SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí) WebSphere Application Server V6.1證書安裝使用指南上海數(shù)字證書認(rèn)證中心有限公司2009/01/05上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí) WebSphere Application Server V6.1

證書安裝使用指南

上海數(shù)字證書認(rèn)證中心有限公司

2009/01/05

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí) 文檔說明：

本文檔是BEA WebLogic Server9.2證書安裝使用指南，主要描述如何在WebLogic 上產(chǎn)生密鑰對(duì)，web 證書在線申請(qǐng)和如何將web 證書安裝到WebLogic 服務(wù)器。

版本信息：

當(dāng)前版本 3.0

版權(quán)信息：

SHECA 是上海數(shù)字證書認(rèn)證中心有限公司的注冊(cè)商標(biāo)和縮寫。

UCA 是上海數(shù)字證書認(rèn)證中心有限公司研究開發(fā)的通用證書系統(tǒng)的商標(biāo)和縮寫。

本文的版權(quán)屬于上海數(shù)字證書認(rèn)證中心有限公司，未經(jīng)許可，任何個(gè)人和團(tuán)體不得轉(zhuǎn)載、粘貼或發(fā)布本文，也不得部分的轉(zhuǎn)載、粘貼或發(fā)布本文，更不得更改本文的部分詞匯進(jìn)行轉(zhuǎn)貼。

未經(jīng)許可不得拷貝，影印。

Copyright @2008 上海數(shù)字證書認(rèn)證中心有限公司

技術(shù)支持中心

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

文檔發(fā)行說明

當(dāng)您閱讀完本文檔，您應(yīng)該能解決如下問題：

1、 W EB 服務(wù)器證書的請(qǐng)求文件CSR 的產(chǎn)生；

2、 W EB 服務(wù)器證書的在線申請(qǐng)；

3、 W EB 服務(wù)器證書的安裝； 4、 W EB 服務(wù)器SSL 安全配置；

5、 W EB 服務(wù)器證書的導(dǎo)出（備份）和導(dǎo)入（恢復(fù)）；

6、 S SL 雙向認(rèn)證的配置；

7、 使您的系統(tǒng)信任SHECA 根證書；

文檔書寫環(huán)境說明：

為了測(cè)試基于WebSphere WEB 服務(wù)的SSL 雙向認(rèn)證，本文檔采用了最新的WebSphere Application Server V6.1 WEB服務(wù)。以下是本文檔的具體試驗(yàn)環(huán)境：

WEB 服務(wù)器：Windows 2003 Enterprise Server English Edition WebSphere

Application Server V6.1

客戶端：Windows XP Professional English Version Service Pack 3

注：本文檔并不包含IBM http server的服務(wù)器證書配置說明

安裝環(huán)境：

Web 服務(wù)器，本文以windows 操作系統(tǒng)為例。系統(tǒng)正確安裝JDK1.4以上版本和IBM WEBSphere Application server6.1版本軟件。

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

通過KEYTOOL 工具為服務(wù)器申請(qǐng)證書：

本文采用標(biāo)準(zhǔn)的Java keytool方式，并基于標(biāo)準(zhǔn)的Java keystore方式為WEB 服務(wù)器提供Private key、Identity Cert和Trusted Cert存儲(chǔ)。

（注：本文檔在命令行模式下執(zhí)行的命令運(yùn)行路徑均需要定位于keytool.exe 所在的路徑，請(qǐng)遵照?qǐng)?zhí)行，以免差錯(cuò)）

1、 產(chǎn)生密鑰對(duì)：

在windows 操作系統(tǒng)上打開“命令提示符”窗口，在命令行模式下運(yùn)行以下命令以產(chǎn)生密鑰既jks 文件。

例：

.keytool -genkey -keyalg rsa -keysize 1024 -alias test -keypass 123456

-keystore testkeystore.jks -storepass 123456

此時(shí)系統(tǒng)會(huì)提示您輸入你的信息，請(qǐng)確保以下內(nèi)容和您提交到上海CA 的內(nèi)容一致，以保證服務(wù)器證書的簽發(fā)。

