为IBM HTTPServer安装SSL证书

Question

我们网站的SSL证书两天前就过期了，我一直在尝试在IBM上安装新的证书。我引用了下列文件，并相应地完成了以下步骤：

• 为现有的CMS密钥库(plugin-key.kdb)生成一个新的CSR
• 接收签名的SSL证书并将其添加到plugin-key.kdb中
• 将签名者的根和中间证书添加到plugin-key.kdb中
• 当我运行命令在keystore中列出证书时，我能够看到SSL证书。

然而，当我试图访问https://domain.com时，我会在Chrome中获得ERR_SSL_VERSION_OR_CIPHER_MISMATCH。我还尝试使用SSL检查器在站点上执行SSL检查，但令人惊讶的是，检查器说，“没有在domain.com上找到SSL证书”。

我已经回收了Websphere --做了一个硬的和软的重新启动，但是证书没有显示出来，也没有被浏览器获取。

任何帮助都将不胜感激。

Answer 1

您在错误的密钥存储库中创建了证书。plugin-key.kdb是WebSphere插件的密钥存储库，用于插件与WebSphere应用服务器之间的通信。

您需要更改IHS ( http服务器)使用的keystore。在httpd.conf文件中，查找下面的条目KeyFile "c:/Program Files/IBM HTTP Server/key.kdb"，这将是IHS使用的密钥存储库。

您需要从插件存储区导出带有私钥的证书，并将其作为个人证书添加到IHS密钥存储库中。

Answer 2

密钥文件听起来确实很奇怪。通常用于插件与应用服务器之间的通信。确保在kdb文件中选择了正确的中介体。你的CA给了你什么中介钥匙吗？这些可能是必要的。有时候，与伊克曼一起来的那个是不够的。还要确保在IHS服务器上终止SSL，而不是像Netscaler或F5这样的其他地方。还请检查部署管理器是否将更改后的插件文件重写回原来的插件文件，因为您正在手动更改通常由dmgr生成和传播的文件。