ibm websphere
 缺省情况下，在安装和配置IBM®WebSphere®Application Server Network Deployment时，还将在密钥库中配置缺省的自签名证书。 当这些证书过期时，或者如果您需要更改参数（例如密钥大小或签名算法以提高安全性），则必须更新证书。 一些方法是： 

 使用wsadmin命令来转换默认证书的算法或其他属性。 如果密钥库仅包含默认的根证书，则可以使用此方法。 但是，如果您的WebSphere环境中托管的应用程序需要除默认证书以外的其他证书（即，密钥库中存在其他自签名或证书颁发机构（CA）证书），则wsadmin命令可能不起作用。 在某些情况下，转换步骤会导致Java异常。 
 将默认证书替换为外部或内部第三方CA签名的证书。 对于此方法，您必须请求证书到证书颁发机构，这可能是一个漫长的过程。 您还必须删除现有证书并将其替换为新证书。 

 本教程描述了如何使用WebSphere管理控制台来创建自签名根证书。 您可以为参数指定新值，然后用新证书替换现有的根证书。 使用这种方法，您可以保留旧证书，以便在必须还原更改时可以使用它们。 新的证书集包含已修改的参数，并且证书在您更新端点安全配置时生效。 
 备份Deployment Manager概要文件 
 在开始之前，请备份WebSphere Network Deployment服务器的Deployment Manager（dmgr）概要文件： 
# cd <DMGR_PROFILE>/bin
./backupConfig.sh -nostop
 保存security.xml，key.p12和trust.p12文件的副本，这些文件位于以下目录中： 
<DMGR profile>/config/cells/<Cell Name>/security.xml
<DMGR profile>/config/cells/<Cell Name>/nodes/<Node Name>/key.p12
<DMGR profile>/config/cells/<Cell Name>/nodes/<Node Name>/trust.p12
 从Deployment Manager的默认根存储中创建自签名根证书 
 在DmgrDefaultRootStore密钥库下创建具有所需参数的自签名根证书： 

 登录到服务器的管理控制台。 选择安全性 > SSL证书和密钥管理 。 从“ 密钥库用法”菜单中，选择“ 根证书”密钥库 。 


 选择DmgrdefaultRootStore 。 


 在“ 其他属性”下 ，单击“ 个人证书” 。 单击创建 ，然后选择自签名证书以创建自签名证书。 在此示例中，新证书的别名为root_2048_sha256。 


 在“ 签名算法”字段中，输入SHA256withRSA 。 在密钥大小字段中，输入2048 。 


 单击“ 应用” ，然后单击“ 确定” 。 单击查看 ，然后选择同步 。 点击保存 。 

 Deployment Manager根密钥库和签署者存储中的Exchange签署者证书 
 在部署管理器的根存储（DmgrDefaultRootStore）和签名存储（DmgrDefaultSignerStore）之间交换签名者证书。 结果，将DmgrDefaultRootStore中选定的根个人证书添加到DmgrDefaultSignerStore的签署者列表中。 

 在服务器的管理控制台中，选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 从“ 密钥库用法”菜单中，选择“ 全部” 。 


 选择DmgrDefaultRootStore和DmgrDefaultSignersStore ，然后单击Exchange签署者 。 


 在“ 要交换的签名者”下 ，选择root_2048_sha256证书。 然后，点击添加 。 然后将证书添加到DmgrDefaultSignersStore密钥库。 



 使用单元的默认信任库交换签名者 
 在部署管理器的密钥库（DmgrDefaultRootStore）和单元的默认信任库（CellDefaultTrustStore）之间交换签名者证书。 结果，将DmgrDefaultRootStore中选定的根个人证书添加到CellDefaultTrustStore的签署者列表中。 

 选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 从“ 密钥库用法”菜单中，选择“ 全部” 。 选择DmgrDefaultRootStore和CellDefaultTrustStore ，然后单击Exchange签署者 。 


