Wenn Sie ein Upgrade für Ihr Einzelprodukt ausführen und derzeit Open SSL-Zertifikate verwenden, müssen Sie Ihre Zertifikate zuerst in das Format PKCS12 exportieren und anschließend als IBM SSL-Zertifikate importieren. Diese exportierten privaten und öffentlichen Zertifikate werden in einer kennwortgeschützten Datei gespeichert.
Führen Sie folgende Schritte aus, um Ihre vorhandenen Open-SSL-Zertifikate in das Format PKCS12 zu exportieren und anschließend zu importieren:
- Exportieren Sie das Zertifikat in das Format PKCS12:
- Navigieren Sie mit einem Befehlszeilentool zu den entsprechenden Verzeichnissen:
- Unter Windows: Laufwerkbuchstabe:\Programme\IBM\RationalSDLC\common\IHS\bin
- Unter UNIX: /opt/IBM/RationalSDLC/common/IHS/bin
- Unter Linux: /opt/ibm/RationalSDLC/common/IHS/bin
- Geben Sie den folgenden Befehl ein:
openssl pkcs12 -export -in Ihr_Serverzertifikat.crt -out zugeordnete_gemeinsam_genutzte_Position\Serverzertifikat.p12 -inkey privater_Schlüssel_Ihres_Servers.key -name ibmhttp
Anmerkung: Notieren Sie die Position der Datei Serverzertifikat.p12. Dies ist die Datei im Format PKCS12, die in den IBM SSL-Schlüsselverwaltungsspeicher importiert wird.
- Geben Sie den Verschlüsselungstext ein, der beim Erstellen des privaten Schlüssels verwendet wurde.
- Geben Sie ein Kennwort für den Export ein.
- Führen Sie ein Upgrade der IBM SDK-Richtliniendateien vor, so dass die uneingeschränkte Version verwendet wird, mit der Zertifikatsdateien erkannt werden, die nicht von IBM ausgestellt wurden.
Anmerkung: Wenn kein Upgrade der Richtliniendateien durchgeführt wird, tritt beim Import des PKCS12-Zertifikats ein Fehler auf.
Führen Sie die Anweisungen unter http://www.ibm.com/support/docview.wss?uid=swg21201170 aus. Laden
Sie die Version 1.4.2 der unbeschränkten Richtliniendateien herunter, und ersetzen Sie die beiden vorhandenen Richtliniendateien, die sich an den folgenden Positionen befinden: - Unter Windows: Laufwerkbuchstabe:\Programme\IBM\RationalSDLC\common\IHS\_jvm\jre\lib\security
- Unter UNIX: /opt/IBM/RationalSDLC/common/IHS/_jvm/jre/lib/security
- Unter Linux: /opt/ibm/RationalSDLC/common/IHS/_jvm/jre/lib/security
Importieren
Sie das Zertifikat in den IBM SSL-Schlüsselverwaltungsspeicher:
- Starten Sie das Dienstprogramm zur Schlüsselverwaltung (Key Management) von IBM HTTP Server, falls es noch nicht aktiv ist.
- Klicken Sie in dem Tool auf Key Database File > Open > Select Key database type CMS und anschließend auf
Browse, um zu Ihrer Schlüsselspeicherdatei (common/IHS/key.kdb) zu wechseln.
- Geben Sie das Schlüsselspeicherkennwort ein, und klicken Sie auf OK.
- Klicken Sie im Inhaltsbereich der Schlüsseldatenbank auf das Dropdown-Menü, und wählen Sie Personal Certificates aus.
- Klicken Sie auf Import -> Key File type, und wählen Sie PKCS12 aus.
- Klicken Sie auf Browse, navigieren Sie zu der zu importierenden Datei mit der Erweiterung ".p12", und klicken Sie dann auf OK.
- Geben Sie nach einer entsprechenden Aufforderung ein Kennwort für die Schlüsseldatenbank ein, und klicken Sie auf OK.
- Klicken Sie noch einmal auf OK, um den Importprozess abzuschließen.
