WMB配置SSL解决方案.docx

WMB配置SSL解决方案2015年01月文档修改记录序号版本修改内容日期作者1v1.0创建2015-01-19XXX2V1.1修改及完善2015-01-20XXX3V1.2添加了“2.7为密钥库设置密钥库密码“2015-01-30XXX软件环境WMB版本：操作系统：windows 7（AIX系统也适用，了解软件安装目录结构即可）读者本文面向的读者为开发工程师、测试工程师、运维工程师等，需要对WMB有一定的了解，了解数字证书，了解keytool命令行工具等。申请数字证书WebSphere Message Broker 中的 SSL 配置需要一个密钥存储库，即一个密钥库。SSL 用于加强 WebSphere Message Broker 基础架构的安全。以下是一些高级的 SSL 配置步骤：生成一个密钥库： 创建密钥库文件的方法有许多种，比如gsk7cmd/gsk6cmd，它是叫做 ikeyman 的全球安全工具包 (GSK) 图形工具的一部分。本文使用了一个叫做 keytool 的命令行工具。为现有的密钥库生成一个证书签名请求 (CSR)。将一个 root 或中间证书机构 (CA) 证书导入现有密钥库。将一个已签署的证书导入现有密钥库。验证证书的细节信息，包括以下内容：列出所有证书。列出某个特定证书。列出受信任的 CA 证书。1.1生成一个密钥库keytool -genkey -alias broker name -keystore broker name.jks–keyalg RSA -keysize 1024在这里，broker name 表示运行在您的服务器之上的代理实例；可以使用代理名称作为别名，以便在每个代理的单独的条目之间进行区分。作为最佳实践，密钥库文件的名称 (keystore.jks) 应该将 broker name 名称包含在内，比如 broker name.jks。 为了简便起见，我们将使用 broker4 作为代理的名称。上述命令生成了私钥和密钥库文件。在输入上述命令之后，系统会提示您回答以下问题：What is your first and last name? [Unknown]: 此处应填写域名或IP，后面会解释原因。What is the name of your organizational unit? [Unknown]: What is the name of your organization? [Unknown]: What is the name of your City or Locality? [Unknown]: What is the name of your State or Province? [Unknown]: What is the two-letter country code for this unit? [Unknown]:在提供上述问题的答案之后，系统会提示您确认所有回答是否正确，如下所示。如果所有回答都是正确的，请输入?Yes（如果是中文的，则输入“是”）：示例截图：1.2为现有的密钥库生成一个证书签名请求 (CSR)keytool -certreq -alias broker4 -keystore broker4.jks -file broker4.csr在这里，您要创建一个私钥。将 CSR 文件发送给 CA 团队，以便获得生成的证书。将 CRS 传递给 CA 的过程取决于 CA，传输 证书详细信息的最常见方法是通过网络链接。在收到来自 CA 的已签名证书（下方将其命名certserver.cer）之后，继续以下步骤：示例截图：1.3将一个 root 或中间证书机构 (CA) 证书导入现有密钥库keytool -import -trustcacerts -alias root -file certroot.cer -keystore broker4.jks密钥库文件的名称为 broker4.jks，中间 CA 证书的名称为 certroot.cer。（中间CA证书可从浏览器的证书库中执行导出操作来获取，也可从证书申请页面中下载）您必须在导入已签名的证书之前导入 root 和/或中间 CA 证书，因为证书是按序生效的。root 证书必须 出现在密钥文件中，这样已签名的证书才有一个发挥其效用的平台。最常使用的 CA 是?Global Sign?和?VeriSign，本示例中的CA是自己在window server 2008系统上创建的，因此证书是自己颁发。示例截图：1.4将一个已签署的证书导入现有密钥库keytool -import -trustcacerts -alias broker4 -file certser