Conversion des certificats Open SSL au format IBM SSL

Si vous mettez à niveau votre produit à fonction unique et que vous utilisez actuellement des certificats Open SSL, vous devez exporter vos certificats au format PKCS12, avant de les importer en tant que certificats IBM® SSL. Ces certificats privés et publics exportés sont stockés dans un fichier protégé par un mot de passe.

Afin d'exporter et d'importer vos certificats Open SSL existants au format PKCS12 :
  1. Exportez le certificat souhaité au format PKCS12 :
    1. Dans la ligne de commande, naviguez jusqu'aux répertoires appropriés :
      • Sous Windows® : identificateur-d'unité:\Program Files\IBM\RationalSDLC\common\IHS\bin
      • Sous UNIX® : /opt/IBM/RationalSDLC/common/IHS/bin
      • Sous Linux® : /opt/ibm/RationalSDLC/common/IHS/bin
    2. Entrez la commande suivante :

      openssl pkcs12 -export -in your_server_certificate.crt -out mapped_shared_location\server_cert.p12 -inkey your_server_private_key.key -name ibmhttp

      Remarque : Notez l'emplacement du fichier server_cert.p12. Il s'agit du fichier de format PKCS12 qui est importé dans le magasin IBM SSL Key Management.
    3. Entrez la phrase clé utilisée lors de la création initiale de la clé privée.
    4. Entrez un mot de passe d'exportation.
  2. Mettez à niveau les fichiers de règles IBM SDK afin qu'ils utilisent la version non restreinte permettant l'activation de la reconnaissance des fichiers de certification non-IBM.
    Remarque : Si vous ne mettez pas à niveau les fichiers de règles, une erreur se produira lors de l'importation du certificat PKCS12.
    Suivez les procédures décrites dans http://www.ibm.com/support/docview.wss?uid=swg21201170. Téléchargez la version 1.4.2 des fichiers de règles non restreints et remplacez les deux fichiers de règles existants situés aux emplacements suivants :
    • Sous Windows : identificateur-d'unité:\Program Files\IBM\RationalSDLC\common\IHS\_jvm\jre\lib\security
    • Sous UNIX : /opt/IBM/RationalSDLC/common/IHS/_jvm/jre/lib/security
    • Sous Linux : /opt/ibm/RationalSDLC/common/IHS/_jvm/jre/lib/security
    Importez le certificat dans le magasin IBM SSL Key Management :
    1. Démarrez l'outil Key Management Utility d'IBM HTTP Server (s'il n'est pas déjà en cours d'exécution).
    2. Dans cet outil, cliquez sur Key Database File > Open > Select Key database type CMS puis sur Browse pour naviguer jusqu'au fichier de clés (common/IHS/key.kdb).
    3. Entrez le mot de passe du fichier de clés, puis cliquez sur OK.
    4. Dans la zone Key database content, cliquez sur le menu déroulant et sélectionnez Personal Certificates.
    5. Cliquez sur Import, sur Key File type, puis sélectionnez PKCS12.
    6. Cliquez sur Browse, naviguez jusqu'au fichier .p12 à importer et cliquez sur le bouton OK.
    7. Si vous y êtes invité, entrez un mot de passe pour la base de données de clés, puis cliquez sur OK.
    8. Cliquez à nouveau sur OK pour terminer le processus d'importation.
    Remarque : Si la date de validité du certificat que vous essayez d'importer a expiré, vous ne pourrez pas l'importer. Voir "Certificats signataires par les autorités de certification."

Certificats signataires par les autorités de certification

Pour obtenir des certificats auto-signés (SSL) d'autorité de certification (CA) à l'aide de l'utilitaire iKeyMan :
  1. Démarrez l'outil Key Management Utility d'IBM HTTP Server.
  2. Cliquez sur Key Database File > Open > Select Key database. Entrez CMS et cliquez sur Browse pour naviguer jusqu'au fichier de clés (key.kdb). Entrez le mot de passe du fichier de clés, puis cliquez sur OK. Si le fichier de clés (key.kbd) n'a pas encore été créé, voir Création de clés pour HTTP Server.
  3. Dans la zone Key Database Content, sélectionnez le menu déroulant et cliquez sur Personal Certificate Request.
  4. Renseignez les valeurs de ces zones. Utilisez le nom complet de votre région/département et non son abréviation. Une fois que vous avez terminé, enregistrez le fichier avec l'extension .arm.
  5. Suivez les règles de l'autorité de certification de votre organisation pour l'envoi du fichier .arm et la réception du certificat signé (le fichier .cert). Par exemple, certaines entreprises vous envoient sur un site Web vers lequel vous pouvez télécharger le fichier .arm, puis recevoir le fichier .cert en retour par courriel.
  6. Vous devez renommer le fichier .cert en lui donnant comme le nom inscrit dans la zone Common Name du certificat renvoyé. Il s'agit généralement du nom internet complet de la machine (par exemple, mymachine.somedomain.ibm.com). Vous devez utiliser le nom complet de la machine lorsque le nom courant est référencé.
  7. Dans la zone Key Database Content, dans le menu déroulant, cliquez sur Signer Certificates. Si le nom de l'autorité de certification (le nom de l'entreprise) apparaît dans la liste sur la page Key Database Content, sélectionnez l'élément de liste déroulante Personal Certificates. Cliquez sur Receive. recherchez le fichier Common Name.arm (voir étape 6). S'il s'agit d'un fichier ASCII, sélectionnez ASCII dans la zone déroulante Data Type, autrement sélectionnez Fichier binaire DER. Cliquez sur OK. Vous devriez alors recevoir un message vous informant que le certificat a été reçu.
    Si le nom de l'autorité de certification n'apparaît pas dans la liste, ajoutez le certificat racine pour l'autorité de certification :
    1. Recherchez le certificat racine sur le site web de la CA, téléchargez-le et nommez-le CA.arm (où CA représente le nom de l'entreprise étant autorité de certification).
    2. Dans la zone Key Database Content, sélectionnez l'élément de liste déroulante Signer Certificates et cliquez sur Add.
    3. Cliquez sur Browse pour naviguer jusqu'au fichier .arm (CA.arm) que vous venez de télécharger. S'il s'agit d'un fichier ASCII, sélectionnez ASCII dans la zone déroulante Data Type, sinon sélectionnez DER binary file. Cliquez sur OK. La liste présente le nom de votre autorité de certification et vous devriez recevoir un message vous informant que le certificat a été reçu. Vous pouvez alors passer à l'étape 7.

Commentaire