在IBM上安装SSL通配符证书

Question

我在不同的机器上运行2台IBM服务器(7.0)，并更新这两台机器的SSL证书。证书是通配符证书。

我已经成功地更新了我生成更新请求的服务器的证书，看起来一切都很好。

当试图在第二台服务器上重复使用证书时，会出现问题。我已经读取了几个站点，这些站点声明我需要从第一个服务器导出证书(使用iKeyMan)，然后将其复制到第二个服务器。然后创建一个新的KDB文件，并导入证书。我已经这样做了，当查看新KDB文件的内容时，它看起来是完整的(它拥有所需的所有证书-根、中间等)。

但是，当我试图在我的服务器配置中使用这些文件( KDB和相应的STH文件)时，它失败了--服务器启动，但我的证书没有安装。

有人知道我做错了什么吗？

Answer 1

正如注释中所讨论的，SSLServerCert指令值必须与要在.kdb文件中使用的证书的标签匹配。使用密钥管理实用程序(IKEYMAN)实用程序标签可以在“个人证书”部分进行检查。

Answer 2

错误消息"SSL握手失败，无法在密钥文件中找到指定的标签“报告在错误日志文件中IBM无法找到存储在KDB密钥数据库文件中的个人证书，这是由于SSL配置：

For example: 
Listen 0.0.0.0:443
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

<VirtualHost 0.0.0.0:443>
ServerName fullyqualifyname or site name.
SSLEnable
SSLClientAuth None
</VirtualHost>
SSLDisable
KeyFile "c:/program files/ibm http server/key.kdb"

这是最常用的SSL VirtualHost节配置。IBM的设计是从标记为默认的个人证书部分搜索存储在KDB密钥数据库文件中的个人证书。

使用ikeyman实用工具打开KDB密钥数据库文件，在“个人证书”部分中，双击证书标签名称或单击“查看/编辑”按钮以显示密钥信息证书上下文，然后查看左下角有一个复选框将复选标记放置到“将证书设置为默认”。一旦放置复选标记并单击“确定”，证书标签名称将更改：

From: 
*.ibm.com 

To: 
 * *.ibm.com 

停止并启动，以识别KDB密钥数据库文件中所做的更改。重试将https请求发送到。现在，web服务器搜索在SSL握手期间查找并向客户端浏览器显示标记为默认的个人证书。如果密钥文件中只存储了一个个人证书，建议使用此方法。使用带有证书标签名称的SSLServerCert指令，它是一个有效的选项。但是，当您将多个证书与多个SSL Virtualhost节配置一起存储在密钥数据库文件中时，它是非常有用和必需的。查看下面的IBM，单击这里获取有关如何在IBM中配置SSL的指导。