要在因特网上操作商业业务,我们建议您从外部的证书签发机构(如 VeriSign)购买一个安全的服务器证书。 要获得支持的 CA 列表,请参阅证书签发机构。
如果您操作自己的 CA,您可以签署您自己的或任何人的证书请求。如果您只需在您的专用 Web 网络中的证书,而不用与外部的因特网业务,这是一个好的选择。客户机必须拥有浏览器, 如 Netscape Navigator 或 Microsoft Internet Explorer,这样可以接收您的 CA 证书并指定您作为可信的 CA。
要操作您自己的 CA,可以使用您的服务器密钥管理实用程序(IKEYMAN 和 HTTP Server CA), 或向 CA 供应商订购证书签发机构软件。
注意: | 如果您期待管理超过 250 个证书, 您可考虑向 CA 供应商订购软件。该极限值基于可存储于 CA 密钥数据库的证书请求数。在存储 250 个证书请求之后,实用程序性能非常差。 |
在使用 HTTP Server CA 之前,您必须安装 WebSphere Application Server 作为您的 Servlet 。
要获得安装指导,请参阅 WebSphere Application Server 入门版本 2. 您可以从 WebSphere Application Server Web 站点访问本书和其它应用程序服务器文档。
为正确地下载客户机证书,下列 AddType 伪指令和 MIME 类型必须包括在服务器配置文件中:
AddType .cer application/x-x509-user-cert 7bit 0.5 #用户证书 AddType .der application/x-x509-ca-cert binary 1.0 #CA 证书浏览器
这些 MIME 类型包括在缺省的服务器配置文件中。
在使用 CA 实用程序之前,使用 IKEYMAN 创建您的服务器和 CA 密钥数据库、服务器证书和自签的 CA 证书。要得到指导,请参阅创建一个自签证书。
注意: | 作为管理员,您可以选择在提交它们之后自动处理 CA 证书请求。 自动处理使您无需手工处理每个证书请求。如果您希望自动处理,在使用 IKEYMAN 设置您的 CA 密钥数据库时,创建隐藏的文件用于 CA密钥数据库口令。 |
在您创建 CA 密钥数据库和自签 CA 证书之后,将文件 cakey.kdb 复制至 CA 实用程序目录。
您可以有选择地在隐藏文件中存储您的加密 CA 密钥数据库口令。如果隐藏文件的目录与 CA 密钥数据库文件(cakey.kdb)所在相同,那么发出的所有由 CA 实用程序签署的证书将自动认可。如果您创建一个隐藏文件(cakey.sth),将该文件复制至 cakey.kdb 文件所在的相同目录中。
服务器上您的 cakey.kdb 文件必须以客户机和服务器可使用的格式导出至 CA 实用程序。 要获得详细的指导,请参阅导出 CA 密钥数据库。
要访问 HTTP Server CA 实用程序,请转至 URL:
http://your.server.name/CAServlet/Welcome.html
您的 CA 作业验证将为客户机或服务器发出的证书。您需要确保发出请求的人员 有合法的权利以请求证书。在验证该人员的权利之后,使用 HTTP Server CA 创建签署的证书。
该进程的输入是客户机或服务器的证书请求。输出是带有您的专用密钥签署的证书。
在处理完客户机或服务器证书之后:
在完成这些步骤之后,客户机或服务器可以使用它们的 CA 签署的证书安全地与其它 HTTP Server 和您的专用 Web 网络中 Web 浏览器通信。
使用这些步骤导出服务器上的 CA 密钥数据库(cakey.kdb)格式可由浏览器和服务器使用。您不需要在初始设置您的证书签发机构之后重复这些步骤。
注意: | 您不再可以使用 CA 实用程序之前,使用 IKEYMAN 创建 cakey.kdb 文件。 要得到指导,请参阅创建一个自签证书。 |
导出您的浏览器和服务器的 CA 密钥数据库:
http://your.server.name/CAServlet/Welcome.html
注意:
处理来自浏览器和服务器的证书请求:
http://your.server.name/CAServlet/Welcome.html
如果有正在等待的请求:
您可以操作一个或多个请求。
要获得更多详细的指导,请单击帮助。
在您接受由 HTTP Server CA 签署的浏览器证书之前,必须首先下载用于将 HTTP Server CA 标识为您的浏览器可信证书签发机构的 CA 证书。
下载一个 CA 证书:
http://your.server.name/CAServlet/Welcome.html
在下载 CA 证书之后,通过您的浏览器指定证书作为可信的证书,并且将证书标记为您的操作密钥数据库的缺省。 一旦通过您的浏览器将 CA 证书指定为可信的 CA,您不需要再次执行该过程。
