使用 HTTP Server CA 实用程序

  • 证书签发机构选项概述
  • 在您开始之前
  • 安装 WebSphere Application Server
  • 确保在服务器配置文件中存在必需的 MIME 类型
  • 使用 IKEYMAN 创建密钥数据库和证书
  • 复制 CA 密钥数据库和证书至 CA 实用程序的目录
  • 导出您的 CA 密钥数据库至 CA 实用程序
  • 存取 HTTP Server CA 实用程序
  • 使用 HTTP Server CA 处理客户机和服务器证书
  • CA 进程概述
  • 管理员任务
  • 导出 CA 密钥数据库
  • 处理证书请求
  • 用户任务
  • 为 Web 浏览器下载一个 CA 证书
  • 请求一个浏览器证书
  • 接收一个已认可的浏览器证书
  • 网络管理员任务
  • 为另一个服务器下载一个 CA 证书
  • 请求一个服务器证书
  • 接收一个已认可的服务器证书
  • 相关信息
  • 证书签发机构选项概述

    要在因特网上操作商业业务,我们建议您从外部的证书签发机构(如 VeriSign)购买一个安全的服务器证书。 要获得支持的 CA 列表,请参阅证书签发机构

    如果您操作自己的 CA,您可以签署您自己的或任何人的证书请求。如果您只需在您的专用 Web 网络中的证书,而不用与外部的因特网业务,这是一个好的选择。客户机必须拥有浏览器, 如 Netscape Navigator 或 Microsoft Internet Explorer,这样可以接收您的 CA 证书并指定您作为可信的 CA。

    要操作您自己的 CA,可以使用您的服务器密钥管理实用程序(IKEYMAN 和 HTTP Server CA), 或向 CA 供应商订购证书签发机构软件。

    注意: 如果您期待管理超过 250 个证书, 您可考虑向 CA 供应商订购软件。该极限值基于可存储于 CA 密钥数据库的证书请求数。在存储 250 个证书请求之后,实用程序性能非常差。

    在您开始之前

    安装 WebSphere Application Server

    在使用 HTTP Server CA 之前,您必须安装 WebSphere Application Server 作为您的 Servlet 。

    要获得安装指导,请参阅 WebSphere Application Server 入门版本 2. 您可以从 WebSphere Application Server Web 站点访问本书和其它应用程序服务器文档。

    确保在服务器配置文件中存在必需的 MIME 类型

    为正确地下载客户机证书,下列 AddType 伪指令和 MIME 类型必须包括在服务器配置文件中:

    AddType .cer application/x-x509-user-cert 7bit   0.5 #用户证书
    AddType .der application/x-x509-ca-cert   binary 1.0 #CA 证书浏览器
    

    这些 MIME 类型包括在缺省的服务器配置文件中。

    使用 IKEYMAN 创建密钥数据库和证书

    在使用 CA 实用程序之前,使用 IKEYMAN 创建您的服务器和 CA 密钥数据库、服务器证书和自签的 CA 证书。要得到指导,请参阅创建一个自签证书

    注意: 作为管理员,您可以选择在提交它们之后自动处理 CA 证书请求。 自动处理使您无需手工处理每个证书请求。如果您希望自动处理,在使用 IKEYMAN 设置您的 CA 密钥数据库时,创建隐藏的文件用于 CA密钥数据库口令。

    复制 CA 密钥数据库和证书至 CA 实用程序的目录

    在您创建 CA 密钥数据库和自签 CA 证书之后,将文件 cakey.kdb 复制至 CA 实用程序目录。

    您可以有选择地在隐藏文件中存储您的加密 CA 密钥数据库口令。如果隐藏文件的目录与 CA 密钥数据库文件(cakey.kdb)所在相同,那么发出的所有由 CA 实用程序签署的证书将自动认可。如果您创建一个隐藏文件(cakey.sth),将该文件复制至 cakey.kdb 文件所在的相同目录中。

