Conversión de certificados Open SSL a IBM SSL

Si está actualizando su producto de puntos y actualmente utiliza certificados Open SSL, debe exportar los certificados al formato PKCS12, antes de importarlos como certificados IBM® SSL. Estos certificados privados y públicos exportados se almacenarán en un archivo protegido por contraseña.

Para exportar e importar sus certificados Open SSL existentes al formato PKCS12:
  1. Exporte el certificado al formato PKCS12:
    1. En la línea de mandatos, vaya a los directorios adecuados:
      • En Windows®: letra-unidad:\Archivos de programa\IBM\RationalSDLC\common\IHS\bin
      • En UNIX®: /opt/IBM/RationalSDLC/common/IHS/bin
      • En Linux®: /opt/ibm/RationalSDLC/common/IHS/bin
    2. Especifique el mandato siguiente:

      openssl
      pkcs12 -export -in
      su_certificado_servidor.crt
      -out
      ubicación_compartida_correlacionada\cert_servidor.p12
      -inkey su_clave_privada_servidor.key
      -name ibmhttp

      Nota: Anote la ubicación del archivo cert_servidor.p12. Es el archivo con formato PKCS12 que se importará al almacén de IBM SSL Key Management.
    3. Escriba la frase correcta utilizada cuando se creó por primera vez la clave privada.
    4. Escriba una contraseña de exportación.
  2. Actualice los archivos de política de IBM SDK para utilizar la versión no restringida y habilitar el reconocimiento de los archivos de certificado que no sean de IBM.
    Nota: Si no se actualiza el archivo de política, se producirá un error al importar el certificado PKCS12.
    Siga los procedimientos descritos en el sitio http://www.ibm.com/support/docview.wss?uid=swg21201170. Descargue la versión 1.4.2 de los archivos de política no restringidos y sustituya los dos archivos de política existentes que se encuentran en estas ubicaciones:
    • En Windows: letra-unidad:\Archivos de programa\IBM\RationalSDLC\common\IHS\_jvm\jre\lib\security
    • En UNIX: /opt/IBM/RationalSDLC/common/IHS/_jvm/jre/lib/security
    • En Linux: /opt/ibm/RationalSDLC/common/IHS/_jvm/jre/lib/security
    Importe el certificado al almacén de IBM SSL Key Management:
    1. Inicie la herramienta Programa de utilidad de gestión de claves del servidor HTTP de IBM (si aún no está en ejecución).
    2. En la herramienta, pulse Archivo de base de datos de claves > Abrir > Seleccionar base de datos de claves tipo CMS y pulse Examinar para navegar hasta el archivo de almacén de claves (common/IHS/key.kdb).
    3. Escriba la contraseña de almacén de claves y pulse Aceptar.
    4. En el área de contenido de la base de datos de clave, pulse el menú desplegable y seleccione Personal Certificates (Certificados personales).
    5. Pulse Importar, Tipo de archivo de claves y seleccione PKCS12.
    6. Pulse Examinar, vaya al archivo .p12 que desea importar y pulse Aceptar.
    7. Si se le solicita, especifique una contraseña para la base de datos de claves y pulse Aceptar.
    8. Vuelva a pulsar Aceptar para completar el proceso de importación.
    Nota: Si la fecha de validez del certificado que desea importar ha caducado, no podrá importarlo. Consulte "Firma de certificados por entidades emisoras de certificados."

Firma de certificados por entidades emisoras de certificados

Para obtener certificados autofirmados (SSL) de entidades emisoras de certificados (CA) utilizando el programa de utilidad iKeyMan:
  1. Inicie la herramienta Programa de utilidad de gestión de claves de IBM HTTP Server.
  2. Pulse Archivo de bases de datos de claves > Abrir > Seleccionar base de datos de claves. Entre CMS y pulse Examinar para navegar hasta el archivo de almacén de claves (key.kdb). Escriba la contraseña de almacén de claves y pulse Aceptar. Si el archivo de almacén de claves (key.kbd) no se crea primero, consulte Creación de claves para el servidor HTTP.
  3. En el área Contenido de base de datos de claves, seleccione el elemento desplegable y pulse Solicitud de certificado personal.
  4. Entre valores de campo para los campos. Utilice el nombre completo de la provincia, en lugar de una abreviatura. Cuando finalice, guarde el archivo con la extensión de archivo .arm.
  5. Siga las reglas de la organización de entidades emisoras de certificados (CA) para enviar el archivo .arm y recibir el certificado firmado (archivo .cert). Por ejemplo, algunas empresas le dirigen a un sitio web donde puede subir el archivo .arm y recibir el archivo .cert por correo electrónico.
  6. Debe renombrar el archivo .cert al valor en el campo Nombre común del certificado resultante. Esto es normalmente el nombre completo de Internet de la máquina (por ejemplo, mymachine.somedomain.ibm.com). Debe utilizar el nombre completo de la máquina cuando se hace referencia al nombre común.
  7. En el área Contenido de base de datos de claves, en el menú desplegable pulse Certificados de firmante. Si aparece el nombre de la CA (el nombre de la empresa), en la página Contenido de base de datos de claves, seleccione el elemento desplegable Certificados personales. Pulse Recibir. Busque el archivo Nombre común.arm (vea el paso 6). Si es un archivo ASCII, seleccione ASCII en el recuadro desplegable Tipo de datos; de lo contrario, seleccione Archivo binario DER. Pulse Aceptar. Recibirá un mensaje que indicará que se ha recibido el certificado.
    Si el nombre de la CA no aparece en la lista, añada el certificado raíz de la CA:
    1. Busque el certificado raíz en el sitio web de la CA, descárguelo y nómbrelo CA.arm (donde CA es el nombre de la empresa de la entidad emisora de certificado).
    2. En el área Contenido de base de datos de claves, seleccione el elemento desplegable Certificados de firmante y pulse Añadir.
    3. Pulse Examinar para navegar al archivo .arm (CA.arm) que acaba de descargar. Si es un archivo ASCII, seleccione ASCII en el recuadro desplegable Tipo de datos; de lo contrario, seleccione Archivo binarios DER. Después de pulsar Aceptar, la lista contendrá el nombre de la CA y recibirá un mensaje indicando que el certificado se ha recibido. A continuación, prosiga en el paso 7.

Feedback