在 ibm http server 跟 websphere 配置 ssl 一些需要注意的地方
在 ibm http server 和 websphere 配置 ssl 一些需要注意的地方
前段时间,在WebSphere的环境中, 配置SSL,有一些细节需要注意:
1. 最好是先安装 ibm http server7(32bit),websphere7,再安装插件
2. http server 需要安装插件,插件的下载地址是:
https://www14.software.ibm.com/webapp/iwm/web/reg/download.do?source=wspwas&S_PKG=win_70&lang=en_US&cp=UTF-8
安装完毕之后,在 ibm http server 的安装目录中 %IBM HTTP Server%/conf/httpd.conf
中会生成
WebSpherePluginConfig "{ibm http server ip address}\Plugins\config\webserver1\plugin-cfg.xml"
3. 在 IBM HTTP Server 的密钥生成工具中,生成密钥,并生成自签署文件
4. 在WebSphere中导入HTTP Server 中生成的自签署文件并生成新的websphere环境的子签署文件,并生成新的自签署文件
5. 在IBM HTTP Server 的密钥生成工具中打开已经生成的ibm http server的密钥,导入WebSphere环境中已经生成的自签署文件。
6. 如果ibm http server与websphere的环境分属于局域网中的不同的两台机器上,需要把各自的自签署文件,分别复制到客户端和服务器端,并替换原来的httpserver和websphere的自签署文件。
7. 如果说客户端浏览验证,需要导入pkcs12格式的安全证书,需要在密钥生成工具中导出 pkcs12格式的密钥文件,如果出现“安全策略文件”受限的问题,需要下载ibm 的 安全策略文件,并覆盖本地的 ibm http server的安全策略文件,地址如下:
https://www14.software.ibm.com/webapp/iwm/web/reg/download.do?source=jcesdk&lang=en_US&S_PKG=142ww&cp=UTF-8
本地http server中的地址{ibm http server 的安装路径}\java\jre\lib\security\
local_policy.jar和 US_export_policy.jar这两个文件
覆盖之后,重启启动 ibm http server 自带的密钥生成工具,重新导出pkcs12格式文件。
8. 在WebSphere控制台中建立新的 web server时,需要重新生成插件,,然后重新传播插件,我在websphere环境中,修改过端口之后,会自动向ibm http server的环境中自动传播修改之后的配置数据。
9. 在WebSphere环境中部署新的发布包,在“选择映射模块” 这一步时,需要同时选择
http server的web server和websphere中的server并点击应用
10. 发布完毕应用包之后,需要在WebSphere 的已经生成的 web server环境中,重新生成插件,并执行传播插件的操作
11. 重新分别启动websphere,http server的环境
12 修改 ibm http server 的 httpd.conf 文件,在文件中增加下面的内容,增加一个 module,在模块中打开http server的 443端口
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
<IfModule mod_ibm_ssl.c>
Listen 443
NameVirtualHost {ibm http server的环境的IP 地址}:443
<VirtualHost *:443>
SSLEnable
KeyFile "{ibm http server 安装路径}\IHSkey.kdb"
</VirtualHost>
</IfModule>
SSLClientAuth required
SSLDisable
13. 重新启动ibm websphere, ibm http server
14. 在浏览器的地址栏中,通过访问 ibm websphere的 snoop 来验证ssl 是否发布成功
https://{ibm http server环境的IP地址}:443/snoop
第3.第4.第5步,可以在其它地址找到,不在这里叙述,这里只是讲述一些在配置过程中需要注意的地方,希望和大家多探讨
前段时间,在WebSphere的环境中, 配置SSL,有一些细节需要注意:
1. 最好是先安装 ibm http server7(32bit),websphere7,再安装插件
2. http server 需要安装插件,插件的下载地址是:
https://www14.software.ibm.com/webapp/iwm/web/reg/download.do?source=wspwas&S_PKG=win_70&lang=en_US&cp=UTF-8
安装完毕之后,在 ibm http server 的安装目录中 %IBM HTTP Server%/conf/httpd.conf
中会生成
WebSpherePluginConfig "{ibm http server ip address}\Plugins\config\webserver1\plugin-cfg.xml"
3. 在 IBM HTTP Server 的密钥生成工具中,生成密钥,并生成自签署文件
4. 在WebSphere中导入HTTP Server 中生成的自签署文件并生成新的websphere环境的子签署文件,并生成新的自签署文件
5. 在IBM HTTP Server 的密钥生成工具中打开已经生成的ibm http server的密钥,导入WebSphere环境中已经生成的自签署文件。
6. 如果ibm http server与websphere的环境分属于局域网中的不同的两台机器上,需要把各自的自签署文件,分别复制到客户端和服务器端,并替换原来的httpserver和websphere的自签署文件。
7. 如果说客户端浏览验证,需要导入pkcs12格式的安全证书,需要在密钥生成工具中导出 pkcs12格式的密钥文件,如果出现“安全策略文件”受限的问题,需要下载ibm 的 安全策略文件,并覆盖本地的 ibm http server的安全策略文件,地址如下:
https://www14.software.ibm.com/webapp/iwm/web/reg/download.do?source=jcesdk&lang=en_US&S_PKG=142ww&cp=UTF-8
本地http server中的地址{ibm http server 的安装路径}\java\jre\lib\security\
local_policy.jar和 US_export_policy.jar这两个文件
覆盖之后,重启启动 ibm http server 自带的密钥生成工具,重新导出pkcs12格式文件。
8. 在WebSphere控制台中建立新的 web server时,需要重新生成插件,,然后重新传播插件,我在websphere环境中,修改过端口之后,会自动向ibm http server的环境中自动传播修改之后的配置数据。
9. 在WebSphere环境中部署新的发布包,在“选择映射模块” 这一步时,需要同时选择
http server的web server和websphere中的server并点击应用
10. 发布完毕应用包之后,需要在WebSphere 的已经生成的 web server环境中,重新生成插件,并执行传播插件的操作
11. 重新分别启动websphere,http server的环境
12 修改 ibm http server 的 httpd.conf 文件,在文件中增加下面的内容,增加一个 module,在模块中打开http server的 443端口
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
<IfModule mod_ibm_ssl.c>
Listen 443
NameVirtualHost {ibm http server的环境的IP 地址}:443
<VirtualHost *:443>
SSLEnable
KeyFile "{ibm http server 安装路径}\IHSkey.kdb"
</VirtualHost>
</IfModule>
SSLClientAuth required
SSLDisable
13. 重新启动ibm websphere, ibm http server
14. 在浏览器的地址栏中,通过访问 ibm websphere的 snoop 来验证ssl 是否发布成功
https://{ibm http server环境的IP地址}:443/snoop
第3.第4.第5步,可以在其它地址找到,不在这里叙述,这里只是讲述一些在配置过程中需要注意的地方,希望和大家多探讨