    导出您的 CA 密钥数据库至 CA 实用程序

    服务器上您的 cakey.kdb 文件必须以客户机和服务器可使用的格式导出至 CA 实用程序。 要获得详细的指导,请参阅导出 CA 密钥数据库

    存取 HTTP Server CA 实用程序

    要访问 HTTP Server CA 实用程序,请转至 URL:

     http://your.server.name/CAServlet/Welcome.html
    

    使用 HTTP Server CA 处理客户机和服务器证书

    CA 进程概述

    您的 CA 作业验证将为客户机或服务器发出的证书。您需要确保发出请求的人员 有合法的权利以请求证书。在验证该人员的权利之后,使用 HTTP Server CA 创建签署的证书。

    该进程的输入是客户机或服务器的证书请求。输出是带有您的专用密钥签署的证书。

    在处理完客户机或服务器证书之后:

    1. 您将通知客户机或服务器下载您的 CA 证书。详细的步骤显示在为 Web 浏览器下载一个 CA 证书为另一个服务器下载一个 CA 证书

    2. 您将通知客户机或服务器下载您已签署的证书(CA 签署的证书),并接收至它们的客户机或服务器的可操作的密钥数据库。 详细的步骤显示在接收一个已认可的浏览器证书接收一个已认可的服务器证书

    在完成这些步骤之后,客户机或服务器可以使用它们的 CA 签署的证书安全地与其它 HTTP Server 和您的专用 Web 网络中 Web 浏览器通信。

    管理员任务

    导出 CA 密钥数据库

    使用这些步骤导出服务器上的 CA 密钥数据库(cakey.kdb)格式可由浏览器和服务器使用。您不需要在初始设置您的证书签发机构之后重复这些步骤。

    注意: 您不再可以使用 CA 实用程序之前,使用 IKEYMAN 创建 cakey.kdb 文件。 要得到指导,请参阅创建一个自签证书

    导出您的浏览器和服务器的 CA 密钥数据库:

    1. 转至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在实用程序的封面页中,单击管理访问“管理任务”页面。

    3. 选择导出浏览器的 CA 密钥,并输入您的 CA 密钥数据库口令。

    4. 单击现在处理。这将创建一个 cakey.der 文件。您应该获得一条 CA 密钥已成功导出的确认消息。

    5. 在“管理任务”页面中,选择导出服务器的 CA 密钥,并输入您的 CA 密钥数据库口令。

    6. 单击现在处理。这将创建一个 cakey.txt 文件。您应该获得一条 CA 密钥已成功导出的确认消息。

    处理证书请求

    注意:

    1. 如果您为您的 CA 密钥数据库口令(cakey.sth)创建一个隐藏文件,将自动认可所有的浏览器和服务器的证书请求。

    2. 确保处理了安全连接上的证书请求。

    处理来自浏览器和服务器的证书请求:

    1. 转至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在实用程序的封面页中,单击管理访问“管理任务”页面。

    3. 选择处理暂挂请求处理所有请求,然后单击现在处理

      如果有正在等待的请求:

      您可以操作一个或多个请求。

    4. 单击处理。您应该获得一条证书数据库已更新成功的确认消息。

    要获得更多详细的指导,请单击帮助

    用户任务

    为 Web 浏览器下载一个 CA 证书

    在您接受由 HTTP Server CA 签署的浏览器证书之前,必须首先下载用于将 HTTP Server CA 标识为您的浏览器可信证书签发机构的 CA 证书。

    下载一个 CA 证书:

    1. 转至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在“浏览器证书”中,单击从 Web 服务器下载 CA 证书

    3. 根据指导将 cakey.der 文件下载到您的工作站上。

    在下载 CA 证书之后,通过您的浏览器指定证书作为可信的证书,并且将证书标记为您的操作密钥数据库的缺省。 一旦通过您的浏览器将 CA 证书指定为可信的 CA,您不需要再次执行该过程。

    请求一个浏览器证书

    使用下列步骤从您的专用网络的 CA 上请求一个浏览器证书:

