【案例3】WebSphere7+HTTPS訪問配置方法

原創 Z.Virgil 2020-06-09 21:23

網頁訪問配置方法

 

目錄

 

網頁訪問配置方法

合成p12證書文件

合成步驟

Httpd.conf文件配置

導入用戶提供的證書到was的證書庫

ufida.p12證書庫導入D:\IBM\HTTPServer\Plugins\config\webserver1\plugin-key.kdb證書庫

ufida.p12證書導入D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\key.p12證書庫

ufida.p12證書庫導入D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\trust.p12證書庫

ufida.p12證書庫導入分別導入庫

導入NC證書

啓用WAS安全性

WAS管理控制檯同步節點信息

生成插件和傳播插件

重新導入plugin的證書

重啓WAS

瀏覽器端安裝證書即可訪問

疑難問題

illegal key size

通過IHS轉發的時候找不到頁面

合成p12證書文件

客戶共提供三個文件

這三個文件中cer爲證書文件 key爲私鑰文件  jks爲加密庫文件。均可使用,簽名相同,但是需要進行轉化。

WAS支持p12格式。

首先拿到廠商給的cer和key。密碼爲123qwe

用openssl合成爲efivestar.com.p12

合成步驟

1.  下載win64Openssl,可到http://slproweb.com/products/Win32OpenSSL.html下載,這裏下載1.0.1j版本

2. 下載Openssl源碼,去官網http://www.openssl.org/下載即可。如下圖

https://img-blog.csdn.net/20141216163707156

解壓openssl-1.0.1j.tar.gz,找到\openssl-1.0.1j\apps目錄,拷貝demoCA目錄和openssl.cnf文件到Openssl的安裝目錄下的bin目錄下(即D:\OpenSSL-Win64\bin\)。

3.  進行合成

合成後如下

Httpd.conf文件配置

文件位置\IBM\HTTPServer\conf\httpd.conf

修改httpd.conf文件增加如下內容(在原來標準配置文件的大約233行下增加)。

//其中SSLClientAuth Required參數是啓動客戶端雙重認證。

//如果客戶端不想導入證書,無需客戶端認證,那麼這個值Required設置成Optional

d:\ibm\HTTPServer是HTTPServer的安裝路徑。

javavag 是機器名稱

# SSL config

LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

Listen 0.0.0.0:443

<VirtualHost *:443>

  ServerName  javavag

  SSLEnable

  SSLClientAuth Optional

  Keyfile "d:\ibm\HTTPServer\Plugins\config\webserver1\plugin-Key.kdb"

  SSLStashfile "d:\ibm\HTTPServer\Plugins\config\webserver1\plugin-Key.sth"

</VirtualHost>

SSLDisable

導入用戶提供的證書到was的證書庫

用戶提供的證書庫文件的格式需要爲PKCS12, 該格式以p12爲後綴,在用友的安裝目錄下有一個默認的證書庫文件,如\nc55\bin\cert\ufida.p12。

下面的安裝案例以ufida.p12爲例。如果是用戶的證書庫文件,則凡是選擇ufida.p12文件的地方換爲對應的用戶庫文件即可。如果是WAS8.5,則對應的文件存在於C:\IBM8\WebSphere\Plugins\etc下。

ufida.p12證書庫導入D:\IBM\HTTPServer\Plugins\config\webserver1\plugin-key.kdb證書庫

  • 執行
D:\IBM\HTTPServer\bin\ikeyman.bat

  • 打開密鑰數據庫文件

  • 輸入密碼,默認爲:WebAS

  • 刪除plugin-key.kdb中默認的證書庫

  • 導入用戶提供的證書庫

  • 打開源密鑰數據庫

打開源密鑰數據庫的密碼efivestar.com.p12的密碼爲:123qwe

  • 設置該證書爲缺省證書

雙擊上圖中選中的證書, 設置該證書爲缺省證書,如果只有一個證書,則默認爲缺省。

ufida.p12證書導入D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\key.p12證書庫

說明: javavag爲安裝WAS軟件所在的機器名

運行D:\IBM\AppServer\bin\ikeyman.bat

  • 打開WAS中證書庫文件

密碼默認爲: WebAS

  • 導入用戶提供的密鑰文件

  • 打開源密鑰數據的密碼ufida.p12的密碼爲:123qwe

ufida.p12證書庫導入D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\trust.p12證書庫

說明: javavag爲安裝WAS軟件所在的機器名

運行D:\IBM\AppServer\bin\ikeyman.bat

  • 打開WAS中證書庫文件

  • 打開密鑰數據庫文件

密碼默認爲:WebAS

  • 導入用戶提供的密鑰文件

  • 打開源密鑰數據的密碼ufida.p12的密碼爲:123qwe

ufida.p12證書庫導入分別導入庫

D:\IBM\AppServer\profiles\AppSrv01\config\cells\javavagCell01\nodes\javavagNode01\key.p12

