IBM HTTP Server 服务器证书配置SSL证书

IBM HTTP Server

服务器证书安装配置指南

深圳市沃通电子商务服务有限公司

2007-09

一、环境说明

服务器端：Websphere4.0(solaris8)

客户端：Win2000 p IE5.0

二、证书申请下载

1.产生证书请求

密钥文件由密钥管理器（ikeyman）产生的，在Solaris系统操作步骤如下：

2.1新建密钥数据库

a、启动密钥管理器：

#./ikeyman

b、点击密钥管理器的”key database file”，选择新建。接受创建默认的key.kdb或输入相应选项，点击OK

c、设置密钥口令，注意口令强度，最好是至少8位，至少包括一个大写字母，一个小写字母和一个数字。选定将口令保存到文件中选项，这样会产生一

个key.sth文件，点击OK

2.2下载安装Web服务器证书

产生证书请求

选择“personal certificate requests”，在对话框右边选择“New“，创建新的密钥和证书请求，在公用名称中填入从CFCA获得的参考号，其他依据实际情况填写，将生成的证书申请请求（CSR文件）提交给CFCA。

申请标准版时，生成CSR时按如下方式填写：

组织名（Organazation 简称“O”）：请输入您的单位名称的英文简称。

组织单位名（Organization Unit Name 简称“OU”）：请输入CFCA standard server。

通用名（Common Name 简称“CN”）：请输入您的域名。

国家名（Country Name，简称“C”）：输入CN，代表中国。

省或洲际名（State or Province Name）输入省份名称，根据实际情况填写如Beijing。

地方名（Locality Name）输城市名称，根据实际情况填写如Beijing。

申请高级版时，生成CSR时按如下方式填写：

组织名（Organazation 简称“O”）：请输入您的单位名称的英文简称。

组织单位名（Organization Unit Name 简称“OU”）：请输入CFCA advanced server。

通用名（Common Name 简称“CN”）：请输入您的域名。

国家名（Country Name，简称“C”）：输入CN，代表中国。

省或洲际名（State or Province Name）输入省份名称，根据实际情况填写如Beijing。

地方名（Locality Name）输城市名称，根据实际情况填写如Beijing。

导入Web 服务器

将CSR 提交后，SSL 证书审核通过，返回web server 证书，保存成.arm 文

件，如：test230.arm，选择“personal certificate”，在对话框右边选择“receive”,选择web 服务器证书文件后，点“OK“。

4.如何查看证书和证书链

4.1查看服务器证书

在“personal certificates‘中，选择已经安装的服务器证书后，点右侧

的”View/Edit”,即可查看。

三、启用服务器证书

1.安装SSL模块

进入IBM HTTP SERVER的管理服务器后，点“security”下面的“Server

security”:

如果系统提示您的系统没有安装ibm_ssl模块，请点击该处，系统会自动显示模块管理页面，点击添加按钮，然后在选择要添加的模块的下拉选项中，选

定ibm_ssl（IBMModuleSSL128.dll），点击应用－提交。

注意：提交按钮需要下拉滚动条才能看到。

2.配置服务器安全

（在产生密钥文件的位置，将key.kdb,key.crl,key.rdb,key.sth拷到HTTP Server安装目录下的conf目录中。）

打开“security”下面的“Server security”，进行配置，配置如下图，

密钥文件为刚才拷到conf目录下的key.kdb，提交

3.配置主机授权

打开“security”下面的”hosts authorization“进行主机授权，配置客

户端是否强制使用证书等。

4.打开443端口

在”basic settings”—〉Advance Properties—〉指定其他端口和IP地

址，点击添加，在端口下面输入443

5. 重启Web 服务

测试服务器证书安装成功

使用https://192.168.120.230:443访问，如果是强制客户端使用证书，则会弹出选择证书的对话框，选择证书后，SSL建立成功。（在浏览器右下方能够看见一把小锁的标记）