 选择root_2048_sha256 ，然后单击添加以将签署者证书添加到CellDefaultTrustStore密钥库中。 


 单击“ 应用”，然后单击“确定” 。 单击查看 ，选择同步 ，然后单击保存 。 

 使用证书管理服务（CMS）密钥库交换签名者 
 在DmgrDefaultRootStore和CMSKeyStore密钥库之间交换签名者证书。 结果，在DmgrDefaultRootStore中选择的根个人证书将添加到CMSKeyStore的签署者列表中。 

 选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 从“ 密钥库用法”菜单中，选择“ 全部” 。 选择DmgrDefaultRootStore和CMSKeyStore ，然后单击“ Exchange签名者”。 
 选择root_2048_sha256 ，然后单击“ 添加”以将证书添加到CMSKeyStore签名者。 



 在单元的默认密钥库中创建默认的链式证书 
 在CellDefaultKeyStore下创建一个链式证书。 您在步骤2中创建的根证书用作此链接证书的签名者证书。 

 选择安全性 > SSL证书和密钥管理 。 
 选择CellDefaultKeyStore 。 单击“ 个人证书” ，然后创建一个链式证书。 


 证书的别名为default_2048_sha256。 在用于对证书进行签名的根证书下，选择root_2048_sha256 。 


 输入参数值。 单击“ 应用” ，然后单击“ 确定” 。 单击查看 ，选择同步 ，然后单击保存以将更改与您的节点同步。 

 在节点的默认密钥库中创建默认的链式证书 
 在NodeDefaultKeyStore下创建一个链式证书。 您在步骤2中创建的根证书用作此链接证书的签名者证书。 

 选择安全性 > SSL证书和密钥管理 > 密钥库和证书 。 选择NodeDefaultKeyStore 。 单击“ 个人证书”，然后创建一个链式证书。 证书的别名为default_2048_sha256。 
 展开用于签署证书菜单的根证书 ，然后选择root_2048_sha256 。 
 输入参数值。 单击“ 应用” ，然后单击“ 确定” 。 选择同步 ，然后单击保存以将更改与您的节点同步。 

 更新每个单元和节点的端点安全性配置 
 管理每个单元和节点的端点安全配置（入站和出站）。 

 选择安全性 > SSL证书和密钥管理 。 下图显示了入站配置CellDefaultSSLSettings和NodeDefaultSSLSettings，以及出站配置CellDefaultSSLSettings和NodeDefaultSSLSettings。 


 在每种配置下，将KeyStore中的Certificate别名的值更改为default_2048_sha256 。 



 重新启动应用程序服务器和其他进程 
 停止应用程序服务器，节点代理和Deployment Manager时，提示您接受创建的新证书。 选择Y接受证书并继续。 所有进程停止后，请重新启动它们。 
 从profile_root / bin目录中，停止应用程序服务器，节点代理和Deployment Manager： 
./stopServer.sh server_name
 ./stopNode.sh
 ./stopManager.sh
 启动所有WebSphere流程： 
./startManager.sh
./startNode.sh
./startServer.sh server_name
 从< IHS_install_dir > / bin目录重新启动IBM HTTP Server（Web服务器）进程： 
./apachectl stop
./apachectl start
 通过访问WebSphere管理控制台来验证证书及其参数： 
https://<dmgrhostname>:9043/ibm/console
 结论 
 本教程展示了如何使用WebSphere Application Server管理控制台来修改缺省的自签名根证书的属性。 您学习了如何创建新证书，然后将其应用于端点安全配置。 当服务器的密钥库包含默认证书和第三方CA签名证书的混合时，可以使用此方法。 

翻译自: https://www.ibm.com/developerworks/websphere/library/techarticles/1606_sutariya-trs/1606_sutariya.html
ibm websphere

    
WebSphere https默认使用的是安装时生成的IBM签名的证书，该证书密钥长度1024位在某些检查中会认为这不够安全。处理这个问题我们可以创建一个自签名的证书作为默认证书。
 
登录控制台，安全性--SSL证书和密角管理--密钥库和证书

 

 

 

