實際項目中配置SSL實例之三 websphere6上配置ssl(共4篇)

 原來做的一個金融軟件項目, 部署到生產環境後,客戶要求使用SSL協議保證數據安全性(後來分析實際用處不大),在此整理了一些SSL基本概念
和不同服務器(weblogic,websphere,apache,)的ssl配置以及自建CA中心生成證書

--第三篇:websphere6上配置ssl--

下面直接把整理的word格式的配置直接貼上來吧,省得還得排版本,呵呵.缺少的貼圖以後補上吧

 

1       Websphere6上配置SSL

1.1    使用JDK中的keytool生成密鑰對配置

1.1.1   生成密鑰對

keytool -genkey -alias 密鑰別名 -keyalg RSA -keystore 密鑰文件名

例:

  keytool -genkey -alias myserver -keyalg RSA -keystore mytest.jks

 

之後輸入密碼和一系列申請者的信息,注:

在What is your first and last name中需要輸入web server的訪問域名?

 

最終結果:生成mytest.jks文件

 

1.1.2   生成CSR文件,即需要發給CA機構進行簽名的文件

使用剛剛生成的密鑰對文件來生成CSR文件:

keytool -certreq -keyalg RSA –alias 密鑰別名 -file 證書文件名 -keystore 密鑰文件名

我猜這裏麪包含申請人信息和剛剛產生密鑰對中的公鑰.經驗證,確定.

例:

keytool -certreq -keyalg RSA -alias myserver -file mytest.csr -keystore mytest.jks

 

最終結果:生成mytest.csr文件

 

1.1.3   將mytest.csr文件發送給CA中間認證機構.

CA簽完名後,會把簽過名的證書內容(文本格式)以mail的形式發回來.之後把mail中內容保存成XXX.crt文件格式, window平臺中配置需要轉成轉成二進制.cer格式文件,例如myserver.cer文件

 

1.1.4   得到中間CA證書

從CA認證機構下載中間CA證書(即包含中級CA機構公鑰的證書文件,也指服務器證書鏈)一般一個crt的字符串,拷貝下來後保存成crt文件;在window平臺中配置需要轉成.cer文件,如caroot.cer .

 

1.1.5   導入證書

使用CAroot的中級證書及已被CA中級機構簽過名的證書,導入至私鑰文件中:

*導入中級CA證書

keytool –import –alias root –keystore mytest.jks –trustcacerts –file caroot.cer

 

*導入服務器證書

keytool –import –alias myserver–keystore mytest.jks –trustcacerts –file myserver.cer

 

至此mytest.jks中已被導入了CA中間證書和已簽過名的服務器證書

 

說明:按以上配置分析,最終生成的結果可以分開2個配置文件,也可以都導入到一個目的文件中配置

 

1.2    websphere控制檯中的ssl配置

1.2.1   打開wsa控制檯中 “安全”>>SSL中

把:

密鑰文件名

和

信任文件名

都改爲剛剛創建的jks文件的路徑，密碼改爲創建jks時的密碼,保存.如下圖

 

1.3    配置實例

Ø         1,生成密鑰對

keytool -genkey -alias myserver -keyalg RSA -keystore mytest.jks

其中,最關鍵是組織信息中第一行輸入 What is your first and last name?

在這裏要輸入正式運行時服務器的域名,在這裏我們輸入:

www.belltest.com

最終生成jks文件:mytest.jks

 

Ø         2,生成CSR證書籤名請求文件

keytool -certreq -keyalg RSA -alias myserver -file mytest.csr -keystore mytest.jks

 

最終生成CSR文件:mytest.csr

 

Ø         3,登陸一個CA中間機構網站，到試用區申請一個試用的簽名證書,在其間會提示把mytest.csr內容填入網站的申請步驟中.在線申請後就會立刻收到一個試用的簽名證書,網站是使用程序自動生成併發送的,把mail中的

-----BEGIN CERTIFICATE-----

…

-----END CERTIFICATE-----

拷貝出來存成myserver.crt文件

 

Ø         4,在CA中間網站下載免費提供的根CA證書,存成caroot.cer(如果是crt文件,請轉成cer格式)文件

 

Ø         5,把根CA與簽過名的證書文件導入jks文件

注:用這種方法生成的結果是把我們的私鑰,公鑰,CA根證書(證書鏈)和簽名全部放在一個jks文件中；當然,也可以把jks私鑰和簽過名的證書分別放入兩個文件分別配置。

1),先查看一下第一步生成的jks文件中的內容:

keytool –list –keystore mytest.jks

 

2),在window環境下把根ca根證書文件和服務器證書文件都轉成cer文件

  雙擊證書文件後另存爲der二進制即可

 

3),導入ca根證書文件

keytool -import -alias root -keystore mytest.jks -trustcacerts -file caroot.cer

4),導入服務器證書文件

keytool -import -alias myserver -keystore mytest.jks -trustcacerts -file myserver.cer

 

5)查看導入後的jks文件

keytool -list -keystore mytest.jks

發現裏面已經存在兩個指紋簽名了

 

Ø         6,配置websphere

打開wsa管理控制檯後,按2.2中步驟修改密鑰文件&信任文件名,密碼；配置完畢

 

1.4    備註

在websphere6的SSL配置中有三種文件類型可供選擇:

JKS

PKCS12

JCEK

 

配置雙向SSL時,需要打開下圖中 客戶端驗證 選項