一、获取SSL证书

从沃通完成SSL证书申请^[1]后，将会得到一个私钥key文件(创建CSR时保存)和一个domain.com_sha256.zip的压缩包文件，解压会得到三个子压缩包，IHS服务器需要用到for Nginx.zip中的.crt文件和私钥.key文件。

二、转换证书格式

IHS服务器要求的证书格式类型为KDB，需要通过IBM IKeyMan工具转换,证书的格式转换分为以下两步：

2.1将crt+key文件转换为JKS

转换工具下载：https://download.wotrus.com/wotrus/wosigncode.exe

转换步骤：运行下载的证书转换工具，选择“证书”-“转换证书格式”，证书源格式选择“PEM”，目标格式选择“JKS”，证书文件选择for Nginx.zip解压出来的.crt文件，私钥文件选择创建CSR时保存的.key文件，私钥密码默认留空，JKS密码自行设置，但注意保存该密码，后续过程需要用到，点击“转换”后，输入名称，选择路径，将JKS证书保存到指定位置，具体可参考下图：

2.2将JKS转换为KDB

转换所需工具：IHS自带的IKeyMan工具(版本要求7.0以上)

转换步骤：

1）运行IKeyMan(以Windows为例)

在开始菜单中，找到“IBM HTTP Server V7.0”-“Start Key Management Utility”，运行IBM 密钥管理工具

2) 创建KDB文件

在打开的IBM 密钥管理工具中，点击创建新密钥数据库文件，密钥数据库类型选择CMS并选择密钥保存路径。

注意：请选中“将密码存储到文件”选项，此选项将把密码加密保存到扩展名为.sth的文件中。IHS启动时，会自动从该.sth文件中读取密码，如果不选择此项启动IHS时会报错。

创建密钥库成功后，会在对应的目录下生成三个文件：

3)导入签署者证书

密钥数据库文件创建完成后，点击“签署者证书”-“添加”，将for Other Server.zip中的issuer.crt、cross.crt、root.crt文件依次导入签署者证书中(标签可自定义，不重复即可)。

4)导入JKS文件

签署者证书导入完成后，回到“个人证书”，“导入”，选择之前步骤合成的JKS文件，输入设置的JKS密码。

输入密码确定后，将会弹出如下窗口，在新标签中输入证书域名或者别名，点击“应用”-“确定”，在个人证书中就可以看到对应的证书，点击“查看/编辑”，可将证书设置为缺省证书(默认证书)。

三、安装部署证书

在IBM HTTP Server下，找到httpd.conf文件，修改证书相关配置。

1）启用SSL模块(去掉#注释)

LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

2) 添加SSL配置

Listen 443

<VirtualHost *:443>

ServerName http://www.domain.com

SSLEnable

SSLClientAuth None

<Directory “/opt/IBM/HttpServer/htdocs2">

Options Indexes

AllowOverride None

Require all granted

</Directory>

DocumentRoot “/opt/IBM/HttpServer/htdocs2"

DirectoryIndex index2.html

</VirtualHost>

SSLDisable KeyFile “/opt/IBM/HttpServer/conf/key.kdb"

SSLV2Timeout 100

SSLV3Timeout 1000

参考

1. ^SSL证书申请,如何申请SSL证书 https://www.wosign.com/FAQ/faq2016-0225-01.htm