    1. 转至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在“浏览器证书”中,单击请求一个浏览器证书

    3. 在“公共名称”字段中,指定您选择的名称。因为您将在稍后接收签署的证书时需要它, 请为该名称做注释。

    4. 在“口令短语”字段中,输入您的口令。您将在稍后下载您的认可的证书时,需要指定该口令。

    5. 完成所有必需字段。要获得其它信息,请单击帮助

    6. 单击提交请求将完成的表格发送给认可的 CA 。 在您的浏览器上将启动生成一个专用密钥的处理。该专用密钥将与您请求的证书共同使用。

    7. 在您的浏览器上单击确定按钮,创建一个专用密钥。

    根据管理员的设置,您的请求将自动认可或在管理员复查之后认可。如果发生自动认可,您将不会获得有关请求已认可的确认消息。 您可以直接至接收一个认可的浏览器证书,并完成处理过程。

    如果您的管理员设置了手工认可,您将获得有关请求已接受的确认消息。在将处理认可时,请向您的管理员核对确定。将认可的证书发送至 HTTP Server CA 数据库目录。

    接收一个已认可的浏览器证书

    在您接收一个认可的浏览器证书之前,必须下载 CA 的证书(cakey.der)。要获得指导,请参阅为 Web 浏览器下载一个 CA 证书

    使用下列步骤接收一个已认可的 CA 签署的浏览器证书:

    1. 转至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在“浏览器证书”中,单击接收已认可的浏览器证书

    3. 输入在证书请求表格中指定的“公共名称”。
      注意: 如果您获得记录未找到的一条消息,可能输入的公共名称不正确。如果您忘记了您输入的公共名称,请与您的管理员核对。

    4. 在“口令短语”字段中,输入口令,并单击提交请求
      注意: 如果您获得记录未找到的一条消息,可能输入的口令不正确。如果您忘记了您输入的口令,请与您的管理员核对。

    5. 如果找到证书,将显示“下载证书”页面,您可以下载证书。要启动下载处理,请单击单击此处下载您的证书

      如果未找到,请与管理员核对何时将处理证书。

    6. 在您接收认可的证书之后,您的浏览器将被您的专用网络中其它客户机和服务器确认。

    网络管理员任务

    为另一个服务器下载一个 CA 证书

    在您处理任何 HTTP Server CA 签署的证书之前,必须首先将 HTTP Server CA 证书存储在您的目标 Web 服务器的操作密钥数据库中。

    为另一个服务器下载一个 CA 证书:

    1. 转至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在“服务器证书”中,单击从 Web 服务器下载 CA 证书。 显示 cakey.txt 文件。

    3. 要导入 CA 密钥,在您的系统中创建一个 *.txt 文件,然后将证书文件(cakey.txt)复制至粘贴板中。

    4. 从您的粘贴板中将证书文件粘贴至新创建的 *.txt 文件中。

    5. 使用 IKEYMAN 存储目标 Web 服务器的操作密钥数据库中的该 CA 证书。 要获得详细的指导,请参阅存储一个 CA 的证书

    请求一个服务器证书

    使用下列步骤从您的专用网络的 CA 上请求一个服务器证书:

    1. 转至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在“浏览器证书”中,单击请求一个服务器证书。出现“服务器证书请求表格”。

      使用该表格发送服务器证书请求至您的专用网络的 CA ,这样网络中的浏览器和其它 HTTP Server 将确认该 HTTP Server。如果在网络中有其它 Web 服务器,您可以在远程 Web 服务器上执行该任务。

    3. 在“服务器名称”字段中,指定您选择的服务器名称。因为您将在稍后下载认可的证书时需要它,请为该名称做注释。

    4. 在“组织”字段中,指定您选择的组织名称。

    5. 在“口令短语”字段中,输入您的口令。您将在稍后下载您的认可的证书时,需要指定该口令。

    6. 完成所有必需字段。要获得其它信息,请单击帮助

    7. 浏览您的 Web 服务器的操作证书请求文件(*.arm)。
      问题:在工作站上浏览该文件?
      
