IBM Websphere 6.1 SSL 操作大全 .

WAS 6.1(Websphere Application Server)的部署在不考虑多台服务器负载均衡的情况，一般有2种方式：Websphere Application Server的单机安装在单

WAS 6.1(Websphere Application Server)的部署在不考虑多台服务器负载均衡的情况，一般有

2种方式：

Websphere Application Server的单机安装

在单台机器上单独安装 WebSphere Application Server - Trial 将创建一个独立

Application Server，即 server1。安装将为该 Application Server 创建一组系统文件和一个概要文件。概要文件是定义 Application Server 环境的一组独立文件。

在本方案中，Application Server 使用它的内部 HTTP 传输链进行通信，这适用于处理低级别的 Web 请求。例如，此类型的安装可以支持简单测试环境或部门内部网环境。 本文主要适合该类情况下的SSL 证书的安装

WebSphere Application Server 和 Web 服务器的单机安装

在安装 Application Server 的机器上安装 Web 服务器（一般如 IBM HTTP Server）将提供一组更丰富的配置选项。安装 Web 服务器插件以使 Web 服务器能够与 Application Server 进行通信。此类型的安装可以支持严格的测试环境或不需要防火墙的生产环境。此拓扑不是典型生产环境。

本类情况，SSL 证书本身应该安装在Web 服务器（一般如IBM HTTP Server），所以不在本文讨论范围以内

制作CSR 申请文件

Openssl 模式。

为WAS 制作CSR 文件，最简单的办法就直接使用我们的 OpenSSL CSR在线生成器： https://www.myssl.cn/openssl/createcsr.asp

(注意：您必须同时保存server.key 和server.csr 文件)

如果要在本地制作CSR 文件，考虑到最后安装的时候采用Java Keystore文件格式最方便，所以我们采用Keytool 工具，这个工具是JRE 自带的。通过命令行的方式输入CSR 信息，而且可以支持中文资料。

首先，生成一个新的jks 文件，命令如下：

keytool -genkey -alias tomcat -keyalg RSA -keystore c:/ssl.jks

输入密钥库密码：changeit

您的姓名是什么？

[未知]： www.myssl.cn

您的组织单位名称是什么？

[未知]： Shanghai Fastcom Technology Co.,Ltd

您的组织名称是什么？

[未知]： It Dept.

您的市／县／区或地点名称是什么？

[未知]： Shanghai

您的省／直辖市名称是什么？

[未知]： Shanghai

此单位的两字母国家或地区代码是什么？

[未知]： CN

CN=www.myssl.cn, OU="Shanghai Fastcom Technology Co.,Ltd",

O=It Dept., L=Shanghai, ST=Shanghai, C=CN 正确吗？

（输入“yes”或“no”）

[否]： Y

为 输入密钥密码

（如果与密钥库密码相同则返回）：

说明： 输入keystore 密码： 请输入保护证书密钥的密码。

您的名字与姓氏是什么？请输入域名, 例如：www.myssl.cn

您的组织单位名称是什么？请输入单位名称，如: Shanghai Fastcom Technology Co Ltd

您的组织名称是什么？请输入部门名称，如： IT Dept

您所在的城市或区域名称是什么？输入城市名称，如：Shanghai

您所在的州或省份名称是什么？输入省份名称，如：Shanghai

该单位的两字母国家代码是什么？中国请输入CN

CN=www.myssl.cn, OU=Shanghai Fastcom Technology Co Ltd, O=IT Dept, L=Shanghai, ST=Shanghai, C=CN 正确吗？输入 Y

输入的主密码（如果和 keystore 密码相同，按回车）：按回车

根据这个jks 文件产生一个csr 文件，输入命令：

keytool -certreq -alias tomcat -keystore ssl.jks -file server.csr

安装证书文件

先合成JKS 文件

将证书内容存为一个文件:

您会收到一封来自迅通诚信的邮件，证书内容附在邮件中。如果证书是以附件的形式

(Cert.cer)夹带在邮件中，您就可以直接应用它。如果您的证书中以文本的方式存在邮件中，您就需要将邮件中的证书部分的内容用Vi 或Notepad 存成一个纯文本文件。不要将其存成Microsoft Word 或其它字处理软件格式，并确定证书内容中不含有空行和空格，文件名可以为server.cer 。如下所示：

如果是使用在线工具制作的CSR 文件，请打开在线JKS 合成工具，将制作CSR 时候的server.key 文件和刚刚收到的server.cer 输入2个文本框，然后合成一个ssl.jks 文件。 如果是用keytool 做的CSR 文件，则需要按下面方式，将证书导入原来的jks 文件。 根据您选择的证书产品下载相应的根证书，保存为root.cer

全球信SSL 专业版根证书(QuickSSL Premium)

全球信SSL 企业版根证书(True BusinessID)

全球信SSL 增强版根证书(Power ServerID)

闪快SSL 普及版根证书(RapidSSL)

免费SSL 试用版根证书(FreeSSL)

运行以下命令，将根证书（root.cer ）导入jks 文件，作为可信CA 证书：

keytool -import -trustcacerts -keystore ssl.jks -alias root -file root.cer

然后运行命令，将CA 签好的证书文件srever.cer 导入jks 文件：

keytool -import -keystore ssl.jks -alias tomcat -file server.cer

将合成好的JKS 文件导入到服务器上

打开" 管理控制台" ，输入管理帐户，点击“登录”，

在“

安全性”下，点击“SSL证书和密钥管理”

点击“管理端点安全配置”

在“

本地拓扑”下的“入站”下，选择“Server1”

在屏幕右侧点击“密钥库和证书”

点击“NodeDefaultKeyStore”

点击“个人证书”

点击“

导入”

输入JKS 文件的位置: “c:/ssl.jks”，类型选择“JKS”，输入保护密码，然后点击“获取密钥文件别名”

WAS 会从JKS 文件中读取密钥对的别名，选择JKS 中的密钥对别名，并输入导入到WAS 后的别名，然后点击“确定”

这时可以看到，WAS

中多了一个SSL 别名的密钥对，然后选中“default”别名，点击“替换”

选择“替换为„SSL‟”，点击“确定”

重新启动WAS 服务器进程，证书已经替换上去了