WAS+HTTPS配置文档HTTPS协议解释................................................................................................................................................................1HTTPD.CONF文件配置......................................................................................................................................................1导入用户提供的证书到was的证书库............................................................................................................................2WAS管理控制台同步节点信息.....................................................................................................................................14用户证书库.....................................................................................................................................................................15HTTPS协议解释HTTPS(全称:HypertextTransferProtocoloverSecureSocketLayer),是以安全为目标的HTTP通道,简单讲是HTTP安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。HTTPS协议需要CA申请证书.HTTPS具有安全性的SSL加密传输协议。即HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比HTTP协议安全。一般银行、证券、网络行业的用户经常要求配置。WAS+HTTPS配置步骤如下。HTTPD.CONF文件配置文件位置\IBM\HTTPServer\conf\httpd.conf修改httpd.conf文件增加如下内容(在原来标准配置文件的大约233行下增加)。其中SSLClientAuthRequired参数是启动客户端双重认证。d:\ibm\HTTPServer是HTTPServer的安装路径。SHERP02.ebaotech.com是机器名称#SSLconfigLoadModuleibm_ssl_modulemodules/mod_ibm_ssl.soListen0.0.0.0:443ServerNameSHERP02.ebaotech.comSSLEnableSSLClientAuthRequiredKeyfile"d:\ibm\HTTPServer\Plugins\config\webserver1\plugin-Key.kdb"SSLStashfile"d:\ibm\HTTPServer\Plugins\config\webserver1\plugin-Key.sth"SSLDisable导入用户提供的证书到was的证书库用户提供的证书库文件的格式需要为PKCS12,该格式以p12为后缀,在用友的安装目录下有一个默认的证书库文件,如\nc55\bin\cert\ufida.p12。下面的安装案例以ufida.p12为例。如果是用户的证书库文件,则凡是选择ufida.p12文件的地方换为对应的用户库文件即可。(1)ufida.p12证书库导入D:\IBM\HTTPServer\Plugins\config\webserver1\plugin-key.kdb证书库运行D:\IBM\HTTPServer\bin\ikeyman.bat打开密钥数据库文件:输入密码,默认为:WebAS删除plugin-key.kdb中默认的证书库。导入用户提供的证书库:打开源密钥数据的密码ufida.p12的密码为:ufidauap双击上图中选中的证书,设置该证书为缺省证书,如果只有一个证书,则默认为缺省。(2)ufida.p12证书库导入D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\key.p12证书库说明:javavag为安装WAS软件所在的机器名运行D:\IBM\AppServer\bin\ikeyman.bat打开WAS中证书库文件.密码默认为:WebAS导入用户提供的密钥文件打开源密钥数据的密码ufida.p12的密码为:ufidauap(3)ufida.p12证书库导入D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\trust.p12证书库说明:javavag为安装WAS软件所在的机器名运行D:\IBM\AppServer\bin\ikeyman.bat打开WAS中证书库文件.打开密钥数据库文件:密码默认为:WebAS导入用户提供的密钥文件打开源密钥数据的密码ufida.p12的密码为:ufidauap(4)ufida.p12证书库导入分别导入D:\IBM\AppServer\profiles\AppSrv01\config\cells\javavagCell01\nodes\javavagNode01\key.p12和D:\IBM\AppServer\profiles\AppSrv01\config\cells\javavagCell01\nodes\javavagNode01\trust.p12说明:javavag为安装WAS软件所在的机器名,如果有多个Node,则需要在每个Node中都要分别导入.如javavagNode01,如果还有Node,应该为javavagNode02。运行D:\IBM\AppServer\bin\ikeyman.bat打开WAS中证书库文件,然后导入用户提供的密钥文件同样的方法打开WAS中证书库文件,然后导入用户提供的密钥文件如果集群中还有其他节点,也要把证书倒入其中的库中。文件位置类似下面。D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\trust.p12D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\key.p12D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\nodes\javavagNode01\trust.p12D:\IBM\AppServer\profiles\Dmgr01\config\cells\javavagCell01\nodes\javavagNode01\key.p12WAS管理控制台同步节点信息作完上述操作后在was的控制台的节点管理处选择全部节点作全部再同步操作。生成插件和传播插件:然后将WAS全部重新启动。即可使用https://ip:port访问用户证书库用户提供证书库文件,包含私钥在里面.证书库文件的格式为PKCS12,该格式以p12为后缀,如\nc55\bin\cert\ufida.p12如果证书库是其它格式,则需要转换为PKCS12格式.转换方法如下:运行命令\IBM\HTTPServer\bin\ikeyman.bat:打开密钥数据库文件.密码是制作证书时设置的密码(WAS+HTTPS安装的默认证书库密码是WebAS).然后另存为格式为PKCS12的证书库文件。密钥数据库类型选择为PKCS12设置密码.格式已经转换为以p12结尾的格式。
