### Websphere6安装服务器证书知识点详解
#### 一、生成CSR
在部署WebSphere 6环境时,为了确保通信的安全性,通常需要为服务器安装SSL证书。这一步骤的第一步是生成证书签名请求(Certificate Signing Request,简称CSR)。CSR包含了申请证书所需的公钥以及关于申请人的一些基本信息。
##### 1、生成密钥
使用Java自带的`keytool`工具来生成密钥对:
```bash
keytool -genkey -alias server -keyalg RSA -keystore C:\keystore.jks
```
- `-genkey`: 生成一个新的密钥对。
- `-alias server`: 设置密钥对的别名为“server”。
- `-keyalg RSA`: 指定算法为RSA。
- `-keystore C:\keystore.jks`: 指定密钥库的路径。
接着,系统会提示输入keystore密码。假设密码为“123456”。然后,还需要填写一系列问题,例如姓名、组织单位名称、组织名称等。这些信息用于构建CSR,并且非常重要,因为它们会被包含在最终生成的证书中。
示例输入:
- 姓名与姓氏:t-chenzhan.itrus.com.cn
- 组织单位名称:itrus
- 组织名称:itruschina
- 城市或区域名称:beijing
- 州或省份名称:beijing
- 单位的两字母国家代码:CN
确认信息无误后,输入“y”进行确认。
##### 2、生成CSR文件
接下来,使用`keytool`命令生成CSR文件:
```bash
keytool -certreq -keyalg RSA -alias server -file certreq.csr -keystore C:\keystore.jks
```
- `-certreq`: 请求证书。
- `-keyalg RSA`: 指定密钥算法为RSA。
- `-alias server`: 使用之前创建的密钥对别名。
- `-file certreq.csr`: 指定CSR文件的保存路径和名称。
- `-keystore C:\keystore.jks`: 指定密钥库的路径。
再次输入keystore密码“123456”。
#### 二、注册服务器证书
完成CSR生成后,需要将其提交给证书颁发机构(CA),申请服务器证书。天威诚信提供了多个服务器证书注册地址,包括:
- VTN40服务器证书注册地址:https://digitalid.itrus.com.cn/SecureServer/server/index.html
- VTN128服务器证书注册地址:https://digitalid.itrus.com.cn/GlobalServer/globalserver/index.html
- VTN128两年期服务器证书注册地址:https://sc.itrus.com.cn/GlobalServer/globalserver/index.html
具体的注册流程和细节,请参考《天威诚信服务器证书操作手册》。
#### 三、获取证书并导入
证书颁发后,天威诚信会通过邮件发送证书文件。邮件中通常包含以下内容:
- 服务器证书的安装指导链接。
- 确认服务器是否已安装中级CA证书的链接。
- 提供中级证书的下载链接。
- 安装指导链接,例如:http://www.itrus.com.cn/support/sslsupp/install.asp 或 http://www.verisign.com/support/install/index.html
- 中级证书的安装方法链接:https://www.verisign.com/support/site/caReplacement.html
- 中级证书更新的相关信息链接:http://www.verisign.com/support/vendors/exp-gsid-ssl.html
##### 1、接收带有证书的邮件
收到邮件后,首先检查邮件的附件或内容中是否包含证书文件。邮件中通常会有一个以`-----BEGIN CERTIFICATE-----`开头和`-----END CERTIFICATE-----`结尾的文本,这就是服务器证书。
##### 2、获取服务器证书
从邮件中复制证书文本,保存为`.crt`文件。
##### 3、将服务器证书及证书链导入
将证书导入到WebSphere环境中。通常情况下,需要导入两部分:服务器证书和证书链。
- **服务器证书**:这是由CA签发给你的证书。
- **证书链**:通常包含一个或多个中间证书,直到根证书。
使用`keytool`将证书导入到keystore中:
```bash
keytool -import -alias intermediate -file intermediate.cer -keystore C:\keystore.jks
keytool -import -alias server -file server.crt -keystore C:\keystore.jks
```
其中,“intermediate.cer”为中间证书文件,“server.crt”为服务器证书文件。
#### 四、安装服务器证书
在WebSphere控制台中,选择相应的节点和服务,配置HTTPS端口绑定,指定keystore和密钥别名等参数。具体步骤如下:
1. 登录到WebSphere控制台。
2. 导航到“资源” -> “安全性” -> “密钥库”。
3. 添加或编辑keystore,指定路径和密码。
4. 在“节点代理配置”中配置HTTPS端口绑定。
5. 指定密钥库、密钥别名等参数。
完成以上步骤后,WebSphere 6服务器即成功安装了服务器证书,可以提供加密的安全连接服务。