D:\IBM\AppServer\profiles\AppSrv01\config\cells\javavagCell01\nodes\javavagNode01\trust.p12

說明: javavag爲安裝WAS軟件所在的機器名,如果有多個Node,則需要在每個Node中都要

分別導入. 如 javavagNode01 ,如果還有Node, 應該爲javavagNode02 。

  • 打開WAS中證書庫文件

運行D:\IBM\AppServer\bin\ikeyman.bat

打開WAS中證書庫文件,然後導入用戶提供的密鑰文件

同樣的方法打開WAS中證書庫文件,然後導入用戶提供的密鑰文件

如果集羣中還有其他節點,也要把證書倒入其中的庫中。文件位置類似下面。

D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\ trust.p12

D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\ key.p12

D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\nodes\javavagNode01\ trust.p12

D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\nodes\javavagNode01\ key.p12

D:\IBM\AppServer\profiles\AppSrv01\config\cells\javavagCell01\ trust.p12

D:\IBM\AppServer\profiles\ AppSrv01\config\cells\javavagCell01\ key.p12

D:\IBM\AppServer\profiles\AppSrv01\config\cells\javavagCell01\nodes\javavagNode01\ trust.p12

D:\IBM\AppServer\profiles\ AppSrv01\config\cells\javavagCell01\nodes\javavagNode01\ key.p12

導入NC證書

進入nchome/bin

執行wasCertcmd.bat IMP命令導入證書。

將NC證書導入到WAS的jdk受信任庫當中。

啓用WAS安全性

點擊安全配置嚮導。

WAS管理控制檯同步節點信息

作完上述操作後在was的控制檯的節點管理處選擇全部節點作全部再同步操作。

生成插件和傳播插件

需要手動生成webserver1

保存後提交,然後點擊nc63應用

  • 管理模塊的映射

將<plunin-install>/bin/ configurewebserver1.bat文件拷貝到dmgr的<was-install>/bin目錄運行,進行管理模塊的映射。

重新導入plugin的證書

導入用戶提供的證書到was的證書庫相同

重啓WAS

然後將WAS全部重新啓動。即可使用https://ip:443訪問

瀏覽器端安裝證書即可訪問

可以看到證書信息爲rapidssl sha256 ca

如果瀏覽器不能訪問,請清除緩存之後再試。

疑難問題

illegal key size

有時候導入證書的時候會提示,由於JRE的策略問題導致無法進行。由於WAS默認只支持128位的key,超過128位的key時候必須要求進行Policy的文件設置。會報告illegal key size,此時需要進行策略替換。將策略文件替換爲無強度文件。 

以windows下,jdk1.6爲例,將jce_policy-6.zip下的兩個jar包複製到 jdk安裝目錄下

例x:\java\jdk1.6.0_10\jre\lib\security\

覆蓋原有文件即可,需要同時修改兩個地方。

D:\IBM\HTTPServer\java\jre\lib\security 和 D:\IBM\WebSphere\AppServer\java\jre\lib\security

  • 下載地址

https://www-01.ibm.com/marketing/iwm/iwm/web/reg/download.do?source=jcesdk&S_PKG=13_01&lang=en_US&cp=UTF-8

或者

http://download.csdn.net/download/java814483194/8722233

必須使用IBM的策略文件。oracle的無效!!!

通過IHS轉發的時候找不到頁面

打印出日誌可以看到

重新用ikeyman打開證書後發現,Plugin裏面的證書由於剛纔重新生成,被覆蓋掉了。重新導入證書。

同時可以發現,HIS conf的配置文件也有一些問題。需要改爲如下

LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

Listen 20.10.80.15:443

<IfModule mod_ibm_ssl.c>

Listen 443

<VirtualHost *:443>

  SSLEnable

  SSLClientAuth Optional

  ErrorLog logs/erroryk_log

</VirtualHost>

</IfModule>

SSLDisable

Keyfile "D:\IBM\HTTPServer\Plugins\config\webserver1\plugin-Key.kdb"

SSLStashfile "D:\IBM\HTTPServer\Plugins\config\webserver1\plugin-Key.sth"

全部重啓後生效,發現仍然報錯。

查詢IBM官網,找到SSL0208E.

發現報錯爲接受的證書無法驗證檢查。

猜想可能是plugin和應用沒有進行綁定。於是再次進行configwebserver1.bat的運行。

全部重啓server和apache即可

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

NC log4j報錯

SLF4J: Class path contains multiple SLF4J bindings. SLF4J: Found binding in [jar:file:/F:/NC/nchome/home/modules/uapec/

从面朝大海到春暖花开 2020-07-08 11:54:56

NC編輯前後事件

 修改按鈕配置文件 <?xml version="1.0" encoding="GBK"?> <!DOCTYPE beans PUBLIC "-//SPRING//DTD BEAN//EN" "http://www.springfra

