IBM HTTP SERVER,简称IHS。目前可以支持SHA256算法的最低版本要求是IHS 8.5,而可以支持SHA256的iKeyman版本是8.0。如果您还在使用旧版的IHS或者iKeyman,请尽快升级到最新的版本,旧版只支持SHA1的证书,SHA1证书到2016年12月31日后就彻底被禁用了。
制作JKS文件 JKS(Java Keystore)文件是我们后面用来导入iKeyman密钥对的中间文件。我们首先需要制作完成JKS文件。您在递交订单时,会采用以下两种方式,请按照不同的说明制作JKS文件。 情况一:系统自动生成CSR(证书请求文件) 如果您在递交订单时,选择“系统自动生成CSR(证书请求文件)”:在您递交订单时,会要求您下载并保存server.key文件;在订单完成后,请在“控制台→订单查询→订单详细页”下载“CRT文件”,保存为server.crt。请到 JKS在线合成工具 ,使用server.key和server.crt文件合成一个新的JKS文件。在这里需要设置2个参数:keytool -import -keystore server.jks -alias ssl -file server.p7b
用iKeyman制作KDB文件 1、打开iKeyman,新建一个KDB文件。LoadModule ibm_ssl_module modules/mod_ibm_ssl.so Listen 443 <virtualhost *:443> SSLEnable </virtualhost> SSLDisable KeyFile "c:/Program Files/IBM HTTP Server/key.kdb" SSLStashFile "c:/Program Files/IBM HTTP Server/key.sth"
如果我们需要禁用SSL2 、SSL3,并且支持PFS,可以在上面的配置中增加一些参数:LoadModule ibm_ssl_module modules/mod_ibm_ssl.so Listen 443 <virtualhost *:443> SSLEnable SSLProtocolDisable SSLv2 SSLv3 SSLCipherSpec ALL NONE SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 SSLCipherSpec ALL TLS_RSA_WITH_AES_128_GCM_SHA256 SSLCipherSpec ALL TLS_RSA_WITH_AES_256_GCM_SHA384 SSLCipherSpec ALL TLS_RSA_WITH_AES_128_CBC_SHA256 SSLCipherSpec ALL TLS_RSA_WITH_AES_256_CBC_SHA256 SSLCipherSpec ALL TLS_RSA_WITH_AES_128_CBC_SHA SSLCipherSpec ALL TLS_RSA_WITH_AES_256_CBC_SHA SSLCipherSpec ALL SSL_RSA_WITH_3DES_EDE_CBC_SHA </virtualhost> SSLDisable KeyFile "c:/Program Files/IBM HTTP Server/key.kdb" SSLStashFile "c:/Program Files/IBM HTTP Server/key.sth"
如果需要查询IBM HTTP SERVER关于SSL详细的指令说明请参见:IBM官方文档。本文链接:https://www.58ssl.cn/ssl_jiaocheng/4144.html TAG:"IHS,KDB,CMS,iKeyman,SHA256"转载请注明出处。