一、生產(chǎn)證書請(qǐng)求

1.  生成keystore文件

生成密鑰庫文件keystore.jks需要使用JDK的keytool工具。命令行進(jìn)入JDK或JRE下的bin目錄，運(yùn)行keytool命令（示例中粗體部分為可自定義部分，可根據(jù)實(shí)際配置情況相應(yīng)修改）。

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore D:\keystore.jks -storepass password -keypass password

以上命令中，server為私鑰別名(-alias)，生成的keystore.jks文件默認(rèn)放在D盤根目錄下。

2.  生成證書請(qǐng)求文件(CSR)

keytool -certreq -alias server -sigalg SHA256withRSA -file D:\certreq.csr -keystore D:\keystore.jks -keypass password -storepass password

請(qǐng)備份密鑰庫文件keystore.jks，并稍后提交證書請(qǐng)求文件certreq.csr，等待證書簽發(fā)。密鑰庫文件keystore.jks丟失將導(dǎo)致證書不可用。

注：如SSL證書已簽發(fā)，不需要再次生成CSR，開始參考第二步安裝證書即可。

二、  導(dǎo)入服務(wù)器證書

1.  獲取服務(wù)器證書 

將證書簽發(fā)郵件中“以下是您的服務(wù)器證書”代碼從BEGIN到 END結(jié)束的服務(wù)器證書內(nèi)容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘貼到記事本等文本編輯器中，并修改文件擴(kuò)展名，保存為server.cer文件

2.  獲取CA證書

將證書簽發(fā)郵件中的“以下是您的中級(jí)CA證書”部分里的第一段CA證書的內(nèi)容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘貼到記事本等文本編輯器中，保存并修改文件擴(kuò)展名為ca.cer文件。

3.  查看keystore文件內(nèi)容

進(jìn)入JDK安裝目錄下的bin目錄，運(yùn)行keytool命令查詢keystore文件信息。

keytool -list -keystore D:\keystore.jks -storepass password

查詢到PrivateKeyEntry（或KeyEntry）屬性的私鑰別名(alias)為server，在稍后導(dǎo)入服務(wù)器證書時(shí)需要用到（示例中粗體部分為可自定義部分，可根據(jù)實(shí)際配置情況相應(yīng)修改）。

注意，導(dǎo)入證書時(shí)，一定要使用生成證書請(qǐng)求文件時(shí)生成的keystore.jks文件。keystore.jks文件丟失或生成新的keystore.jks文件，都將無法正確導(dǎo)入您的服務(wù)器證書。

4.  導(dǎo)入證書

導(dǎo)入中級(jí)CA證書（必須優(yōu)先導(dǎo)入中級(jí)證書，否則會(huì)觸發(fā)證書鏈不完整錯(cuò)誤）

keytool -import -alias ca -keystore D:\keystore.jks -trustcacerts -storepass password -file D:\ca.cer -noprompt

導(dǎo)入服務(wù)器證書

keytool -import -alias server -keystore D:\keystore.jks -trustcacerts -storepass password -keypass password -file D:\server.cer

導(dǎo)入服務(wù)器證書時(shí)，服務(wù)器證書的別名必須和私鑰別名一致。請(qǐng)留意導(dǎo)入中級(jí)CA證書和導(dǎo)入服務(wù)器證書時(shí)的提示信息，如果您在導(dǎo)入服務(wù)器證書時(shí)使用的別名與私鑰別名不一致，將提示“認(rèn)證已添加至keystore中”而不是應(yīng)有的“認(rèn)證回復(fù)已安裝在keystore中”。

三、 安裝服務(wù)器證書

1. 導(dǎo)入keysotre密鑰庫 

登陸Websphere控制臺(tái) 

選擇“安全性”=“SSL證書和密鑰管理”=“密鑰庫和證書” 

選擇“新建” 

創(chuàng)建新密鑰庫，并錄入密鑰哭自定義名稱，keystore.jks文件路徑和密碼，類型選擇JKS。

2. 修改SSL配置 

回到“SSL證書和密鑰管理”，選擇“SSL配置”

選擇“新建” 

為新建的SSL通道創(chuàng)建名稱、指定密鑰庫及缺省證書別名（keystore.jks文件的alias別名） 

保存后，選擇“保真質(zhì)量(QoP)設(shè)置” 

配置訪問規(guī)則，及協(xié)議版本和加密傳輸屬性。在這里，可設(shè)置是否要求雙向認(rèn)證。

回到“應(yīng)用程序服務(wù)器”下，您的應(yīng)用

找到該應(yīng)用下的“通信”=“端口”

點(diǎn)擊默認(rèn)端口9443的“查看關(guān)聯(lián)傳輸”

點(diǎn)擊進(jìn)入默認(rèn)關(guān)聯(lián)傳輸鏈

點(diǎn)選“SSL入站通道(SSL_2)”

選擇創(chuàng)建的SSL配置名稱

保存到主配置，并退出

3. 訪問測(cè)試 

重啟應(yīng)用或重啟Websphere，訪問https://youdomain:port/youapp/，測(cè)試證書的安裝。 

四、 服務(wù)器證書的備份及恢復(fù) 

在您成功的安裝和配置了服務(wù)器證書之后，請(qǐng)務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書，以防證書丟失給您帶來不便。 

1. 服務(wù)器證書的備份 

備份服務(wù)器證書密鑰庫文件keystore.jks文件即可完成服務(wù)器證書的備份操作。 

2. 服務(wù)器證書的恢復(fù) 

請(qǐng)參照服務(wù)器證書安裝部分，將服務(wù)器證書密鑰庫keystore.jks文件恢復(fù)到您的服務(wù)器上，并修改配置，恢復(fù)服務(wù)器證書的應(yīng)用。