使用下列步骤从您的专用网络的 CA 上请求一个浏览器证书:
http://your.server.name/CAServlet/Welcome.html
根据管理员的设置,您的请求将自动认可或在管理员复查之后认可。如果发生自动认可,您将不会获得有关请求已认可的确认消息。 您可以直接至接收一个认可的浏览器证书,并完成处理过程。
如果您的管理员设置了手工认可,您将获得有关请求已接受的确认消息。在将处理认可时,请向您的管理员核对确定。将认可的证书发送至 HTTP Server CA 数据库目录。
在您接收一个认可的浏览器证书之前,必须下载 CA 的证书(cakey.der)。要获得指导,请参阅为 Web 浏览器下载一个 CA 证书。
使用下列步骤接收一个已认可的 CA 签署的浏览器证书:
http://your.server.name/CAServlet/Welcome.html
注意: | 如果您获得记录未找到的一条消息,可能输入的公共名称不正确。如果您忘记了您输入的公共名称,请与您的管理员核对。 |
注意: | 如果您获得记录未找到的一条消息,可能输入的口令不正确。如果您忘记了您输入的口令,请与您的管理员核对。 |
如果未找到,请与管理员核对何时将处理证书。
在您处理任何 HTTP Server CA 签署的证书之前,必须首先将 HTTP Server CA 证书存储在您的目标 Web 服务器的操作密钥数据库中。
为另一个服务器下载一个 CA 证书:
http://your.server.name/CAServlet/Welcome.html
使用下列步骤从您的专用网络的 CA 上请求一个服务器证书:
http://your.server.name/CAServlet/Welcome.html
使用该表格发送服务器证书请求至您的专用网络的 CA ,这样网络中的浏览器和其它 HTTP Server 将确认该 HTTP Server。如果在网络中有其它 Web 服务器,您可以在远程 Web 服务器上执行该任务。
问题:在工作站上浏览该文件?当在您的屏幕上显示 *.arm 文件时,在您的粘贴板中复制该文件内容。 然后转至您的浏览器,在表格的相应部分粘贴该文件: 请将您的证书请求复制至下列区范围。 您必须将您的操作证书请求文件(*.arm)粘贴至该空间。 该文件将发送至 HTTP Server CA 供签署。
如果您的 CA 管理员设置了手工认可,您将在您的浏览器上获得有关证书请求已接受的确认消息。
在您接收一个认可的服务器证书之前,必须下载 CA 的证书(cakey.txt)。要获得指导,请参阅为另一个服务器下载一个 CA 证书。
使用下列步骤接收一个已认可的 CA 签署的服务器证书:
http://your.server.name/CAServlet/Welcome.html
注意: | 如果您获得记录未找到的一条消息,可能输入的服务器名称不正确。如果您忘记了您输入的服务器名称,请与您的管理员核对。 |
注意: | 如果您获得记录未找到的一条消息,可能输入的口令不正确。如果您忘记了您输入的口令,请与您的管理员核对。 |
如果未找到,请与管理员核对何时将处理证书。
注意:
当指定作为金融和银行机构的 Web 服务器,HTTP Server 的北美版可以在 Netscape Navigator 4.x 和 Microsoft Internet Explorer 4.x 的国内和国际版中开发更强的加密能力。要使用该功能,您必须从 VeriSign 订购一个称为 Global Server ID 的特殊数字证书。
对于一般的 Web 事务处理,Netscape 和 Microsoft 的浏览器可使用 40 位的加密用于安全套接字层(SSL)。 尽管如此,当服务器使用 VeriSign Global Server ID 用于 SSL 证书,导出的浏览器可使用 128 位加密级或更高加密级。 这使带 Global Server ID 的服务器能在最高级的 SSL 加密级与 Netscape 和 Microsoft 的浏览器的国内和国际版进行通信。
希望使用该功能的 HTTP Server 的国际金融和银行机构客户必须与 IBM 联系,以获得和使用 HTTP Server 的北美版输出的许可证。
使用 128 位加密,用于导出的浏览器建立一个 SSL 连接:
浏览器 | 国内 | 出口 |
---|---|---|
Netscape Navigator | 所有版本工作与列示在证书和 URL 要求中的要求相吻合。 | 版本 4.04 是唯一支持 128 位加密的版本。 |
Internet Explorer | 所有版本工作与列示在证书和 URL 要求中的要求相吻合。 | 版本 4.0(通过 4.72.3110.8 升级)是唯一支持 128 位加密的版本。要验证升级号,单击“帮助”并选择“关于 Internet Explorer”。 |
要获得当前有关加密支持和浏览器要求的大多数信息,请参阅 HTTP Server Web 站点。