Se si sta aggiornando
il prodotto e si stanno utilizzando certificati Open SSL, è necessario
esportare i certificati in formato PKCS12, prima di importarli come certificati IBM SSL.
I certificati pubblici e privati esportati sono are memorizzati in un
file protetto da password-.
Per esportare ed importare i certificati Open SSL esistenti in formato PKCS12:
- Esportare il certificato in formato PKCS12:
- Sulla riga comandi, andare alle directory appropriate:
- Su Windows: drive-letter:\Program
Files\IBM\RationalSDLC\common\IHS\bin
- Su UNIX: /opt/IBM/RationalSDLC/common/IHS/bin
- Su Linux: /opt/ibm/RationalSDLC/common/IHS/bin
- Immettere il seguente comando:
openssl pkcs12 -export -in your_server_certificate.crt -out mapped_shared_location\server_cert.p12 -inkey your_server_private_key.key -name ibmhttp
Nota: si noti l'ubicazione del file server_cert.p12. È il file
formattato in PKCS12 importato nell'archivio di IBM SSL Key Management.
- Immettere la passphrase utilizzata in fase di creazione della chiave privata.
- Immettere una password di esportazione.
- Aggiornare i file della politica IBM SDK
al fine di utilizzare la versione senza restrizioni per abilitare il riconoscimento dei file di certificati non IBM.
Nota: se non è possibile aggiornare il file della politica, si verificherà un errore durante l'importazione del certificato PKCS12.
Attenersi alle procedure illustrate in http://www.ibm.com/support/docview.wss?uid=swg21201170. Scaricare la versione 1.4.2 dei file della politica senza restrizioni
e sostituire i due file della politica esistenti che si trovano nelle seguenti ubicazioni: - Su Windows: drive-letter:\Program
Files\IBM\RationalSDLC\common\IHS\_jvm\jre\lib\security
- Su UNIX: /opt/IBM/RationalSDLC/common/IHS/_jvm/jre/lib/security
- Su Linux: /opt/ibm/RationalSDLC/common/IHS/_jvm/jre/lib/security
Importare il certificato nell'archivio di IBM SSL Key Management:
- Avviare il tool IBM HTTP
Server Key Management Utility (se non è già in esecuzione).
- Nel tool, fare clic su File database chiavi > Apri > Seleziona
CMS tipo database chiavi e selezionare Sfoglia per ricercare il file keystore (common/IHS/key.kdb).
- Immettere la password keystore e fare clic su OK.
- Nell'area del contenuto del database delle chiavi, fare clic sul menu a discesa e selezionare Certificati personali.
- Fare clic su Importa , fare clic su Tipo file chiavi
e selezionare PKCS12.
- Fare clic su Sfoglia, andare al file .p12
per importare e fare clic su OK.
- Se richiesto, immettere una password per il database delle chiavi e fare clic su OK.
- Fare clic di nuovo su OK per completare il processo di importazione.
Nota: se il certificato che si sta tentando di importare ha una data di validità scaduta, non sarà possibile importarlo. Consultare "Firma di certificati tramite CA (certificate authority)."
Firma di certificati tramite CA (certificate authority)
Per ottenere tramite CA (certificate authority) certificati autofirmati (SSL) utilizzando il programma di utilità
iKeyMan:
- Avviare il tool IBM HTTP
Server Key Management Utility.
- Fare clic su . Immettere CMS e fare clic su Sfoglia
per ricercare il file keystore (key.kdb). Immettere la password keystore e fare clic su OK. Se non viene creato per primo il file keystore (key.kbd),
consultare Creazione delle chiavi del server HTTP.
- Nell'area Contenuto database chiavi selezionare la voce dal menu a discesa
e fare clic su Richiesta certificati personali.
- Immettere i relativi valori nei campi. Utilizzare il nome completo della provincia
piuttosto che una abbreviazione. Una volta completato il tutto, salvare il file con l'estensione
.arm.
- Attenersi alle norme aziendali in termini di CA (certificate authority) per l'invio
del file .arm e per il certificato firmato (file .cert).
Ad esempio, alcune società indirizzano l'utente ad un sito web dove è possibile caricare il file
.arm e ricevere il file .cert tramite posta elettronica.
- È necessario ridenominare il file .cert con il valore contenuto nel campo Nome comune del certificato che ne risulta. Questo è in genere il nome Internet completo della macchina
(ad esempio, mymachine.somedomain.ibm.com). È necessario utilizzare il nome completo della macchina quando è indicato il nome comune.
- Nell'area Contenuto database chiavi, nel menu a discesa,
fare clic su Certificati firmatario. Se viene elencato il nome CA
(il nome della società), nella pagina Contenuto database chiavi,
selezionare la voce dal menu a discesa Certificati personali. Fare clic su Ricevi.
Ricercare il file Common Name.arm (consultare la fase
6). Se questo file è in formato ASCII, selezionare ASCII nella casella a discesa Tipo di dati altrimenti selezionare il file binario DER. Fare clic su OK.
L'utente dovrebbe ricevere un messaggio indicante l'avvenuta ricezione del certificato.
Se il
nome CA non è presente, aggiungere il certificato root della CA:
- Trovare il certificato root sul sito web della CA, scaricarlo e denominarlo
CA.arm (dove CA è il nome della società dell'autorità di certificazione).
- Nell'area Contenuto database chiavi, selezionare la voce dal menu a discesa
Certificati firmatario e fare clic su Aggiungi.
- Fare clic su Sfoglia per andare al file .arm (CA.arm)
appena scaricato. Se questo file è in formato ASCII, selezionare ASCII nella casella a discesa
Tipo di dati; altrimenti selezionare File
binario DER. Dopo aver fatto clic su OK, l'elenco contiene
il nome della propria CA, e l'utente dovrebbe ricevere un messaggio indicante l'avvenuta
ricezione del certificato. È possibile quindi andare alla fase 7.