和不同服務器(weblogic,websphere,apache,)的ssl配置以及自建CA中心生成證書
--第三篇:websphere6上配置ssl--
下面直接把整理的word格式的配置直接貼上來吧,省得還得排版本,呵呵.缺少的貼圖以後補上吧
1 Websphere6上配置SSL
1.1 使用JDK中的keytool生成密鑰對配置
1.1.1 生成密鑰對
keytool -genkey -alias 密鑰別名 -keyalg RSA -keystore 密鑰文件名
例:
keytool -genkey -alias myserver -keyalg RSA -keystore mytest.jks
之後輸入密碼和一系列申請者的信息,注:
在What is your first and last name中需要輸入web server的訪問域名?
最終結果:生成mytest.jks文件
1.1.2 生成CSR文件,即需要發給CA機構進行簽名的文件
使用剛剛生成的密鑰對文件來生成CSR文件:
keytool -certreq -keyalg RSA –alias 密鑰別名 -file 證書文件名 -keystore 密鑰文件名
我猜這裏麪包含申請人信息和剛剛產生密鑰對中的公鑰.經驗證,確定.
例:
keytool -certreq -keyalg RSA -alias myserver -file mytest.csr -keystore mytest.jks
最終結果:生成mytest.csr文件
1.1.3 將mytest.csr文件發送給CA中間認證機構.
CA簽完名後,會把簽過名的證書內容(文本格式)以mail的形式發回來.之後把mail中內容保存成XXX.crt文件格式, window平臺中配置需要轉成轉成二進制.cer格式文件,例如myserver.cer文件
1.1.4 得到中間CA證書
從CA認證機構下載中間CA證書(即包含中級CA機構公鑰的證書文件,也指服務器證書鏈)一般一個crt的字符串,拷貝下來後保存成crt文件;在window平臺中配置需要轉成.cer文件,如caroot.cer .
1.1.5 導入證書
使用CAroot的中級證書及已被CA中級機構簽過名的證書,導入至私鑰文件中:
*導入中級CA證書
keytool –import –alias root –keystore mytest.jks –trustcacerts –file caroot.cer
*導入服務器證書
keytool –import –alias myserver–keystore mytest.jks –trustcacerts –file myserver.cer
至此mytest.jks中已被導入了CA中間證書和已簽過名的服務器證書
說明:按以上配置分析,最終生成的結果可以分開2個配置文件,也可以都導入到一個目的文件中配置
1.2 websphere控制檯中的ssl配置
1.2.1 打開wsa控制檯中 “安全”>>SSL中
把:
密鑰文件名
和
信任文件名
都改爲剛剛創建的jks文件的路徑,密碼改爲創建jks時的密碼,保存.如下圖
1.3 配置實例
Ø 1,生成密鑰對
keytool -genkey -alias myserver -keyalg RSA -keystore mytest.jks
其中,最關鍵是組織信息中第一行輸入 What is your first and last name?
在這裏要輸入正式運行時服務器的域名,在這裏我們輸入:
最終生成jks文件:mytest.jks
Ø 2,生成CSR證書籤名請求文件
keytool -certreq -keyalg RSA -alias myserver -file mytest.csr -keystore mytest.jks
最終生成CSR文件:mytest.csr
Ø 3,登陸一個CA中間機構網站,到試用區申請一個試用的簽名證書,在其間會提示把mytest.csr內容填入網站的申請步驟中.在線申請後就會立刻收到一個試用的簽名證書,網站是使用程序自動生成併發送的,把mail中的
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
拷貝出來存成myserver.crt文件
Ø 4,在CA中間網站下載免費提供的根CA證書,存成caroot.cer(如果是crt文件,請轉成cer格式)文件
Ø 5,把根CA與簽過名的證書文件導入jks文件
注:用這種方法生成的結果是把我們的私鑰,公鑰,CA根證書(證書鏈)和簽名全部放在一個jks文件中;當然,也可以把jks私鑰和簽過名的證書分別放入兩個文件分別配置。
1),先查看一下第一步生成的jks文件中的內容:
keytool –list –keystore mytest.jks
2),在window環境下把根ca根證書文件和服務器證書文件都轉成cer文件
雙擊證書文件後另存爲der二進制即可
3),導入ca根證書文件
keytool -import -alias root -keystore mytest.jks -trustcacerts -file caroot.cer
4),導入服務器證書文件
keytool -import -alias myserver -keystore mytest.jks -trustcacerts -file myserver.cer
5)查看導入後的jks文件
keytool -list -keystore mytest.jks
發現裏面已經存在兩個指紋簽名了
Ø 6,配置websphere
打開wsa管理控制檯後,按2.2中步驟修改密鑰文件&信任文件名,密碼;配置完畢
1.4 備註
在websphere6的SSL配置中有三種文件類型可供選擇:
JKS
PKCS12
JCEK
配置雙向SSL時,需要打開下圖中 客戶端驗證 選項