WebSphere6.1+IHS集群环境下的SSL配置方法

1/26WebSphere6.1+IHS集群环境下的SSL配置方法曹玮成2009年12月29日2/26目录一、前提.............................................................................................................................................3二、为IHS制作密钥库和服务器证书.............................................................................................31.创建密钥数据库..........................................................................................................................32.生成服务器证书申请文件..........................................................................................................43.使用申请书在JITCA中签发服务器证书................................................................................54.接收服务器证书........................................................................................................................105.添加签署人证书........................................................................................................................13三、为WEBSPHERE各应用节点制作密钥库和服务器证书....................................................14四、IHS和WEBSPHERE各应用节点交换签署人证书（可选操作）.....................................15五、为WEBSPHERE各应用节点添加SSL配置.......................................................................15六、修改IHS配置文件，为IHS添加SSL配置.........................................................................23七、配置WEBSERVERPLUGIN................................................................................................243/26一、前提本文档所描述的信息是基于正确安装WebSphere6.1（版本6.1.0.17）和IBMHTTPServer6.1并进行了集群配置后进行的。文档中所列举的集群拓扑结构如下图：二、为IHS制作密钥库和服务器证书可以通过运行IHS安装目录中的\HTTPServer\bin\ikeyman.bat，打开IBM密钥管理软件。1.创建密钥数据库选择密钥数据库文件点击新建密钥数据库类型选择CMS文件名称、位置任选（本文档所例举的IHS密钥库文件存储在\HTTPServer\ihs_ssl\）输入密钥库密码（注意保存此密码，配置SSL时会用到）删除所有默认的签署人证书4/262.生成服务器证书申请文件选择个人证书请求点击新建输入证书编号（站点证书的别名）选择密钥大小输入组织（ou）组织单位（o）市/县/区(L)省/直辖市(S)邮编不需要填写国家选择CN证书请求文件可放在任意位置5/263.使用申请书在JITCA中签发服务器证书本章节内容由信息通信处负责，可忽略。修改上个步骤中创建的申请证书，用文本编辑软件将头尾去掉。删除以下两行6/26-----BEGINNEWCERTIFICATEREQUEST----------ENDNEWCERTIFICATEREQUEST-----打开签发工具，“证书申请”→“服务器证书申请”；点击“提交申请”，点击“确定”；7/26点击“提交修改”，点击“确定”；点击“审核申请”，选中“审核通过”，点击“确定”；8/26点击“确定”；点击“浏览”，选择去掉头尾的申请证书，点击“打开”；9/26点击“制证”；制证成功，点击“确定”。10/264.接收服务器证书修改上个步骤中签发好的证书（*.cer文件），将签发的证书加上头尾（最后一行加个回车行）。加入以下两行内容：-----BEGINCERTIFICATE----------ENDCERTIFICATE-----11/26选择“个人证书”；点击“接收”；12/26选择修改好的证书，点击“打开”；点击“确定”；13/26导入后点击查看/编辑确认证书是否正确5.添加签署人证书选择签署人证书，点击添加导入根证书。需要添加的签署人证书分别是：14/26RootCA.cer公安部的根证书SDCA.cer山东省公安厅的根证书以上两个文件可直接联系省厅信息通信处索要。至此，IHS密钥库制作完成，关闭ikeyman即可。三、为WebSphere各应用节点制作密钥库和服务器证书同第二部分中为IHS制作密钥库文件一样，重复章节2.1-2.5描述的内容，分别为WAS集群的两个应用节点zbgaoa18和zbgaoa19创建密钥库文件。分别登录zbgaoa18和zbgaoa19,可以通过运行WAS安装目录中的\WebSphere\AppServer\bin\ikeyman.bat，打开IBM密钥管理软件。注意：为WAS创建的密钥数据库类型需要选择JKS。15/26四、IHS和WebSphere各应用节点交换签署人证书（可选操作）如果IHS密钥库和WAS应用节点密钥库中添加的签署人证书不同，则需要交换证书。将WAS的签署人证书添加至IHS密钥库的签署人证书中。将IHS的签署人证书添加至WAS密钥库的签署人证书中。本文档所例举的密钥库，签署人证书均为RootCA.cer和SDCA.cer，所以此章节可跳过。五、为WebSphere各应用节点添加SSL配置在各节点的服务器上登录WASDeploymentManager的管理控制台，依次打开安全性-SSL证书和密钥管理-管理端点安全配置，依次为两个应用节点（zbgaoa18和zbgaoa19）添加SSL配置。本文档所例举的WAS密钥库文件分别存储在zbgaoa18服务器的\WebSphere\AppServer\ssl\was18_ssl目录和zbgaoa19服务器的\WebSphere\AppServer\ssl\was19_ssl目录。配置操作如下图：16/26在入站拓扑树中点击集群节点的应用程序服务器cluster01，如下图：在cluster01的配置相关项中点击密钥库和证书，如下图：17/26点击新建，如下图：依次创建信任库和密钥库，如下图：18/26注意：以上两幅截图中，第一幅图片中的root.jks是由省厅信息通信处直接提供的信任库文件，可联系省厅信息通信处索要，默认密码11111111。第二幅图片中的zbgaoa18trust.jks是章节3中自行创建并导入zbgaoa18服务器证书的密钥库文件。创建好信任库和密钥库后，开始为cluster01添加SSL配置，如下图：19/26点击新建，如下图：保存后再次点击已添加的SSL配置，进行详细设置，如下图：20/26至此，SSL配置添加完成。下面为应用程序服务器的Web容器传输链选择SSL配置，如下图：21/2622/2623/26类似的，重复章节5中描述的步骤，为zbgaoa19服务器的cluster02配置SSL即可。六、修改IHS配置文件，为IHS添加SSL配置打开\HTTPServer\conf\httpd.conf（先做好备份），在文件最后增加以下内容：LoadModulewas_ap20_moduled:\IBM\HTTPServer\Plugins\bin\mod_was_ap20_http.dllWebSpherePluginConfigD:\IBM\HTTPServer\Plugins\config\webserverOA\plugin-cfg.xml（以上两句应该已经存在）Listen443LoadModuleibm_ssl_modulemodules/mod_ibm_ssl.soVirtualHost10.50.1.17:443--本机IP地址SSLEnableDocumentRootD:\IBMHTTPServer\htdocs\zh_CNServerNamezbgaoa17--主机名SSLClientAuth1--客户端强制认证24/26/VirtualHostKeyfileD:\IBM\HTTPServer\ihs_ssl\key.kdb--注意检查密钥库文件路径SSLV2Timeout100SSLV3Timeout1000SSLDisable七、配置WebServerPlugin25/26新建以下两个属性，分别如下图：26/26以上配置完成后，重新生成并传播Web服务器插件。至此，所有SSL配置完成，重启WAS即可。