将 Open SSL 证书转换为 IBM SSL

如果您要升级点产品,并且当前正在使用 Open SSL 证书,那么必须将它们导出为 PKCS12 格式,然后再将它们导入为 IBM® SSL 证书。这些导出的专用和公用证书存储在受密码保护的文件中。

要将现有的 Open SSL 证书以 PKCS12 格式导出和导入:
  1. 将证书导出为 PKCS12 格式:
    1. 在命令行上,浏览至相应目录:
      • 在 Windows® 上:drive-letter: \Program Files\IBM\RationalSDLC\common\IHS\bin
      • 在 UNIX® 上:/opt/IBM/RationalSDLC/common/IHS/bin
      • 在 Linux® 上:/opt/ibm/RationalSDLC/common/IHS/bin
    2. 输入以下命令:

      openssl pkcs12 -export -in your_server_certificate.crt -out mapped_shared_location\server_cert.p12 -inkey your_server_private_key.key -name ibmhttp

      注: 记下文件 server_cert.p12 的位置。这是导入到 IBM SSL 密钥管理库中的 PKCS12 格式文件。
    3. 输入最初创建专用密钥时使用的口令。
    4. 输入导出密码。
  2. 升级 IBM SDK 策略文件,以使用不受限版本支持识别非 IBM 证书文件。
    注: 如果升级策略文件失败,会导致在导入 PKCS12 证书时出错。
    请遵循 http://www.ibm.com/support/docview.wss?uid=swg21201170 中的过程。下载不受限策略文件的 1.4.2 版本,并替换位于以下位置的两个现有策略文件:
    • 在 Windows 上:drive-letter:\Program Files\IBM\RationalSDLC\common\IHS\_jvm\jre\lib\security
    • 在 UNIX 上:/opt/IBM/RationalSDLC/common/IHS/_jvm/jre/lib/security
    • 在 Linux 上:/opt/ibm/RationalSDLC/common/IHS/_jvm/jre/lib/security
    将证书导入到 IBM SSL 密钥管理库中:
    1. 启动 IBM HTTP Server 密钥管理实用程序工具(如果尚未运行)。
    2. 在工具中,单击密钥数据库文件 > 打开 > 选择密钥数据库类型 CMS 并单击浏览以浏览到密钥库文件(common/IHS/key.kdb)。
    3. 输入密钥库密码并单击确定
    4. 在密钥数据库内容区域中,单击下拉菜单并选择个人证书
    5. 单击导入,然后单击密钥文件类型并选择 PKCS12
    6. 单击浏览,浏览至要导入的 .p12 文件,然后单击确定
    7. 如果出现提示,请输入密钥数据库的密码,然后单击确定
    8. 再次单击确定完成导入过程。
    注: 如果您正在尝试导入的证书有效日期已到期,那么将无法导入该证书。请参阅“由认证中心签署证书”。

由认证中心签署证书

要使用 iKeyMan 实用程序获得认证中心(CA)自签署(SSL)证书:
  1. 启动 IBM HTTP Server 密钥管理实用程序工具。
  2. 单击密钥数据库文件 > 打开 > 选择密钥数据库。输入 CMS 并单击浏览以浏览到密钥库文件(key.kdb)。输入密钥库密码并单击确定。如果尚未创建密钥库(key.kbd)文件,请参阅创建 HTTP Server 密钥
  3. 密钥数据库内容区域,选择下拉菜单,然后单击个人证书请求
  4. 为各字段输入字段值。请使用您所在省份的全称,而不使用缩写。输入完成后,使用 .arm 文件扩展名保存文件。
  5. 请遵循认证中心(CA)组织制定的关于发送 .arm 文件和接收已签署证书(.cert 文件)的规则。 例如,某些公司会指示您访问 Web 站点以上载 .arm 文件并且通过电子邮件接收 .cert 文件。
  6. 您必须将 .cert 文件重命名为所得到证书的公共名称字段中的值。该名称通常为机器的完整因特网名称(例如 mymachine.somedomain.ibm.com)。在引用公共名称时必须使用完整机器名称。
  7. 密钥数据库内容区域,在下拉菜单上单击签署者证书。如果在密钥数据库内容页面中列出 CA 名称(公司名称),请选择下拉菜单项个人证书。单击接收。浏览 Common Name.arm 文件(见步骤 6)。如果它是 ASCII 文件,请选择数据类型下拉框中的 ASCII,否则请选择 DER 二进制文件。单击确定。您应该会收到声称证书已接收的消息。
    如果未列出 CA 名称,请为 CA 添加根证书:
    1. 在 CA 的 Web 站点上查找根证书,下载它,并将其命名为 CA.arm(其中 CA 是证书授权公司的名称)。
    2. 密钥数据库内容区域中,选择下拉菜单项签署者证书,并单击添加
    3. 单击浏览以浏览到您刚才下载的 .arm 文件(CA.arm)。如果它是 ASCII 文件,请选择数据类型下拉框中的 ASCII,否则请选择 DER 二进制文件。单击确认后,列表中将包含 CA 的名称,而且您应该会收到声称证书已接收的消息。然后可以继续执行步骤 7。

反馈