      当在您的屏幕上显示 *.arm 文件时,在您的粘贴板中复制该文件内容。 然后转至您的浏览器,在表格的相应部分粘贴该文件: 请将您的证书请求复制至下列区范围。 您必须将您的操作证书请求文件(*.arm)粘贴至该空间。 该文件将发送至 HTTP Server CA 供签署。

    8. 单击提交请求将完成的表格发送给认可的 CA 。

    9. 如果您的 CA 管理员已设置自动认可,可以单击单击此处下载您的证书选项以启动处理。如果发生自动认可,您将不会获得有关请求已认可的确认消息。 您可以直接至接收一个认可的服务器证书,并完成处理过程。

      如果您的 CA 管理员设置了手工认可,您将在您的浏览器上获得有关证书请求已接受的确认消息。

    接收一个已认可的服务器证书

    在您接收一个认可的服务器证书之前,必须下载 CA 的证书(cakey.txt)。要获得指导,请参阅为另一个服务器下载一个 CA 证书

    使用下列步骤接收一个已认可的 CA 签署的服务器证书:

    1. 转至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在“服务器证书”中,单击接收已认可的证书

    3. 输入在证书请求表格中指定的“服务器名称”。
      注意: 如果您获得记录未找到的一条消息,可能输入的服务器名称不正确。如果您忘记了您输入的服务器名称,请与您的管理员核对。

    4. 在“口令短语”字段中,输入口令,并单击提交请求
      注意: 如果您获得记录未找到的一条消息,可能输入的口令不正确。如果您忘记了您输入的口令,请与您的管理员核对。

    5. 如果找到证书,将显示“下载证书”页面,您可以下载证书。要启动下载处理,请单击单击此处下载您的证书

      如果未找到,请与管理员核对何时将处理证书。

    6. 在下载处理完成之后,在您的 Web 浏览器中将显示一个已签署的证书请求。使用复制和粘贴功能,将该文件复制至粘贴板中。 将签署的证书粘贴至服务器上的 *.cert 文件中。

    7. 使用 IKEYMAN 将签署的证书接收至您服务器的操作密钥数据库中。要获得详细的指导,请参阅接收由可信 CA 签署的证书

    8. 在您接收认可的证书之后,您的服务器将被您的专用网络中其它 HTTP Server 和 Web 浏览器确认。

    相关信息

    注意:

    1. 如果您使用客户机认证的证书取消列表(CRL),您必须从 IBM 注册表购买,并发出您拥有的证书。

    2. 金融和银行机构可以订购特殊的数字证书,该证书可允许导出服务器版本以使用 128 位或更高的加密级。 要获得更多信息,请参阅用于金融和银行机构的 Web 服务器的更强的加密选项

    用于金融和银行机构的 Web 服务器的更强的加密选项

    当指定作为金融和银行机构的 Web 服务器,HTTP Server 的北美版可以在 Netscape Navigator 4.x 和 Microsoft Internet Explorer 4.x 的国内和国际版中开发更强的加密能力。要使用该功能,您必须从 VeriSign 订购一个称为 Global Server ID 的特殊数字证书。

    对于一般的 Web 事务处理,Netscape 和 Microsoft 的浏览器可使用 40 位的加密用于安全套接字层(SSL)。 尽管如此,当服务器使用 VeriSign Global Server ID 用于 SSL 证书,导出的浏览器可使用 128 位加密级或更高加密级。 这使带 Global Server ID 的服务器能在最高级的 SSL 加密级与 Netscape 和 Microsoft 的浏览器的国内和国际版进行通信。

    希望使用该功能的 HTTP Server 的国际金融和银行机构客户必须与 IBM 联系,以获得和使用 HTTP Server 的北美版输出的许可证。

    证书和 URL 要求

    使用 128 位加密,用于导出的浏览器建立一个 SSL 连接:

    浏览器要求


    表格 2. Global Server ID 浏览器要求

    浏览器 国内 出口
    Netscape Navigator 所有版本工作与列示在证书和 URL 要求中的要求相吻合。 版本 4.04 是唯一支持 128 位加密的版本。
    Internet Explorer 所有版本工作与列示在证书和 URL 要求中的要求相吻合。 版本 4.0(通过 4.72.3110.8 升级)是唯一支持 128 位加密的版本。要验证升级号,单击“帮助”并选择“关于 Internet Explorer”。

    要获得当前有关加密支持和浏览器要求的大多数信息,请参阅 HTTP Server Web 站点

    页面顶部