WAS和IHS配置SSL 加密传输

1       密钥库

1.1    IHS密钥库和证书

1.1.1   建立密钥数据库文件

 

1．  进入新建密钥数据库文件界面。

2．  密钥数据库类型选择CMS，确定文件名（IHSkey.kdb）及文件路径（/opt/IBM01/seccert/）。

3．  设置该密钥数据库文件的密码，并选择将密码存储到文件。

4．  生成密钥数据库文件，将在/opt/IBM01/seccert/下生成IHSkey.kdb、IHSkey.crl、IHSkey.rdb、IHSkey.sth这4个文件。

1.1.2   新建自签名证书

 

1．  进入新建自签署证书界面。

2．  填写该界面各项数据。

    密钥标签：  IHScert

    版本： X509 V3

    密钥大小： 1024

    公共名： your_host_name

    组织： IBM

    国家或地区： CN

    有效期： 365

    单击确定。

3．  生成自签名证书。

1.1.3   抽取公用自签名证书

 

1．  在密钥数据库文件内容中选择“个人证书”，并选择1.1.2中生成的自签署证书（IHScert）。

2．  单击抽取证书。按纽。

3．  在抽取证书界面选择数据类型“Base64 编码的 ASCII 数据”，并输入证书名（IHStoWAScert .arm）。

4．  抽取证书。

1.2    WAS密钥库和证书

1.2.1   建立密钥库文件

 

1．  进入 websphere Adim console-> 安全性-》 SSL证书和密钥管理-》密钥库和证书-》新建。

2．  确定密钥库文件名（WASkey.jks），路径（/opt/IBM01/seccert/ WASkey.jks）及类型（JKS）。

3．  确定生成，在/opt/IBM01/seccert/下将生成WASkey.jks文件。

1.2.2   生成自签署证书

 

1．  选择1.2.1中生成的密钥库文件->个人证书-创建自签署证书。

2．  输入各数据项

    别名：WAScert

3．  生成自签署证书。

1.2.3   抽取公用自签名证书

 

1．  选择1.2.2中建立的自签署证书（WAScert） ，点击抽取按钮。

2．  在抽取证书界面选择数据类型“Base64 编码的 ASCII 数据”，并输入证书名（WAStoIHScert .arm）。

3．  确定抽取。默认保存在{was_install}/profiles/AppSrv01/etc

 

2       交换证书

2.1    在IHS中导入WAS中抽取的证书

 

1．  在密钥数据库文件内容中选择“签署人证书”，并点击“添加”按钮。

2．  确定各项。

    类型：Base64 编码的 ASCII 数据

    文件名：1.2.3中抽取的自签名证书（WAStoIHScert .arm）

    位置：文件存放路径

3．  确定进入下一步。

4．  输入证书标识。

5．  确定导入。

2.2    在WAS中导入HIS中抽取的证书

 

1．  进入 websphere Adim console > 安全性 > SSL 证书和密钥管理 > 密钥库和证书 > WASkey > 签署者证书。

2．  单击新建按纽。

3．  确定各项

   别名：

   文件名：1.1.3中抽取出的公用自签名证书（IHStoWAScert .arm）

   类型：Base64 编码的 ASCII 数据

4．确定导入。

3       配置WAS

3.1    配置SSL

3.1.1   生成SSL配置

 

        1．进入 websphere Adim console-> 安全性-》 SSL证书和密钥管理-》ssl 配置-》新建。

           名称:自由定义（wasssl）

           信任库名：1.2.1中建立的密钥库文件（WASkey）

           密钥库名：1.2.1中建立的密钥库文件（WASkey）

        2．点获取证书别名按钮

           缺省服务器证书别名：选择在1.2.2中创建的自签署证书WAScert

           缺省客户机证书别名：WAScert

        3．点确定生成SSL配置。

3.1.2   使用SSL配置

 

1．  应用程序服务器 > server1 > Web 容器传输链 > WCInboundDefaultSecure > SSL 入站通道（SSL_2）

2．  将SSL配置，选为:3.1.1中生成的SSL配置（wasssl），然后确定。

3.2    配置plugin

 

1．  进入服务器 > Web 服务器 > Web_server_name。

2．  在“其他属性”下，单击插件属性 > 定制属性。

3．  单击新建并添加密钥环位置的属性信息。

     输入密钥环位置的以下信息：

      名称  KeyringLocation

      值 /opt/IBM01/seccert/IHSkey.kdb

4．单击新建并添加隐藏文件位置的属性信息。

      输入隐藏文件位置的以下信息：

       名称  StashfileLocation

       值  /opt/IBM01/seccert/IHSkey.sth

5．进入服务器 > Web 服务器 > Web_server_name，然后单击生成插件。 将 plugin-cfg.xml 文件从应用程序服务器传播或复制到 Web 服务器（注意：生成与传播后plugin-cfg.xml文件路径与httpd.conf里的配置路径是否一致）。

4       配置IHS

        在HIS的httpd.conf文件中添加以下内容：

        LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

       

         Listen 443

         NameVirtualHost 192.168.18.243:443

         

            SSLEnable

       

       

        SSLDisable

        KeyFile "/opt/IBM01/seccert/IhsToWas_04key.kdb"