 
带*号的是必填项，不带的是可选项可不填，密钥大小下拉选2048

 应用然后保存并刷新页面即可（有缓存可能要多刷几遍），不需要重启；应用和控制台都会自动改用新建的证书。
 
 证书更换前后对比如下：

 

转载于:https://www.cnblogs.com/lsdb/p/7300146.html

一、 确认证书安装 

Websphere通常只作为应用服务器，它可以方便的与其他Web服务器做应用集成。如果您的Websphere集成了Apache、IBM Http Server、IIS等Web服务器，则您的服务器证书需要配置在您的Web服务器上。如果您的Webspere不仅作为应用服务器，也做为Web服务器提供直接的Web访问方式，您才需要将证书安装配置在Webspere中。

二、 生成证书请求 

1. 安装JDK（可选） 
Websphere安装后自带JDK安装。如果您直接在服务器上生成证书请求，请进入Weblogic安装目录下JDK所在路径的bin目录，运行keytool命令。
如果您需要在其他环境下生成证书请求文件，则您可以选择安装JDK，并稍后上传生成的密钥库文件keystore.jks到服务器上进行配置。
Java SE Development Kit (JDK) 下载。下载地址：http://java.sun.com/javase/downloads/index.jsp

2. 生成keystore文件 
生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK下的bin目录，运行keytool命令。（示例中粗体部分为可自定义部分，请根据实际配置情况作相应调整）
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore C:\keystore.jks -storepasspassword -keypass
password


以上命令中，server为私钥别名(-alias)，上图“输入<server>的主密码”提示输入密钥对密码，在这里不要输入，而是直接回车，会保持与密钥库文件密码一致（java不支持密钥库密码与密钥对密码不一致），生成的keystore.jks文件默认放在命令行当前路径下。

3. 生成证书请求文件(CSR) 
keytool -certreq -alias server -sigalg SHA1withRSA -file C:\certreq.csr -keystore C:\keystore.jks -keypasspassword -storepass
password


备份密钥库文件keystore.jks，并稍后提交证书请求文件certreq.csr，等待证书签发。

三、 导入服务器证书 

1. 获取服务器证书中级CA证书 
为保障服务器证书在客户端的兼容性，服务器证书需要安装两张中级CA证书(不同品牌证书，可能只有一张中级证书)。
从邮件中获取中级CA证书： 
将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）分别粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为intermediate1.cer和intermediate2.cer文件。
2. 获取服务器证书 
将证书签发邮件中的从BEGIN到 END结束的服务器证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为server.cer文件

3. 查看Keystore文件内容 
进入JDK安装目录下的bin目录，运行keytool命令。 
keytool -list -keystore C:\keystore.jks -storepass 
password


查询到PrivateKeyEntry属性的私钥别名(alias)为server。记住该别名，在稍后导入服务器证书时需要用到。（示例中粗体部分为可自定义部分，请根据实际配置情况作相应调整。）
注意，导入证书时，一定要使用生成证书请求文件时生成的keystore.jks文件。keystore.jks文件丢失或生成新的keystore.jks文件，都将无法正确导入您的服务器证书。

4. 导入证书 (如果只有一张中级证书，则只需导入一张中级证书即可)
导入第一张中级CA证书 
keytool -import -alias intermediate1 -keystore C:\keystore.jks -trustcacerts -storepasspassword -file C:\intermediate1.cer

导入第二张中级CA证书 
keytool -import -alias intermediate2 -keystore C:\keystore.jks -trustcacerts -storepasspassword -file C:\intermediate2.cer



导入服务器证书 
keytool -import -alias server -keystore C:\keystore.jks -trustcacerts -storepasspassword -file C:\server.cer



导入服务器证书时，服务器证书的别名必须和私钥别名一致。请留意导入中级CA证书和导入服务器证书时的提示信息，如果您在导入服务器证书时使用的别名与私钥别名不一致，将提示“认证已添加至keystore中”而不是应有的“认证回复已安装在keystore中”。
证书导入完成，运行keystool命令，再次查看keystore文件内容 
keytool -list -keystore C:\keystore.jks -storepass 
password
  