Common Name（服務(wù)器域名或者IP ）

Organization name （組織名或公司名）

Organization unit name （組織單位名或部門名）

City or location name（城市或區(qū)域名）

State or province name （省份或者州名）

Country name （國家名的兩位編碼，中國為“CN ”）

2、 產(chǎn)生證書請(qǐng)求（CSR ）：

再運(yùn)行，例：

.keytool -certreq -alias test -keystore testkeystore.jks -file server.csr

-storepass 123456

產(chǎn)生證書請(qǐng)求文件“server.csr ”；

3、 申請(qǐng)服務(wù)器證書：

將“server.csr ”文件提交SHECA ，CA 處理完畢申請(qǐng)，用戶下載證書，證書可以使用PEM 格式；

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

申請(qǐng)服務(wù)器證書：

第一步：登陸，點(diǎn)擊證書申請(qǐng) 立即申請(qǐng)安全站點(diǎn)證書，請(qǐng)點(diǎn)擊>>；

在方框里輸入從SHECA 證書受理點(diǎn)獲取的密碼信封序列號(hào)和信封密碼

(注:由于申請(qǐng)的是WEB 服務(wù)器證書, 所以設(shè)定的私鑰密碼不起作用)

第二步：完成輸入后，進(jìn)入下一個(gè)頁面, 此時(shí)選擇勾選“高級(jí)選項(xiàng)”，并選擇“用戶自上送P10證書請(qǐng)求”并在最底部的輸入框內(nèi)貼入證書請(qǐng)求中去除

BEGIN 以及END 的部分內(nèi)容，如下圖所示

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

第三步：請(qǐng)耐心等待證書簽發(fā)

. 第四步：請(qǐng)選擇證書保存的路徑，如需保存為PEM 格式，則勾選”PEM”，并點(diǎn)擊保存證書。

第五步：申請(qǐng)完證書之后，將證書文件復(fù)制到keytool.exe 工具以及

testkeystore.jks 文件所在的目錄下. 。有必要說明的是，以上各種文件可以是PEM 或DER 格式。

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

服務(wù)器證書導(dǎo)入：

1、 導(dǎo)入根證書UCA Root：

將CertChain.SPC 文件打開，選中UCA Root這張證書右鍵選擇“打開”

在詳細(xì)信息的標(biāo)簽欄中選擇“復(fù)制到文件”

將此證書保存為文件root.cer ，并放置于keytool.exe 同一目錄下，運(yùn)行以下命令導(dǎo)入根證書：

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

.keytool -import -trustcacerts -alias root -file root.cer -storepass 123456

-keystore testkeystore.jks

2、 導(dǎo)入中級(jí)證書SHECA

按照步驟一，同樣的將CertChain.SPC 文件當(dāng)中的SHECA 證書導(dǎo)出為

sheca.cer ，并放置于keytool.exe 目錄下，運(yùn)行以下命令以導(dǎo)入中級(jí)證書： .keytool -import -trustcacerts -alias sheca -file sheca.cer -storepass 123456 -keystore testkeystore.jks

3、 導(dǎo)入服務(wù)器證書：

將得到的服務(wù)器證書UserCert.der 放入keytool.exe 所在的文件夾中, 并繼續(xù)在命令行模式中執(zhí)行以下命令導(dǎo)入服務(wù)器證書到testkeystore.jks 中.

.keytool -import -trustcacerts -alias test -keystore testkeystore.jks -file

UserCert.der -storepass 123456

(注:此時(shí)會(huì)提示認(rèn)證回復(fù)已安裝在keystore 中)

4、 證書查看：

使用以下命令查看證書是否正確導(dǎo)入：

.keytool -list -v -keystore testkeystore.jks -storepass 123456

(如能查詢到三張證書且形成完整的證書鏈路則為正確導(dǎo)入)

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

配置WEBSPHERE APPLICATION SERVER6.1

訪問，輸入用戶名和密碼（軟件概要文件配置時(shí)設(shè)置的。）

然后登錄控制臺(tái)頁面，選中左邊菜單中“安全性”→“SSL 證書和密鑰管理”→選中列表中的“密鑰庫和證書”，點(diǎn)擊打開，選擇新建密鑰庫，設(shè)置證書。

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

密鑰庫和證書配置完成之后選擇“SSL 設(shè)置”，如圖：

根據(jù)實(shí)際情況設(shè)置使用的密鑰庫和信任庫。

確認(rèn)應(yīng)用的配置，然后保存主配置。

上海數(shù)字證書認(rèn)證中心有限公司