天威诚信为全球最大的电子服务认证机构美国VeriSign在中国的首席合作伙伴，全面代理 VeriSign旗下包括 GeoTrust，Thawte在内的 SSL证书、代码签名证书等全线产品。   隋校宇 国际认证中心 北京天威诚信电子商务服务有限公司 电话：13520606004 QQ：1078920792 MSN：sui_sentimental@hotmail.com Email：sui_xiaoyu@itrus.com.cn   服务器证书|SSL证书|EV SSL证书|代码签名证书|SSL数字证书|微软徽标认证|SSL数字签名|数字签名证书|微软代码签名证书-天威诚信权威代理VeriSign全线品牌数字证书--VeriSign     VeriSign 128位EV SSL强制型证书(VeriSign Secure Site Pro with EV ) VeriSign 128位EV SSL支持型证书(VeriSign Secure Site with EV) VeriSign 128位SSL强制型证书(VeriSign Secure Site Pro) VeriSign 128位SSL支持型证书(VeriSign Secure Site) Verisign通配型服务器证书 VeriSign微软移动代码签名证书(Code Signing Certificate for Microsoft Authenticode) VeriSign代码签名证书(VeriSign Code Signing Certificates) 如何选购代码签名证书 证书配置常见问题 服务器证书常见问题 如何选购数字证书 VeriSign EV SSL证书电子商务解决方案 欺诈钓鱼网站难逃火眼，绿色地址栏安全升级 让信任一目了然，绿色地址栏反欺诈钓鱼在行动 网上银行“反欺诈钓鱼网站”---绿色地址栏安全解决方案 移动运营商门户网站--SSL证书安全解决方案 网站实名认证，欺诈钓鱼网站绕道而行 网上银行的安全性分析

 

上一篇： VeriSign微软移动代码签名证书(C...    下一篇： 服务器证书安装配置指南（Weblog...