从面朝大海到春暖花开 2020-07-08 11:54:55

NC65費用管理報銷單提交按鈕新增業務插件開發步驟

1、業務插件註冊,找到並選中財務-費用管理-借款報銷單     點擊新增事件類型按鈕,新增事件類型 ,事件類型編碼:ERM1016 ,事件類型名稱:提交後 2、新增業務插件 插件名稱:提交後,插件全類名:實現了nc.bs.busines

东风流浪 2020-06-29 06:04:58

NC633開發環境起服務一直提示80端口被佔用

NC633開發環境起服務的時候一直提示80端口被佔用,檢查了一下sysconfig裏面的端口配置和studio裏面的客戶端連接配置,確定都沒使用80端口。後來發現,sysconfig服務器信息配置裏面服務器名稱是ncServer(拷到本地

东风流浪 2020-06-29 06:04:58

NC6單據動作約束開發過程

1、單據函數註冊註冊約束類 2、業務流程定義 選擇單據,設置單據動作約束,選中單據節點,根據自己的需求選擇右側的單據動作前約束或單據動作後約束,雙擊右側的參照按鈕 選中左側需要添加動作約束的單據動作,點擊新增按鈕,雙擊右側列表裏面的約

东风流浪 2020-06-29 06:04:58

NC65發佈webservice接口開發環境啓動服務找不到接口

最近在做NC65的webservice接口,接口發佈以後,在開發環境啓動NC服務,訪問url : http://127.0.0.1:80/uapws/service 看不到自己發佈的接口 目前遇到有兩種現象 1、訪問url,直接報錯找不到

东风流浪 2020-06-29 06:04:58

NC 應收應付金額計算邏輯

原幣價稅合計 =數量 * 含稅單價 原幣無稅金額  = 原幣價稅合計 /(1+稅率) (應稅外加) 原幣無稅金額  = 原幣價稅合計 /(1 - 稅率) (應稅內含) 原幣稅額=原幣價稅合計 - 原幣無稅金額  本幣價稅合計=原幣價稅合計

东风流浪 2020-06-29 06:04:47

NC 採用BaseDAO操作第三方數據庫時提示"ts"標識符無效

NC 採用BaseDAO操作第三方數據庫執行更新操作時提示"ts"標識符無效。 BaseDAO又一個addTimestamp屬性,是否默認添加時間戳,設置屬性值爲false,則在使用BaseDAO執行sql時不會在原sql 語句中添加ts

东风流浪 2020-06-29 06:04:47

NC57 查詢引擎SQL手工設計報表開發

一、定義查詢參數 二、寫查詢執行SQL select distinct ts_payapply.billno as billno, ts_payapply.wish_paydate wish_payd

东风流浪 2020-06-29 06:04:47

DHCP動態主機配置協議rfc2131翻譯

https://tools.ietf.org/html/rfc2131 動態主機配置協議 本備忘錄的狀態       本文檔爲以下內容指定了Internet標準跟蹤協議:互聯網社區,並要求討論和提出建議改進。請參考最新版的“互聯網標準化狀

chenyuk1 2020-06-26 20:47:28

NC(Net cat ) 使用詳解(用作文件傳輸,端口轉發,反彈Shell)

1)連接到REMOTE主機,例子: 格式:nc -nvv 192.168.x.x 80 講解:連到192.168.x.x的TCP80端口 2)監聽LOCAL主機,例子: 格式:nc -l -p 80 講解:監聽本機的TCP80端口 3)掃

byte_way 2020-06-24 05:17:56

NC6自由報表怎麼設置單元格動態變顏色(預警)

     在自由報表中可以實現簡單預警的功能,其實很簡單,NC本身就提供了相關的功能,自由報表可以對數據進行預警,即對某區間的數據設置標記。    打開自由報表,選擇要預警的單元格,點擊格式,選擇條件格式,如下圖:           

kuangpengfei 2020-06-16 13:54:08

NC56報表模板開發

NC56報表模板開發 開發步驟 在項目中先創建報表的功能類,具體功能可後面再實現 在<功能註冊>中建立功能節點 打開<自定義菜單>,新增的功能節點默認在<其他節點>,將建立的功能節點拖拽到對應的菜單下 在<報表模板初始化>建立報

mickkong 2020-06-11 07:21:00

VMware vSphere 6.0三種磁盤規格

厚置備延遲置零 厚置備置零 Thin Provision(精簡置備) 厚置備延遲置零 創建磁盤時,直接從磁盤中 分配空間,但保留部分磁盤的數據。當有I/O操作時,只需要做置零的操作。 磁盤性能較好,創建磁盤時間短。 厚置備置零

chenyuk1 2020-06-10 13:29:05

【案例6】NC安裝部署常見問題

目錄   問題1:Too many open files 問題現象 解決辦法 問題2:圖形化報錯 問題現象 解決辦法 問題3:nmc啓動報環境不符合 問題現象 解決辦法 問題4:64位系統安裝了32位的軟件 問題現象 解決辦法 問題5:參

Z.Virgil 2020-06-09 21:23:25