 

四、 安装服务器证书

1. 导入keysotre密钥库 
登陆Websphere控制台 
选择“安全性”=“SSL证书和密钥管理”=“密钥库和证书” 


选择“新建” 


创建新密钥库


2. 修改SSL配置 
回到“SSL证书和密钥管理”，选择“SSL配置”

 
选择“新建” 


为新建的SSL通道创建名称、指定密钥库及缺省证书 


保存后，选择“保真质量(QoP)设置” 


配置访问规则，及协议版本和加密传输属性。在这里，可设置是否要求双向认证。


回到“应用程序服务器”下，您的应用


找到该应用下的“通信”=“端口”


点击默认端口9443的“查看关联传输”


点击进入默认关联传输链


点选“SSL入站通道(SSL_2)”


选择新创建的SSL配置


保存到主配置，并退出


3. 访问测试 
重启应用或重启Websphere，访问https://youdomain:port/youapp/，测试证书的安装。

五、 服务器证书的备份及恢复 

在您成功的安装和配置了服务器证书之后，请务必依据下面的操作流程，备份好您的服务器证书，以防证书丢失给您带来不便。
1. 服务器证书的备份 
备份服务器证书密钥库文件keystore.jks文件即可完成服务器证书的备份操作。 

2. 服务器证书的恢复 
请参照服务器证书安装部分，将服务器证书密钥库keystore.jks文件恢复到您的服务器上，并修改配置，恢复服务器证书的应用。


For personal reference and 
forward from http://verisign.itrus.com.cn/html/fuwuyuzhichi/fuwuqizhengshuanzhuangpeizhizhinan/414.html

在安装websphere的时候，有一个页面让你自定义控制台的HTTPS安全证书，如果你不上传的话，就给你自签一个。当然自签名的证书浏览器一般是不认的。

使用自签证书的时候，每次登录WebSphere控制台浏览器就会报错，如下



此时像Chrome和Firefox这样的浏览器会直接阻止你继续浏览。那么如何让我们的证书合法化呢。
首先就是我们要使用公网上的合法证书，并为控制台所在的IP分配一个域名。如果在内网环境下怎么办呢。
在内网环境中我们可以轻松使用内网的DNS服务器给WebSphere的服务器分配任意一个域名，但是证书我们有两个选择，一个是自己签发根证书和网站证书，另一种是去网上购买免费或收费证书。
如果是自签发证书，那么我们只需把自签的根证书安装到系统的“信任的根证书颁发机构”即可，百度一下即可获得相关教程。
如果是从互联网证书机构那里购买的证书，比如我这里是先买了一个域名，然后去TrustAsia购买了一年免费的DV证书，然后能下载到一个压缩包，在tomcat里面有一个jks文件，这个就是WebSphere需要的证书了。注意TrustAsia发来的证书里有多种证书，其中tomcat和WebSphere这种JAVA中间件能用的就是jks证书，而这种证书在生成时需要一个密码，不要忘记就好。其他格式的证书，比如cer格式的是不需要密码的。
在这里我推荐使用jks格式的证书，可以用java的JDK直接生成，也可以从TrustAsia直接获取。
拿到jks证书后，我们就可以去控制台部署了
首先找到控制台左边的“安全性”-“SSL证书和密钥管理”然后找到左边的“SSL配置”

查看当前使用的SSL配置，一般叫NodeDefaultSSLSettings，点击进入

查看默认的密钥库名称

然后回到“SSL证书和密钥管理”页面，选择右边的“密钥库和证书”

可以看到上面插到的“NodeDefaultKeyStore”的证书路径，如下图

此时我们登录这个目录，把自己签发的jks文件放进去，然后再修改这个证书路径，然后填入你之前设置的证书密码即可


然后点击应用，保存，配置好HOSTS或者DNS解析，再次登录控制台的时候使用HTTPS+域名登录，就可以看到小绿锁了，并且也不会有不安全的提示了。