Anmerkung: Wenn das Gültigkeitsdatum des Zertifikats, das Sie importieren wollen, abgelaufen ist, können Sie es nicht importieren. Lesen
Sie den folgenden Abschnitt "Zertifikate von Zertifizierungsstellen signieren lassen."
Zertifikate von Zertifizierungsstellen (CA) signieren lassen
Gehen Sie wie folgt vor, um selbst signierte CA-Zertifikate (SSL) mit dem Dienstprogramm iKeyMan abzurufen:
- Starten Sie das Dienstprogramm zur Schlüsselverwaltung (Key Management) von IBM HTTP Server wie folgt:
- Klicken Sie auf . Geben Sie "CMS" ein, und klicken Sie auf
Browse, um zu Ihrer Schlüsselspeicherdatei (key.kdb) zu navigieren. Geben Sie das Schlüsselspeicherkennwort ein, und klicken Sie auf OK. Wenn
der Schlüsselspeicher (key.kbd) zuerst nicht erstellt wird, lesen Sie die Informationen im Abschnitt Schlüssel für HTTP Server erstellen.
- Wählen Sie im Bereich Key Database Content im Dropdown-Menü den Eintrag Personal Certificate Request aus.
- Geben Sie Feldwerte für die Felder ein. Geben Sie den vollständigen Namen Ihres Bundeslandes und nicht eine Abkürzung ein. Speichern Sie danach die
Datei mit der Erweiterung ".arm".
- Beachten Sie die Regeln Ihrer Zertifizierungsstelle für das Senden der Datei mit der Erweiterung ".arm"
und den Empfang des signierten Zertifikats (Datei mit der Erweiterung ".cert").
Beispielsweise gibt es Unternehmen, die Sie an eine Website weiterleiten, auf die Sie die Datei mit der Erweiterung ".arm" hochladen und von der Sie die
Datei mit der Erweiterung ".cert" per E-Mail empfangen können.
- Sie müssen die Datei mit der Erweiterung ".cert" in den Wert umbenennen, der im Feld Common Name des
erzeugten Zertifikats angegeben ist. Das ist normalerweise der vollständige Internetname des Systems
(z. B. meinSystem.Domäne.ibm.com). Sie müssen den vollständigen Systemnamen verwenden, wenn der allgemeine Name referenziert wird.
- Wählen Sie im Bereich Key Database Content im Dropdown-Menü den Eintrag Signer Certificates aus. Wenn
der Name der Zertifizierungsstelle (der Name des Unternehmens) aufgeführt ist, wählen Sie auf der Seite Key Database Content
den Eintrag Personal Certificates in der Dropdown-Liste aus. Klicken Sie auf Receive.
Suchen Sie nach der Datei Common Name.arm (siehe Schritt 6). Handelt es sich um eine ASCII-Datei, wählen Sie
in der Dropdown-Liste Data Type den Eintrag ASCII aus, oder wählen Sie die Binärdatei DER aus. Klicken Sie auf OK.
Sie sollten die Nachricht empfangen, dass das Zertifikat fehlerfrei empfangen wurde.
Ist der CA-Name nicht aufgeführt, fügen Sie das Stammzertifikat
für die Zertifizierungsstelle wie folgt hinzu:
- Suchen Sie das Stammzertifikat auf der Website Ihrer Zertifizierungsstelle, laden Sie es herunter, und nennen Sie es
CA.arm ("CA" ist der Name der Zertifizierungsstelle).
- Wählen Sie im Bereich Key Database Content den Eintrag Signer Certificates in der Dropdown-Liste aus,
und klicken Sie auf Add.
- Klicken Sie auf Browse, um zu der soeben heruntergeladenen Datei mit der Erweiterung ".arm" (CA.arm) zu navigieren. Handelt es sich um eine ASCII-Datei, wählen Sie
in der Dropdown-Liste Data Type den Eintrag ASCII aus. Ansonsten wählen Sie DER
binary file aus. Nachdem Sie
auf OK geklickt haben, sollte die Liste jetzt den Namen Ihrer Zertifizierungsstelle enthalten,
und Sie sollten die Nachricht empfangen, dass das Zertifikat fehlerfrei empfangen wurde. Dann können Sie Schritt 7 ausführen.