欢迎您,请 登录   |   马上注册
关于我们021-52582199 在线咨询 >
台湾  |  香港  |  老版本网站入口GeoTrust官方授权中国区合作伙伴
服务与支持 > 如何安装SSL证书 > IBM HTTP SERVER 8.5安装SSL证书

IBM HTTP SERVER 8.5安装SSL证书

2016年10月17日

前言

IBM HTTP SERVER,简称IHS。目前可以支持SHA256算法的最低版本要求是IHS 8.5,而可以支持SHA256的iKeyman版本是8.0。如果您还在使用旧版的IHS或者iKeyman,请尽快升级到最新的版本,旧版只支持SHA1的证书,SHA1证书到2016年12月31日后就彻底被禁用了。

制作JKS文件

JKS(Java Keystore)文件是我们后面用来导入iKeyman密钥对的中间文件。我们首先需要制作完成JKS文件。您在递交订单时,会采用以下两种方式,请按照不同的说明制作JKS文件。

情况一:系统自动生成CSR(证书请求文件)

如果您在递交订单时,选择“系统自动生成CSR(证书请求文件)”:在您递交订单时,会要求您下载并保存server.key文件;在订单完成后,请在“控制台→订单查询→订单详细页”下载“CRT文件”,保存为server.crt。请到 JKS在线合成工具 ,使用server.key和server.crt文件合成一个新的JKS文件。在这里需要设置2个参数:
  • 别名:导入到JKS中的密钥对的索引名称(que)。
  • 密码:访问JKS的密码,需要在Tomcat配置文件中写入。

情况二:手工上传CSR(证书请求文件)

如果您在递交订单时,选择“我手工上传CSR(证书请求文件)”:您的CSR文件应该是根据JAVA文档,使用KeyTool.exe制作的。在订单完成后,请在“控制台→订单查询→订单详细页”下载“P7B文件”,保存为server.p7b,运行命令,将P7B文件导入原来的jks文件:
keytool -import -keystore server.jks -alias ssl -file server.p7b

用iKeyman制作KDB文件

1、打开iKeyman,新建一个KDB文件。
Ikeman制作KDB证书-1

2、为KDB文件设定密码,并选择“将密码存储到文件中”
Ikeman制作KDB证书-2

3、在工具的中间下拉框选择“个人证书”,然后点击右边的“导入”,将密钥文件类型,选择为“JKS”:
Ikeman制作KDB证书-3

4、选择前面合成好的server.jks文件,会出现证书选择框,这里我们选刚才合成密钥时,设定的密钥对别名“ssl”:
Ikeman制作KDB证书-4

5、我们可以设置导入的密钥对的标签,当然也可以沿用"ssl",然后点击确定:
Ikeman制作KDB证书-5

6、密钥对已经导入成功,我们在个人证书下,双击这个密钥对:
Ikeman制作KDB证书-6

7、在密钥对的详细信息的最后,选择“将该证书设置为缺省证书”:
Ikeman制作KDB证书-7

8、这个密钥对前,会出现一个*号。整个KDB文件制作完毕。

Ikeman制作KDB证书-8

配置IBM HTTP SERVER

请打开IHS的Httpd.conf文件,最简单的SSL配置如下:
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
  Listen 443
  <virtualhost *:443>
    SSLEnable
  </virtualhost>
  SSLDisable	  
  KeyFile "c:/Program Files/IBM HTTP Server/key.kdb"
  SSLStashFile "c:/Program Files/IBM HTTP Server/key.sth"
如果我们需要禁用SSL2 、SSL3,并且支持PFS,可以在上面的配置中增加一些参数:
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
  Listen 443
  <virtualhost *:443>
    SSLEnable
    SSLProtocolDisable SSLv2 SSLv3
    SSLCipherSpec ALL NONE
    SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    SSLCipherSpec ALL TLS_RSA_WITH_AES_128_GCM_SHA256
    SSLCipherSpec ALL TLS_RSA_WITH_AES_256_GCM_SHA384
    SSLCipherSpec ALL TLS_RSA_WITH_AES_128_CBC_SHA256
    SSLCipherSpec ALL TLS_RSA_WITH_AES_256_CBC_SHA256
    SSLCipherSpec ALL TLS_RSA_WITH_AES_128_CBC_SHA
    SSLCipherSpec ALL TLS_RSA_WITH_AES_256_CBC_SHA
    SSLCipherSpec ALL SSL_RSA_WITH_3DES_EDE_CBC_SHA
  </virtualhost>
  SSLDisable	  
  KeyFile "c:/Program Files/IBM HTTP Server/key.kdb"
  SSLStashFile "c:/Program Files/IBM HTTP Server/key.sth"
如果需要查询IBM HTTP SERVER关于SSL详细的指令说明请参见:IBM官方文档

文档编写日期:2016年10月17日
最新修订日期:2017年10月30日
为什么选择我们
  • 官方授权
    中国区合作伙伴
  • 证书远程协助
    安装服务
  • 无法安装
    30天退款保障
  • 免费提供
    30天试用证书
Copyright 2005-2018 版权所有 上海迅通科技有限公司
沪公网安备31010502000602号 / 沪ICP备06031562号