如果您要升级点产品,并且当前正在使用 Open SSL 证书,那么必须将它们导出为 PKCS12 格式,然后再将它们导入为 IBM® SSL 证书。这些导出的专用和公用证书存储在受密码保护的文件中。
要将现有的 Open SSL 证书以 PKCS12 格式导出和导入:
- 将证书导出为 PKCS12 格式:
- 在命令行上,浏览至相应目录:
- 在 Windows® 上:drive-letter: \Program Files\IBM\RationalSDLC\common\IHS\bin
- 在 UNIX® 上:/opt/IBM/RationalSDLC/common/IHS/bin
- 在 Linux® 上:/opt/ibm/RationalSDLC/common/IHS/bin
- 输入以下命令:
openssl pkcs12 -export -in your_server_certificate.crt -out mapped_shared_location\server_cert.p12 -inkey your_server_private_key.key -name ibmhttp
注: 记下文件 server_cert.p12 的位置。这是导入到 IBM SSL 密钥管理库中的 PKCS12 格式文件。
- 输入最初创建专用密钥时使用的口令。
- 输入导出密码。
- 升级 IBM SDK 策略文件,以使用不受限版本支持识别非 IBM 证书文件。
注: 如果升级策略文件失败,会导致在导入 PKCS12 证书时出错。
请遵循 http://www.ibm.com/support/docview.wss?uid=swg21201170 中的过程。下载不受限策略文件的 1.4.2 版本,并替换位于以下位置的两个现有策略文件:- 在 Windows 上:drive-letter:\Program Files\IBM\RationalSDLC\common\IHS\_jvm\jre\lib\security
- 在 UNIX 上:/opt/IBM/RationalSDLC/common/IHS/_jvm/jre/lib/security
- 在 Linux 上:/opt/ibm/RationalSDLC/common/IHS/_jvm/jre/lib/security
将证书导入到 IBM SSL 密钥管理库中:
- 启动 IBM HTTP Server 密钥管理实用程序工具(如果尚未运行)。
- 在工具中,单击密钥数据库文件 > 打开 > 选择密钥数据库类型 CMS 并单击浏览以浏览到密钥库文件(common/IHS/key.kdb)。
- 输入密钥库密码并单击确定。
- 在密钥数据库内容区域中,单击下拉菜单并选择个人证书。
- 单击导入,然后单击密钥文件类型并选择 PKCS12。
- 单击浏览,浏览至要导入的 .p12 文件,然后单击确定。
- 如果出现提示,请输入密钥数据库的密码,然后单击确定。
- 再次单击确定完成导入过程。
注: 如果您正在尝试导入的证书有效日期已到期,那么将无法导入该证书。请参阅“由认证中心签署证书”。
由认证中心签署证书
要使用 iKeyMan 实用程序获得认证中心(CA)自签署(SSL)证书:
- 启动 IBM HTTP Server 密钥管理实用程序工具。
- 单击。输入 CMS 并单击浏览以浏览到密钥库文件(key.kdb)。输入密钥库密码并单击确定。如果尚未创建密钥库(key.kbd)文件,请参阅创建 HTTP Server 密钥。
- 在密钥数据库内容区域,选择下拉菜单,然后单击个人证书请求。
- 为各字段输入字段值。请使用您所在省份的全称,而不使用缩写。输入完成后,使用 .arm 文件扩展名保存文件。
- 请遵循认证中心(CA)组织制定的关于发送 .arm 文件和接收已签署证书(.cert 文件)的规则。
例如,某些公司会指示您访问 Web 站点以上载 .arm 文件并且通过电子邮件接收 .cert 文件。
- 您必须将 .cert 文件重命名为所得到证书的公共名称字段中的值。该名称通常为机器的完整因特网名称(例如 mymachine.somedomain.ibm.com)。在引用公共名称时必须使用完整机器名称。
- 在密钥数据库内容区域,在下拉菜单上单击签署者证书。如果在密钥数据库内容页面中列出 CA 名称(公司名称),请选择下拉菜单项个人证书。单击接收。浏览 Common Name.arm 文件(见步骤 6)。如果它是 ASCII 文件,请选择数据类型下拉框中的 ASCII,否则请选择 DER 二进制文件。单击确定。您应该会收到声称证书已接收的消息。
如果未列出 CA 名称,请为 CA 添加根证书:
- 在 CA 的 Web 站点上查找根证书,下载它,并将其命名为 CA.arm(其中 CA 是证书授权公司的名称)。
- 在密钥数据库内容区域中,选择下拉菜单项签署者证书,并单击添加。
- 单击浏览以浏览到您刚才下载的 .arm 文件(CA.arm)。如果它是 ASCII 文件,请选择数据类型下拉框中的 ASCII,否则请选择 DER 二进制文件。单击确认后,列表中将包含 CA 的名称,而且您应该会收到声称证书已接收的消息。然后可以继续执行步骤 7。