WAS8.0下的SSL证书安装（zt）

IBM WAS 8.0 (Websphere Application Server)

• 简介
• 制作CSR申请文件
• 安装证书文件

简介

WAS 7(Websphere Application Server)的部署在不考虑多台服务器负载均衡的情况，一般有2种方式：

Websphere Application Server的单机安装

在单台机器上单独安装 WebSphere Application Server - Trial 将创建一个独立 Application Server，即 server1。安装将为该 Application Server 创建一组系统文件和一个概要文件。概要文件是定义 Application Server 环境的一组独立文件。

在本方案中，Application Server 使用它的内部 HTTP 传输链进行通信，这适用于处理低级别的 Web 请求。例如，此类型的安装可以支持简单测试环境或部门内部网环境。 本文主要适合该类情况下的SSL证书的安装

WebSphere Application Server 和 Web 服务器的单机安装

在安装 Application Server 的机器上安装 Web 服务器（一般如 IBM HTTP Server）将提供一组更丰富的配置选项。安装 Web 服务器插件以使 Web 服务器能够与 Application Server 进行通信。此类型的安装可以支持严格的测试环境或不需要防火墙的生产环境。此拓扑不是典型生产环境。

本类情况，SSL证书本身应该安装在Web服务器（一般如IBM HTTP Server），所以不在本文讨论范围以内

 

制作CSR申请文件

Openssl模式。

为WAS制作CSR文件，最简单的办法就直接使用我们的 OpenSSL CSR在线生成器： https://www.myssl.cn/openssl/createcsr.asp
(注意：您必须同时保存server.key和server.csr文件)

如果要在本地制作CSR文件，考虑到最后安装的时候采用Java Keystore文件格式最方便，所以我们采用Keytool工具，这个工具是JRE自带的。通过命令行的方式输入CSR信息，而且可以支持中文资料。
首先，生成一个新的jks文件，命令如下：
keytool -genkey -alias tomcat -keyalg RSA -keystore c:ssl.jks

输入密钥库密码：changeit 您的姓名是什么？ [未知]： www.myssl.cn 您的组织单位名称是什么？ [未知]： Shanghai Fastcom Technology Co.,Ltd 您的组织名称是什么？ [未知]： It Dept. 您的市／县／区或地点名称是什么？ [未知]： Shanghai 您的省／直辖市名称是什么？ [未知]： Shanghai 此单位的两字母国家或地区代码是什么？ [未知]： CN CN=www.myssl.cn, OU="Shanghai Fastcom Technology Co.,Ltd", O=It Dept., L=Shanghai, ST=Shanghai, C=CN 正确吗？ （输入“yes”或“no”） [否]： Y 为 <tomcat> 输入密钥密码 （如果与密钥库密码相同则返回）：

说明： 输入keystore密码： 请输入保护证书密钥的密码。
 
您的名字与姓氏是什么？请输入域名,例如：www.myssl.cn
 
您的组织单位名称是什么？请输入单位名称，如: Shanghai Fastcom Technology Co Ltd
 
您的组织名称是什么？请输入部门名称，如： IT Dept
 
您所在的城市或区域名称是什么？输入城市名称，如：Shanghai
 
您所在的州或省份名称是什么？输入省份名称，如：Shanghai
 
该单位的两字母国家代码是什么？中国请输入CN
 
CN=www.myssl.cn, OU=Shanghai Fastcom Technology Co Ltd, O=IT Dept, L=Shanghai, ST=Shanghai, C=CN 正确吗？输入 Y
 
输入的主密码（如果和 keystore 密码相同，按回车）：按回车
 

根据这个jks文件产生一个csr文件，输入命令：
keytool -certreq -alias tomcat -keystore ssl.jks -file server.csr

安装证书文件

先合成JKS文件

将证书内容存为一个文件:

您会收到一封来自迅通诚信的邮件，证书内容附在邮件中。如果证书是以附件的形式(Cert.cer)夹带在邮件中，您就可以直接应用它。如果您的证书中以文本的方式存在邮件中，您就需要将邮件中的证书部分的内容用Vi或Notepad存成一个纯文本文件。不要将其存成Microsoft Word 或其它字处理软件格式，并确定证书内容中不含有空行和空格，文件名可以为server.cer。如下所示：

如果是使用在线工具制作的CSR文件，请打开在线JKS合成工具，将制作CSR时候的server.key文件和刚刚收到的server.cer输入2个文本框，然后合成一个ssl.jks文件。

如果是用keytool做的CSR文件，则需要按下面方式，将证书导入原来的jks文件。

根据您选择的证书产品下载相应的根证书，保存为root.cer
 
全球信SSL专业版根证书(QuickSSL Premium)
全球信SSL企业版根证书(True BusinessID)
全球信SSL增强版根证书(Power ServerID)
闪快SSL普及版根证书(RapidSSL)
免费SSL试用版根证书(FreeSSL)

运行以下命令，将根证书（root.cer）导入jks文件，作为可信CA证书：
keytool -import -trustcacerts -keystore ssl.jks -alias root -file root.cer
 

然后运行命令，将CA签好的证书文件srever.cer导入jks文件：
keytool -import -keystore ssl.jks -alias tomcat -file server.cer

将合成好的JKS文件导入到服务器上

打开"管理控制台"，输入管理帐户，点击“登录”，

在“安全性”下，点击“SSL证书和密钥管理”

在选项“当发生SSL配置更改时动态更新运行时”打勾（这样可以不需要重WAS进程，这是WAS8.0的一个改进），然后点击“管理端点安全配置”

在“本地拓扑”下的“入站”下，选择“Server1”

在屏幕右侧点击“密钥库和证书”

点击“NodeDefaultKeyStore”

在页面右边的“其他属性”中点击“个人证书”

点击“导入”

输入JKS文件的位置: “c:ssl.jks”，类型选择“JKS”，输入保护密码，然后点击“获取密钥文件别名”

WAS会从JKS文件中读取密钥对的别名，选择JKS中的密钥对别名，并输入导入到WAS后的别名，然后点击“确定”

这时可以看到，WAS中多了一个SSL别名的密钥对，点击上方消息中“保存”到主配置

在屏幕右部上方的导航菜单中，点击“Server1”

在屏幕右侧点击“SSL配置”

点击“NodeDefaultKeyStore”

点击“获取证书别名”，在缺省服务器证书下选择刚才导入的证书别名“SSL”

点击“保存”到主配置

关闭浏览器，重新访问一下这个站点，证书已经更新上去了