Este documento proporciona instrucciones para la instalación de certificados SSL. Si usted no puede utilizar estas instrucciones para su servidor, VeriSign y/o Thawte le recomiendan que se ponga en contacto con su proveedor de software o con alguna organización que apoya a IBM.
Para instalar un Certificado SSL Secure Site Pro en IBM HTTP Server IKEYMAN, por favor realice los siguientes pasos :
Paso 1: Obtención de los certificados Intermedios
Verisign y Thawte utilizan los certificados CA Intermedios para mejorar la seguridad de los certificados SSL, la instalación correcta de los certificado CA Intermedios o paquete de CA (CA Bundle) para el certificado SSL es absolutamente esencial para asegurar que los usuarios no ven los errores de certificado cuando se visita un sitio web o al ejecutar un software asegurado con un certificado de Verisign y/o Thawte.
1 .1 Descargar los certificados Intermedios. Por favor haga clic aqui: Symantec – Thawte – GeoTrust
– Comodo
1.2 Copie los certificados Intermedios CA en un archivo de texto y guárdelos como Primary.txt y Secondary.txt
Paso 2: Instalación de los certificados CA Intermedios
Inicie la utilidad de gestión de claves (iKeyman)
- En UNIX, entre IKEYMAN desde el símbolo del sistema. En Windows, inicie la utilidad de administración de claves en la carpeta de IBM HTTP Server.
- En la principal interfaz de usuario, elija el archivo clave de base de datos (Key Database). Seleccione open (abrir).
2.1 Instalación del Certificado de CA Intermedia Primary (primary.crt)
2.1.1 Abra el Key Database file (archivo de base de datos de claves) que utilizó para crear la solicitud de certificado (CSR).
2.1.2 Introduzca el password (contraseña) y haga clic en Ok (Aceptar ) .
2.1.3 Seleccione Signer Certificates (Certificado de firmantes) en el espacio que contiene el archivo de base de datos de claves y haga clic en Add (Agregar).
2.1.4 Haga clic en Type (Tipo de datos) y seleccione un tipo de datos, como datos ASCII con codificación Base64. Este tipo de datos debe coincidir con el tipo de datos del certificado que se va a importar.
2.1.5 Introduzca el nombre de archivo (primary.crt) y la ubicación del certificado intermedio o haga clic en Examinar para seleccionar una ubicación y un nombre de archivo
2.1.6 Haga clic en Aceptar (Ok).
2.1.7 Introduzca una etiqueta para el certificado que va a importar.
2.1.8 Haga clic en Aceptar (Ok). Si recibe un mensaje que este archivo ya está instalado, seleccione continuar.
El campo Signer Certificates (Certificados del firmante) muestra la etiqueta del certificado del firmante que haya añadido
2.2 Instalación del Certificado de CA Intermedia Secondary (secondary.crt)
2.2.1 Abra el Key Database file (archivo de base de datos de claves) que utilizó para crear la solicitud de certificado (CSR).
2.2.2 Introduzca el password (contraseña) y haga clic en Ok (Aceptar ) .
2.2.3 Seleccione Signer Certificates (Certificado de firmantes) en el espacio que contiene el archivo de base de datos de claves y haga clic en Add (Agregar).
2.2.4 Haga clic en Type (Tipo de datos) y seleccione un tipo de datos, como datos ASCII con codificación Base64. Este tipo de datos debe coincidir con el tipo de datos del certificado que se va a importar.
2.1.5 Introduzca el nombre de archivo (secondary.crt) y la ubicación del certificado intermedio o haga clic en Examinar para seleccionar una ubicación y un nombre de archivo
2.2.6 Haga clic en Aceptar (Ok).
2.2.7 Introduzca una etiqueta para el certificado que va a importar.
2.2.8 Haga clic en Aceptar (Ok). Si recibe un mensaje que este archivo ya está instalado, seleccione continuar.
El campo Signer Certificates (Certificados del firmante) muestra la etiqueta del certificado del firmante que haya añadido
Paso 3: Obtención del certificado SSL
La Entidad Certificadora Verisign y/o Thawte le enviarán el correo electrónico de aprobación del certificado SSL , dentro de este email (en el cuerpo del correo electrónico) se le enviará el archivo de certificado SSL.
