集群环境的配置方法.doc

1/27 WebSphere6.1+IHS 集群环境下的 SSL 配置方法 曹玮成 2009 年年 12 月月 29 日日 2/27 目目 录录 一、一、前提前提.3 二、二、为为 IHS 制作密钥库和服务器证书制作密钥库和服务器证书3 1.创建密钥数据库.3 2.生成服务器证书申请文件.4 3.使用申请书在 JIT CA 中签发服务器证书.5 4.接收服务器证书.10 5.添加签署人证书.13 三、三、为为 WEBSPHERE 各应用节点制作密钥库和服务器证书各应用节点制作密钥库和服务器证书 .14 四、四、IHS 和和 WEBSPHERE 各应用节点交换签署人证书（可选操作）各应用节点交换签署人证书（可选操作）15 五、五、为为 WEBSPHERE 各应用节点添加各应用节点添加 SSL 配置配置 15 六、六、修改修改 IHS 配置文件，为配置文件，为 IHS 添加添加 SSL 配置配置23 七、七、配置配置 WEB SERVER PLUGIN.24 3/27 一、一、前提前提 本文档所描述的信息是基于正确安装 WebSphere6.1（版本 7）和 IBM HTTP Server6.1 并进行了集群配置后进行的。 文档中所列举的集群拓扑结构如下图： 二、二、为为 IHS 制作密钥库和服务器证书制作密钥库和服务器证书 可以通过运行 IHS 安装目录中的HTTPServerbinikeyman.bat，打开 IBM 密钥管理软 件。 1. 创建密钥数据库创建密钥数据库 选择 密钥数据库文件 点击新建 密钥数据库类型选择 CMS 文件名称、位置任选（本文档所例举的 IHS 密钥库文件存储在HTTPServerihs_ssl） 输入密钥库密码（注意保存此密码，配置 SSL 时会用到） 删除所有默认的签署人证书 4/27 2. 生成服务器证书申请生成服务器证书申请文件文件 选择 个人证书请求 点击 新建 输入 证书编号（站点证书的别名） 选择密钥大小 输入 组织（ou）组织单位（o）市/县/区(L) 省/直辖市(S) 邮编不需要填写 国家选择 CN 证书请求文件可放在任意位置 5/27 3. 使用申请书在使用申请书在 JIT CA 中签发服务器证书中签发服务器证书 本章节内容由信息通信处负责，可忽略。 修改上个步骤中创建的申请证书，用文本编辑软件将头尾去掉。删除以下两行 6/27 -BEGIN NEW CERTIFICATE REQUEST- -END NEW CERTIFICATE REQUEST- 打开签发工具， “证书申请”“服务器证书申请” ； 点击“提交申请” ，点击“确定” ； 7/27 点击“提交修改” ，点击“确定” ； 点击“审核申请” ，选中“审核通过” ，点击“确定” ； 8/27 点击“确定” ； 点击“浏览” ，选择去掉头尾的申请证书，点击“打开” ； 9/27 点击“制证” ； 制证成功，点击“确定” 。 10/27 4. 接收服务器证书接收服务器证书 修改上个步骤中签发好的证书（*.cer 文件） ，将签发的证书加上头尾（最后一行加个 回车行） 。加入以下两行内容： -BEGIN CERTIFICATE- -END CERTIFICATE- 11/27 选择“个人证书” ； 点击“接收” ； 12/27 选择修改好的证书，点击“打开” ； 点击“确定” ； 13/27 导入后点击查看/编辑确认证书是否正确 5. 添加签署人证书添加签署人证书 选择签署人证书，点击添加导入根证书。 需要添加的签署人证书分别是： 14/27 RootCA.cer公安部的根证书 SDCA.cer山东省公安厅的根证书 以上两个文件可直接联系省厅信息通信处索要。 至此，IHS 密钥库制作完成，关闭 ikeyman 即可。 三、三、为为 WebSphere 各应用节点制作密钥各应用节点制作密钥 库和服务器证书库和服务器证书 同第二部分中为 IHS 制作密钥库文件一样，重复章节 2.1-2.5 描述的内容，分别为 WAS 集群的两个应用节点 zbgaoa18 和 zbgaoa19 创建密钥库文件。 分别登录 zbgaoa18 和 zbgaoa19,可以通过运行 WAS 安装目录中的 WebSphereAppServerbinikeyman.bat，打开 IBM 密钥管理软件。 注意：为 WAS 创建的密钥数据库类型需要选择 JKS。 15/27 四、四、IHS 和和 WebSphere 各应用节点交换各应用节点交换 签署人证书（可选操作）签署人证书（可选操作） 如果 IHS 密钥库和 WAS 应用节点密钥库中添加的签署人证书不同，则需要交换证书。 将 WAS 的签署人证书添加至 IHS 密钥库的签署人证书中。 将 IHS 的签署人证书添加至 WAS 密钥库的签署人证书中。 本文档所例举的密钥库，签署人证书均为 RootCA.cer 和 SDCA.cer，所以此章节可跳 过。 五、五、为为 WebSphere 各应用节点添加各应用节点添加 SSL 配置配置 在各节点的服务器上登录 WAS Deployment Manager 的管理控制台，依次打开 安全性 - SSL 证书和密钥管理 - 管理端点安全配置，依次为两个应用节点（zbgaoa18 和 zbgaoa19）添加 SSL 配置。 本文档所例举的 WAS 密钥库文件分别存储在 zbgaoa18 服务器的 WebSphereAppServerssl was18_ssl 目录和 zbgaoa19 服务器的WebSphereAppServerssl was19_ssl 目录。 配置操作如下图： 16/27 在入站拓扑树中点击集群节点的应用程序服务器 cluster01，如下图： 在 cluster01 的配置相关项中点击密钥库和证书，如下图： 17/27 点击新建，如下图： 依次创建信任库和密钥库，如下图： 18/27 注意：以上两幅截图中，第一幅图片中的 root.jks 是由省厅信息通信处直接提供的信任 库文件，可联系省厅信息通信处索要，默认密码 11111111。第二幅图片中的 zbgaoa18trust.jks 是章节 3 中自行创建并导入 zbgaoa18 服务器证书的密钥库文件。 19/27 创建好信任库和密钥库后，开始为 cluster01 添加 SSL 配置，如下图： 点击新建，如下图： 20/27 保存后再次点击已添加的 SSL 配置，进行详细设置，如下图： 21/27 至此，SSL 配置添加完成。下面为应用程序服务器的 Web 容器传输链选择 SSL 配置， 如下图： 22/27 23/27 类似的，重复章节 5 中描述的步骤，为 zbgaoa19 服务器的 cluster02 配置 SSL 即可。 24/27 六、六、修改修改 IHS 配置文件，为配置文件，为 IHS 添加添加 SSL 配置配置 打开HTTPServerconfhttpd.conf（先做好备份） ，在文件最后增加以下内容： LoadModule was_ap20_module “d:IBMHTTPServerPluginsbinmod_was_ap20_http.dll“ WebSpherePluginConfig D:IBMHTTPServerPluginsconfigwebserverOAplugin-cfg.xml“ （以上两句应该已经存在） Listen 443 LoadModule ibm_ssl_module modules/mod_ibm_ssl.so -本机 IP 地址 SSLEnable DocumentRoot “D:IBM HTTP Serverhtdocszh_CN“ ServerName zbgaoa17 -主机名 SSLClientAuth 1 -客户端强制认证 Keyfile “D:IBMHTTPServerihs_sslkey.kdb