SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實 WebSphere Application Server V6.1證書安裝使用指南上海數(shù)字證書認證中心有限公司2009/01/05上海數(shù)字證書認證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實 WebSphere Application Server V6.1

證書安裝使用指南

上海數(shù)字證書認證中心有限公司

2009/01/05

上海數(shù)字證書認證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實 文檔說明：

本文檔是BEA WebLogic Server9.2證書安裝使用指南，主要描述如何在WebLogic 上產(chǎn)生密鑰對，web 證書在線申請和如何將web 證書安裝到WebLogic 服務(wù)器。

版本信息：

當前版本 3.0

版權(quán)信息：

SHECA 是上海數(shù)字證書認證中心有限公司的注冊商標和縮寫。

UCA 是上海數(shù)字證書認證中心有限公司研究開發(fā)的通用證書系統(tǒng)的商標和縮寫。

本文的版權(quán)屬于上海數(shù)字證書認證中心有限公司，未經(jīng)許可，任何個人和團體不得轉(zhuǎn)載、粘貼或發(fā)布本文，也不得部分的轉(zhuǎn)載、粘貼或發(fā)布本文，更不得更改本文的部分詞匯進行轉(zhuǎn)貼。

未經(jīng)許可不得拷貝，影印。

Copyright @2008 上海數(shù)字證書認證中心有限公司

技術(shù)支持中心

上海數(shù)字證書認證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實

文檔發(fā)行說明

當您閱讀完本文檔，您應(yīng)該能解決如下問題：

1、 W EB 服務(wù)器證書的請求文件CSR 的產(chǎn)生；

2、 W EB 服務(wù)器證書的在線申請；

3、 W EB 服務(wù)器證書的安裝； 4、 W EB 服務(wù)器SSL 安全配置；

5、 W EB 服務(wù)器證書的導出（備份）和導入（恢復）；

6、 S SL 雙向認證的配置；

7、 使您的系統(tǒng)信任SHECA 根證書；

文檔書寫環(huán)境說明：

為了測試基于WebSphere WEB 服務(wù)的SSL 雙向認證，本文檔采用了最新的WebSphere Application Server V6.1 WEB服務(wù)。以下是本文檔的具體試驗環(huán)境：

WEB 服務(wù)器：Windows 2003 Enterprise Server English Edition WebSphere

Application Server V6.1

客戶端：Windows XP Professional English Version Service Pack 3

注：本文檔并不包含IBM http server的服務(wù)器證書配置說明

安裝環(huán)境：

Web 服務(wù)器，本文以windows 操作系統(tǒng)為例。系統(tǒng)正確安裝JDK1.4以上版本和IBM WEBSphere Application server6.1版本軟件。

上海數(shù)字證書認證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實

通過KEYTOOL 工具為服務(wù)器申請證書：

本文采用標準的Java keytool方式，并基于標準的Java keystore方式為WEB 服務(wù)器提供Private key、Identity Cert和Trusted Cert存儲。

（注：本文檔在命令行模式下執(zhí)行的命令運行路徑均需要定位于keytool.exe 所在的路徑，請遵照執(zhí)行，以免差錯）

1、 產(chǎn)生密鑰對：

在windows 操作系統(tǒng)上打開“命令提示符”窗口，在命令行模式下運行以下命令以產(chǎn)生密鑰既jks 文件。

例：

.keytool -genkey -keyalg rsa -keysize 1024 -alias test -keypass 123456

-keystore testkeystore.jks -storepass 123456

此時系統(tǒng)會提示您輸入你的信息，請確保以下內(nèi)容和您提交到上海CA 的內(nèi)容一致，以保證服務(wù)器證書的簽發(fā)。

Common Name（服務(wù)器域名或者IP ）

Organization name （組織名或公司名）

Organization unit name （組織單位名或部門名）

City or location name（城市或區(qū)域名）

State or province name （省份或者州名）

Country name （國家名的兩位編碼，中國為“CN ”）

2、 產(chǎn)生證書請求（CSR ）：

再運行，例：

.keytool -certreq -alias test -keystore testkeystore.jks -file server.csr

-storepass 123456

產(chǎn)生證書請求文件“server.csr ”；

3、 申請服務(wù)器證書：

將“server.csr ”文件提交SHECA ，CA 處理完畢申請，用戶下載證書，證書可以使用PEM 格式；

上海數(shù)字證書認證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實

申請服務(wù)器證書：

第一步：登陸，點擊證書申請 立即申請安全站點證書，請點擊>>；

在方框里輸入從SHECA 證書受理點獲取的密碼信封序列號和信封密碼

(注:由于申請的是WEB 服務(wù)器證書, 所以設(shè)定的私鑰密碼不起作用)

第二步：完成輸入后，進入下一個頁面, 此時選擇勾選“高級選項”，并選擇“用戶自上送P10證書請求”并在最底部的輸入框內(nèi)貼入證書請求中去除

BEGIN 以及END 的部分內(nèi)容，如下圖所示

上海數(shù)字證書認證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實

第三步：請耐心等待證書簽發(fā)

. 第四步：請選擇證書保存的路徑，如需保存為PEM 格式，則勾選”PEM”，并點擊保存證書。

第五步：申請完證書之后，將證書文件復制到keytool.exe 工具以及

testkeystore.jks 文件所在的目錄下. 。有必要說明的是，以上各種文件可以是PEM 或DER 格式。

上海數(shù)字證書認證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實

服務(wù)器證書導入：

1、 導入根證書UCA Root：

將CertChain.SPC 文件打開，選中UCA Root這張證書右鍵選擇“打開”

在詳細信息的標簽欄中選擇“復制到文件”

將此證書保存為文件root.cer ，并放置于keytool.exe 同一目錄下，運行以下命令導入根證書：

上海數(shù)字證書認證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實

.keytool -import -trustcacerts -alias root -file root.cer -storepass 123456

-keystore testkeystore.jks

2、 導入中級證書SHECA

按照步驟一，同樣的將CertChain.SPC 文件當中的SHECA 證書導出為

sheca.cer ，并放置于keytool.exe 目錄下，運行以下命令以導入中級證書： .keytool -import -trustcacerts -alias sheca -file sheca.cer -storepass 123456 -keystore testkeystore.jks

3、 導入服務(wù)器證書：

將得到的服務(wù)器證書UserCert.der 放入keytool.exe 所在的文件夾中, 并繼續(xù)在命令行模式中執(zhí)行以下命令導入服務(wù)器證書到testkeystore.jks 中.

.keytool -import -trustcacerts -alias test -keystore testkeystore.jks -file

UserCert.der -storepass 123456

(注:此時會提示認證回復已安裝在keystore 中)

4、 證書查看：

使用以下命令查看證書是否正確導入：

.keytool -list -v -keystore testkeystore.jks -storepass 123456

(如能查詢到三張證書且形成完整的證書鏈路則為正確導入)

上海數(shù)字證書認證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實

配置WEBSPHERE APPLICATION SERVER6.1

訪問，輸入用戶名和密碼（軟件概要文件配置時設(shè)置的。）

然后登錄控制臺頁面，選中左邊菜單中“安全性”→“SSL 證書和密鑰管理”→選中列表中的“密鑰庫和證書”，點擊打開，選擇新建密鑰庫，設(shè)置證書。

上海數(shù)字證書認證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實

密鑰庫和證書配置完成之后選擇“SSL 設(shè)置”，如圖：

根據(jù)實際情況設(shè)置使用的密鑰庫和信任庫。

確認應(yīng)用的配置，然后保存主配置。

上海數(shù)字證書認證中心有限公司