El archivo debe ser similar al ejemplo:
—– BEGIN CERTIFICATE —–
M4N0Noa9eJPiIpRuVMToegtQ9TQuxqRqmr
E6tECJja5g0hLRwl/WnHSxg6YbRRsFxB0H9HShyf9bYmBJ8FYCu6HpWT7
p5SVCfj5wjhGxnQIDAQABMA0GCSqGSIb3DQEBBAUAA34AiwLwK76NzW
NPn5Zwfdvpok8Nd3adgUL3yi0MUOb6Ws1EaddUKUqpNiNsEcFEpf0WFor
AeRP6XraWw8rTN8102zGrcJgg4P6XVS4l39l5aCEGGbauLP5W6K99c42ku
Kedi xBG2cEIsdSiXeQS/16S36ITclu4AADEAAAAAAAAAnbhgytiuyt3fdtre
—– END CERTIFICATE —–
3.1 Copie y pege el certificado SSL del servidor web en un archivo de texto y guardarlo como ssl.arm
Paso 4: Instalación del certificados SSL (ssl.arm)
Opción 1: Instalación del certificado SSL a través de la consola gráfica Ikeyman
1. Inicie el iKeyman GUI mediante el comando gsk7ikm (UNIX) o el comando strmqikm (Windows). Nota: Para utilizar la GUI iKeyman, asegúrese de que su máquina puede ejecutar el sistema Windows X.
2. Seleccione Open (Abrir) del Key Database file menu (menú Archivo de la base de datos de claves), seguidamente haga clic en Key database type ( Tipo base de datos de claves) y seleccione CMS.
3. Haga clic en Browse (Examinar) para navegar hasta el directorio que contiene los archivos de base de datos de claves.
4. Seleccione el Key Database file (Archivo de la base de datos de claves) al que desea agregar el certificado. Por ejemplo, key.kdb
5. Haga clic en Open (Abrir).
6. En la ventana Password Prompt escriba el Password (contraseña) que estableció cuando creó el key database file (Archivo de la base de datos de claves) y haga clic en Ok (Aceptar)
7. Seleccione la vista Personal Certificates (Certificados Personales).
8. Haga clic en el botón Receive (recibir).
9. En la ventana Receive Certificate (Recibir certificado), seleccione el tipo el Data type (tipo de datos) del nuevo certificado SSL. Por ejemplo: Base64-encoded ASCII para un archivo con la extensión .arm
10. Haga clic en Browse (Examinar) para seleccionar el nombre y la ubicación del nombre de archivo del certificado y luego haga clic en Ok (Aceptar).
Opción 2: Instalación del Certificado SSL a través de comandos
- Para instalar un certificado en iKeycmd usando la línea de comando UNIX, utilice este comando:
+ gsk7cmd -cert -receive -file filename -db filename -pw password -format ascii
- Para instalar un certificado en iKeycmd usando la línea de comando Windows, utilice este comando:
+ runmqckm -cert -receive -file filename -db filename -pw password -format ascii
dónde:
+ -file filename is the fully qualified file name of the file containing the personal certificate.
+ -db filename es el fully qualified file name o un CMS key database.
+ -pw password es el password de el CMS key database.
+ -format ascii es el formato de el certificado. El formato puede ser Base64-encoded ASCII o binary para Binary DER data. El valor por defecto es ascii.
Ayuda extra:
La Consola de estado de Web está preconfigurada para la comunicación Secure Socket Layer (SSL). Sin embargo, para que se pueda utilizar SSL debe de habilitar la preconfiguración SSL.
Con un editor de texto, abra el archivo UBICACIÓN IBM HTTP SERVER/conf/d.conf y modifique las líneas que se describen a continuación en las instrucciones detalladas para cada plataforma. Si no ha utilizado la ubicación predeterminada para la base de datos de claves, inserte la información adecuada.
– Para Windows NT: Elimine el comentario de las líneas
#LoadModule ibm_ssl_module modules/IBMMOduleSSL128.dll
#Listen 443
#SSLEnable
#Keyfile “IBM HTTP SERVER LOCATION/key_db/key.db”
Para AIX, Sun Solaris y Linux: Elimine el comentario de las líneas
#LoadModule ibm_ssl_modulelibexec/mod_ibm_ssl_128.so
#Listen 443
#SSLEnable
#Keyfile “IBM HTTP SERVER LOCATION/key_db/key.db”
Para HP:
Comente las líneas Port y Listen correspondientes al puerto 80:
Port 80
Listen 80
Elimine el comentario de las líneas:
#LoadModule ibm_ssl_modulelibexec/mod_ibm_ssl_128.so
#Listen 443
#SSLEnable
#Keyfile “IBM HTTP SERVER LOCATION/key_db/key.db”
Por convenio, la comunicación SSL se ejecuta en el puerto 443 y la Consola de estado de Web viene preconfigurada según este dato. Para cambiar el puerto SSL por un puerto no estándar, cambie la directriz “Listen” en d.conf para reflejar el puerto que prefiera.
- En Windows: Vuelva a iniciar IBM HTTP Server seleccionando IBM HTTP Server en el panel de control de Servicios de Windows NT y haciendo clic en Detener y luego en Iniciar.
- En UNIX: Vuelva a iniciar IBM HTTP Server ejecutando UBICACIÓN IBM HTTP SERVER/bin/apachectl restart.
Para obtener asistencia adicional, consulte con IBM, ya que tienen una guía útil para la instalación de SSL.