IBM_HTTP_Server通过iKeyman.bat制作证书文件

使用IBM HTTP Server (IHS) 配合 IBM Key Management Utility (iKeyman) 来生成和管理SSL证书，是常见的操作。以下是通过iKeyman.bat制作证书文件的详细步骤。

一、启动 iKeyman 工具

1. 导航到 IBM HTTP Server 的 bin 目录
   例如，如果安装在 C:\IBM\HTTPServer 目录下：

   cd C:\IBM\HTTPServer\bin
   

2. 启动 iKeyman 工具
   运行 iKeyman.bat 文件：

   iKeyman.bat
   

二、创建新的密钥数据库

1. 在 iKeyman 工具中，选择“Key Database File”菜单，然后选择“New”来创建一个新的密钥数据库。

2. 在弹出的对话框中，输入以下信息：

   • File Name: 输入密钥数据库的名称，例如 key.kdb
   • Location: 选择保存密钥数据库的位置
   • Key Database Type: 选择 CMS
   • 点击“OK”

3. 创建密码：

   • 输入并确认密码
   • 点击“OK”

三、创建新的自签名证书

1. 在 iKeyman 工具中，确保打开了刚才创建的密钥数据库。

2. 选择“Create” -> “New Self-Signed Certificate”

3. 填写以下信息：

   • Key Label: 证书的标签，例如 mySelfSignedCert
   • Version: 选择 X509 V3
   • Key Size: 通常选择 2048 或更高
   • Common Name: 服务器的 FQDN（完全限定域名），例如 www.example.com
   • Organization: 公司的名称
   • Organizational Unit: 部门名称
   • Locality: 城市名称
   • State/Province: 省/州名称
   • Country: 国家代码，例如 US
   • Valid For: 证书的有效天数，例如 365 天

4. 点击“OK”

四、生成证书签名请求（CSR）

1. 选择“Create” -> “New Certificate Request”

2. 填写以下信息：

   • Key Label: 输入一个标签，例如 myCertRequest
   • Version: 选择 X509 V3
   • Key Size: 通常选择 2048 或更高
   • Common Name: 服务器的 FQDN（完全限定域名），例如 www.example.com
   • Organization: 公司的名称
   • Organizational Unit: 部门名称
   • Locality: 城市名称
   • State/Province: 省/州名称
   • Country: 国家代码，例如 US
   • 点击“OK”

3. 保存 CSR 文件

   • 选择保存 CSR 文件的位置和名称，例如 certreq.arm
   • 点击“OK”

五、导入签名的证书

1. 收到证书颁发机构（CA）签发的证书后，在 iKeyman 工具中选择“Receive” -> “Import Certificate”

2. 选择保存的签名证书文件（例如 myCert.arm）

3. 在“Key Database Content”中选择“Personal Certificates”

4. 点击“OK”

六、配置 IBM HTTP Server 使用 SSL 证书

1. 编辑 IBM HTTP Server 的配置文件 httpd.conf

   • 导航到 C:\IBM\HTTPServer\conf 目录
   • 打开 httpd.conf 文件

2. 添加或修改 SSL 配置：

   LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
   Listen 443
   <VirtualHost *:443>
       SSLEnable
       SSLServerCert mySelfSignedCert
       KeyFile "C:/IBM/HTTPServer/conf/key.kdb"
       SSLStashFile "C:/IBM/HTTPServer/conf/key.sth"
       ...
   </VirtualHost>
   

3. 确保 KeyFile 和 SSLStashFile 路径正确，并且 SSLServerCert 标签与密钥数据库中的标签匹配。

七、重启 IBM HTTP Server

C:\IBM\HTTPServer\bin\apachectl -k restart

通过上述步骤，你已经成功通过 iKeyman 工具在 IBM HTTP Server 上生成并应用了 SSL 证书。

基于 GeoTrust 专业版通配符 OV SSL的 JKS制作教程

使用 GeoTrust 专业版通配符 OV SSL 证书制作 Java KeyStore (JKS) 文件的详细步骤如下。此过程包括生成证书签名请求 (CSR)、提交给 GeoTrust、接收并导入证书，并最终创建 JKS 文件。

一、生成证书签名请求 (CSR)

1. 使用 Keytool 生成密钥库和 CSR

1. 生成密钥库和私钥

   keytool -genkey -alias mydomain -keyalg RSA -keysize 2048 -keystore mydomain.jks -dname "CN=*.example.com, OU=Department, O=Company, L=City, ST=State, C=Country" -storepass changeit -keypass changeit
   

2. 生成 CSR

   keytool -certreq -alias mydomain -keystore mydomain.jks -file mydomain.csr -storepass changeit
   

二、提交 CSR 文件给 GeoTrust

1. 打开 GeoTrust 的网站并按照其指南提交生成的 CSR 文件进行证书申请。

2. 完成验证过程
   GeoTrust 可能需要进行域名和组织验证，请按照其要求完成验证过程。

3. 接收证书文件
   GeoTrust 验证通过后，会发送证书文件给你。通常包括以下文件：

   • 服务器证书文件 (例如 your_domain.crt)
   • 中间证书文件 (例如 GeoTrustCA.crt)

三、导入和配置 SSL 证书

1. 导入 GeoTrust 中间证书

keytool -import -trustcacerts -alias geotrustca -file GeoTrustCA.crt -keystore mydomain.jks -storepass changeit

2. 导入 GeoTrust 服务器证书

keytool -import -alias mydomain -file your_domain.crt -keystore mydomain.jks -storepass changeit

四、验证证书链

确保证书链正确无误：

keytool -list -v -keystore mydomain.jks -storepass changeit

你应该能看到类似如下的证书链：

Alias name: mydomain
Entry type: PrivateKeyEntry
Certificate chain length: 2
Certificate[1]:
Owner: CN=*.example.com, OU=Department, O=Company, L=City, ST=State, C=Country
Issuer: CN=GeoTrust OV SSL CA - G3, O=GeoTrust Inc., C=US
...
Certificate[2]:
Owner: CN=GeoTrust OV SSL CA - G3, O=GeoTrust Inc., C=US
Issuer: CN=GeoTrust Global CA, O=GeoTrust Inc., C=US
...

五、配置 Java 应用服务器使用 JKS 文件

根据具体的 Java 应用服务器，配置方式有所不同。以下是一些常见的配置示例：

1. Apache Tomcat

在 server.xml 文件中配置 SSL Connector：

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="/path/to/mydomain.jks"
           keystorePass="changeit"
           keyAlias="mydomain" />

2. WebSphere Application Server

通过 WebSphere 管理控制台配置 SSL：

1. 登录 WebSphere 管理控制台。
2. 导航到“Security” -> “SSL certificate and key management”
3. 在相关 SSL 配置中，导入新的 KeyStore 并指定 JKS 文件路径和密码。

3. JBoss/WildFly

在 standalone.xml 或 domain.xml 中配置 SSL：

<security-realm name="SSLRealm">
    <server-identities>
        <ssl>
            <keystore path="path/to/mydomain.jks" password="changeit" alias="mydomain"/>
        </ssl>
    </server-identities>
</security-realm>

通过上述步骤，你已经成功生成了基于 GeoTrust 专业版通配符 OV SSL 的 JKS 文件，并配置了 Java 应用服务器使用该证书。确保每个步骤都正确执行，并根据具体的应用服务器进行适当的配置调整。