系统环境：

Win2000 server, Websphere V6.0, IE 6.0, JDK1.5

证书类型：

深圳CA签发的服务器证书。

以下安装必须是已安装Websphere及JDK后进行。

Websphere安装界面如下：

点击Websphere Application Server 试用版安装，然后按照向导指示进行安装。

设置JDK环境变量：我的电脑—〉属性—〉高级—〉环境变量

在变量值处加入：D:\Program Files\IBM\WebSphere\AppServer\java\jre\bin路径（即Websphere的安装路径\AppServer\java\jre\bin）。

2.1 进入DOS环境

以下的命令行，请使用开始-à运行 输入CMD进入DOS环境下进行。

新建一个名为testjks的文件夹，以下操作都将在该目录下进行。

2.2 产生keystore文件的命令

产生keystore文件websphere.jks：

D:\testjks>Keytool -genkey -alias websphere -keyalg RSA -keysize 1024 -dname "CN=172.16.29.95,OU=SZCA,L=SHENZHEN,S=GUANGDONG,C=CN" -keypass 11111111 -keystore ./websphere.jks -storepass 11111111

2.3 产生certreq.pem命令

产生证书请求certreq.pem文件：

Keytool -certreq -alias websphere -sigalg “MD5withRSA” -file ./certreq.pem -keypass 11111111 -keystore ./websphere.jks -storepass 11111111

2.4 产生证书请求certreq.pem文件

先将certreq.pem改名为certreq.req文件。使用certreq.req到深圳CA签发服务器证书。

将证书从颁发机构中复制出来，并在服务器上安装。然后将安装好的证书导出为Base64格式的证书，如图：

并将导出的证书myserver.cer存放于2.2中相同的目录

访问深圳CA网站http://www.szca.gov.cn下载CA根证书，并存放于3.2中相同的目录

5.1 将CA根证书与服务器证书导入到websphere.jks文件中

Keytool -import -alias testroot -trustcacerts -file ./szca.cer -keystore ./websphere.jks -storepass 11111111

Keytool -import -trustcacerts -alias websphere -file ./myserver.cer -keypass 11111111 -keystore ./websphere.jks -storepass 11111111

5.2 生成cacerts文件

Keytool -genkey -keystore “cacerts” -storepass 11111111 -keyalg RSA

注意：这里所填写的内容必须与证书中相应项的内容相一致！

5.3 添加根证书到cacerts

Keytool -import -alias rootca -trustcacerts -file ./szca.cer -keystore ./cacerts -storepass 11111111

5.4 将websphere.jks,cacerts拷贝到2.2中相同的目录

深圳CA提供丰富的证书应用开发接口(包括Java和COM版本) ，实现多种证书应用功能。各接口都符合行业标准，使得系统集成变得非常简单，与支票圈存系统可以进行快速整合，实现安全需求。

6.1 在websphere中修改ssl配置

如下图所示，点击进入管理控制台

你将看到如下画面,输入用户标识

点击安全性中的SSL

新建或者修改已经存在的ssl配置表。这里选择修改默认的ssl配置表。

我们因为没有令牌所以选择密钥库。如果需要对客户端进行验证，则将客户机认证勾上。在密钥文件名中的文本框内写上刚刚创建的websphere.jks的绝对路径，密钥文件密码写上，这里的是11111111。在信任文件名的文本框内写上创建的cacerts的绝对路径，信任文件密码这里的是11111111。

如果确定的，点击应用，并且记住要保存。

这时完成websphere的一般性设置。

6.2 对特定应用程序进行ssl配置

点击应用程序中的企业应用程序

选择要使用ssl通道的应用程序，这里选择websphere自带的example:plantsbywebsphere

选择相关相中的web模块

选择plantsbywebsphere.war

选择web services客户机安全绑定

在http ssl 配置中点击编辑按钮

将http ssl 已启用勾上，在http ssl配置中选择要采取的ssl配置，这里选去刚刚设置的ssl配置项。这时已经完成websphere application server的配置。

配制完成后，重起服务。右击“我的电脑”-->管理-->服务。重起IBM WebSphere Application Server V6。

打开IE,在地址栏中敲入：https://172.16.29.95:9443/PlantsByWebSphere，如果出现下图，则表示正常。

选择签名证书登录

在IE状态栏的右下端出现锁标志，说明ssl通道建立成功，和服务器之间传输的信息是安全的。

双击红圈中的小锁图标，可以查看服务器证书信息。

设置好SSL后，将对CRL进行设置。按照原有websphere的帮助文档配置CRL列表（如下），配置完成，但是不能通过CRL列表校验证书注销情况。

1. 单击服务器 > 应用程序服务器 > server_name。

2. 在“安全性”下，单击 Web Service：Web Service 安全性的缺省绑定。

3. 在“其它属性”下，单击集合证书库。

单击已配置集合证书库的名称或首先创建一个新的集合证书库。

4．在“其它属性”下，单击证书撤回列表 > 新建以指定到新列表的路径，或单击证书撤回列表的名称以修改它的路径。

下载最新的CRL列表，存放在2.2中相同的目录内，在证书撤回列表路径填写CRL列表的绝对路径。

系统没有验证CRL列表，怀疑是CRL列表格式与websphere不兼容。

故CRL列表采用另外两种格式测试：

1． 将下载的CRL列表转换为BASE64格式。

2． 将BASE64格式CRL列表

        开头加-----BEGIN X509 CRL-----

        结尾加-----END X509 CRL-----

测试后，发现依然不能校验CRL列表。

可以尝试通过在实际应用中加入语句来校验CRL列表。