Si está actualizando
su producto de puntos y actualmente utiliza certificados Open SSL, debe exportar los certificados al formato PKCS12, antes de importarlos como certificados
IBM SSL.
Estos certificados privados y públicos exportados se almacenarán en un archivo protegido por contraseña.
Para exportar e importar sus certificados Open SSL existentes al formato PKCS12:
- Exporte el certificado al formato PKCS12:
- En la línea de mandatos, vaya a los directorios adecuados:
- En Windows: letra-unidad:\Archivos de programa\IBM\RationalSDLC\common\IHS\bin
- En UNIX: /opt/IBM/RationalSDLC/common/IHS/bin
- En Linux: /opt/ibm/RationalSDLC/common/IHS/bin
- Especifique el mandato siguiente:
openssl
pkcs12 -export -in su_certificado_servidor.crt
-out
ubicación_compartida_correlacionada\cert_servidor.p12
-inkey su_clave_privada_servidor.key
-name ibmhttp
Nota: Anote la ubicación del archivo cert_servidor.p12. Es el archivo con formato PKCS12 que se importará al almacén de IBM SSL Key Management.
- Escriba la frase correcta utilizada cuando se creó por primera vez la clave privada.
- Escriba una contraseña de exportación.
- Actualice los archivos de política de
IBM SDK
para utilizar la versión no restringida y habilitar el reconocimiento de los archivos de certificado que no sean de IBM.
Nota: Si no se actualiza el archivo de política, se producirá un error al importar el certificado PKCS12.
Siga los procedimientos
descritos en el sitio http://www.ibm.com/support/docview.wss?uid=swg21201170. Descargue la versión 1.4.2 de los archivos de política no restringidos y sustituya los dos archivos de política existentes que se encuentran en
estas ubicaciones: - En Windows: letra-unidad:\Archivos de programa\IBM\RationalSDLC\common\IHS\_jvm\jre\lib\security
- En UNIX: /opt/IBM/RationalSDLC/common/IHS/_jvm/jre/lib/security
- En Linux: /opt/ibm/RationalSDLC/common/IHS/_jvm/jre/lib/security
Importe el certificado al almacén de
IBM SSL Key Management:
- Inicie la herramienta Programa de utilidad de gestión de claves del servidor HTTP de
IBM (si aún no está en ejecución).
- En la herramienta, pulse Archivo de base de datos de claves > Abrir
> Seleccionar base de datos de claves tipo CMS y pulse
Examinar para navegar hasta el archivo de almacén de claves
(common/IHS/key.kdb).
- Escriba la contraseña de almacén de claves y pulse Aceptar.
- En el área de contenido de la base de datos de clave, pulse el menú desplegable y seleccione Personal Certificates (Certificados personales).
- Pulse Importar, Tipo de archivo de claves y seleccione PKCS12.
- Pulse Examinar, vaya al archivo .p12 que desea importar y pulse Aceptar.
- Si se le solicita, especifique una contraseña para la base de datos de claves y pulse Aceptar.
- Vuelva a pulsar Aceptar para completar el proceso de importación.
Nota: Si la fecha de validez del certificado que desea importar ha caducado, no podrá
importarlo. Consulte "Firma de certificados por entidades emisoras de
certificados."
Firma de certificados por entidades emisoras de certificados
Para obtener certificados autofirmados (SSL) de entidades emisoras de certificados
(CA) utilizando el programa de utilidad iKeyMan:
- Inicie la herramienta Programa de utilidad de gestión de claves de IBM HTTP
Server.
- Pulse . Entre CMS y pulse Examinar para
navegar hasta el archivo de almacén de claves (key.kdb). Escriba la
contraseña de almacén de claves y pulse Aceptar. Si el archivo de
almacén de claves (key.kbd) no se crea primero, consulte
Creación de claves para el servidor HTTP.
- En el área Contenido de base de datos de claves, seleccione el
elemento desplegable y pulse Solicitud de certificado personal.
- Entre valores de campo para los campos. Utilice el nombre completo de la provincia, en lugar
de una abreviatura. Cuando finalice, guarde el archivo con la extensión de archivo .arm.
- Siga las reglas de la organización de entidades emisoras de certificados (CA) para
enviar el archivo .arm y recibir el certificado firmado (archivo .cert).
Por ejemplo, algunas empresas le dirigen a un sitio web
donde puede subir el archivo .arm y recibir el archivo .cert por correo electrónico.
- Debe renombrar el archivo .cert al valor en el campo Nombre
común del certificado resultante. Esto es normalmente el nombre completo de
Internet de la máquina (por ejemplo, mymachine.somedomain.ibm.com). Debe
utilizar el nombre completo de la máquina cuando se hace referencia al nombre común.
- En el área Contenido de base de datos de claves, en el menú
desplegable pulse Certificados de firmante. Si aparece el
nombre de la CA (el nombre de la empresa), en la página Contenido de base de datos
de claves, seleccione el elemento desplegable Certificados personales. Pulse Recibir.
Busque el archivo Nombre común.arm (vea el paso
6). Si es un archivo ASCII, seleccione ASCII en el recuadro
desplegable Tipo de datos; de lo contrario, seleccione Archivo
binario DER. Pulse Aceptar.
Recibirá un mensaje que indicará que se ha recibido el certificado.
Si el nombre de la CA no aparece en la
lista, añada el certificado raíz de la CA:
- Busque el certificado raíz en el sitio web de la CA, descárguelo y nómbrelo
CA.arm (donde CA es el nombre de la empresa de la
entidad emisora de certificado).
- En el área Contenido de base de datos de claves, seleccione el
elemento desplegable Certificados de firmante y pulse
Añadir.
- Pulse Examinar para navegar al archivo .arm (CA.arm)
que acaba de descargar. Si es un archivo ASCII, seleccione ASCII en
el recuadro desplegable Tipo de datos; de lo contrario, seleccione Archivo
binarios DER. Después de pulsar Aceptar, la
lista contendrá el nombre de la CA y recibirá un mensaje indicando que el certificado se
ha recibido. A continuación, prosiga en el paso 7.