使用 SSL 配置 IBM HTTP Server

如果要在 IBM HTTP Server上使用安全套接字层 (SSL) ,那么必须更改 IBM Cognos Configuration 中的 网关 URI 值才能访问门户网站。

要在 Web 服务器上启用 SSL ,必须获取由认证中心 (CA) 签署的 Web 服务器证书,并将其安装到 Web 服务器中。 有关将证书与 Web 服务器配合使用的更多信息,请参阅 Web 服务器文档。 IBM Cognos 产品未随附这些证书。

要使用户能够使用 SSL 访问 IBM® Cognos® 门户网站,必须为安装了应用程序层组件和 Framework Manager 的每台计算机更改 IBM Cognos Configuration 中的 网关 URI 值。

开始之前

IBM HTTP Server 必须已安装 IBM Global Security Kit (GSKit) 。 有关 IBM HTTP Server上受支持的 GSKit 版本的更多信息,请参阅 IBM Software Compatibility Report。

过程

  1. 在安装了 Application Tier 组件或 Framework Manager 的每台计算机上,启动 IBM Cognos Configuration。
  2. 在 " 本地配置" 下,单击 环境,并将 网关 URI 值从 http 更改为 https
  3. 网关 URI 值中,将端口号更改为针对 Web 服务器定义的 SSL 端口号。
    例如, SSL 连接的缺省端口号通常为 443。
  4. 在安装了 Application Tier 组件或 Framework Manager 的每台计算机上,转至 install_location/bin 目录,并将构成信任链的所有证书 (从根 CA 证书开始) 导入到 IBM Cognos 信任库中。

    通过输入以下命令来导入证书:

    在 UNIX 或 LINUX 上,输入

    ThirdPartyCertificateTool.sh -T -i -r path/certificate_fileName -p password

    在 Windows 上,输入

    ThirdPartyCertificateTool.bat -T -i -r path\certificate_fileName -p password

    注意 :如果未设置密码,则默认密码为 NoPassWordSet ”。
  5. 从 Web 服务器 ihs_install_root/bin 目录输入以下命令:
    ihs_install_root/bin/script_name

    其中 ihs_install_root 是 IBM HTTP Server 的安装目录, script_namegskver.bat (对于 Microsoft Windows ) 或 gskver.sh (对于 UNIX 或 Linux)。

    将显示 GSKit 共享库和版本信息。 验证显示的版本是否为支持的最低版本,如本过程的 准备工作 部分中提到的支持文档中所示。
  6. 通过输入以下命令来启动 iKeyman 实用程序:
    ihs_install_root/bin/script_name

    其中 ihs_install_root 是 IBM HTTP Server 的安装目录, script_nameikeyman.bat (对于 Microsoft Windows ) 或 ikeyman.sh (对于 UNIX 或 Linux)。

  7. 从菜单中选择 “关键数据库文件 ”> “新建 ”。
  8. 输入以下值,然后单击 确定:
    文件名
    密钥数据库文件的名称。 缺省值为 key.kdb
    位置
    用于存储 key.kdb 文件的位置。 缺省值为 ihs_install_root/bin.
  9. 在 " 密码提示 " 窗口中,输入密码,选中 将密码隐藏到文件中 复选框,然后单击 确定
    当您选中 将密码隐藏到文件 复选框时,密码将加密并作为 .sth 文件保存在密钥数据库文件所在的目录中。
    显示已成功完成的消息。
  10. 在文本编辑器中打开 ihs_install_root/conf/httpd.conf 文件。
  11. Keyfile 伪指令与密钥数据库文件的路径一起添加。 将其放在文件中的 VirtualHost 部分之后。
    例如
    
<VirtualHost *:443> 
...
</VirtualHost>
KeyFile ihs_install_root/key.kdb
  12. 保存并关闭 httpd.conf 文件。
  13. 将 Cognos Analytics 证书抽取到文件。 从 ca_install/bin中的 IBM Cognos Analytics 服务器运行以下命令。 
    script_name -E -T -r ca_cert_file -p NoPassWordSet

    其中, script_nameThirdPartyCertificateTool.bat (对于 Microsoft Windows ) 或 ThirdPartyCertificateTool.sh (对于 UNIX 或 Linux ) ,而 ca_cert_file 是证书文件的名称。

  14. 将证书文件复制到 ihs_install_root/key_database_file_directory ,其中 ihs_install_root 是 IBM HTTP Server 的安装目录, key_database_file_directory 是密钥数据库文件的存储目录。
  15. ihs_install_root/bin中,输入以下命令:
    script_name -cert -import -db ca_cert_file 
-pw NoPassWordSet -target key.kdb -target_pw key_database_file_password

    其中 script_namegskcapicmd.bat (对于 Microsoft Windows ) 或 gskcapicmd.sh (对于 UNIX 或 Linux ) , key_database_file_password 是密钥数据库文件的密码。

  16. 启动 IBM HTTP Server。 在 ihs_install_root/bin中输入以下命令:
    script_name -k start

    其中 script_nameapchectl.bat (对于 Microsoft Windows ) 或 ./apachectl (对于 UNIX 或 Linux)。 在 Microsoft Windows上,您还可以将脚本作为服务启动。

  17. 通过在 Web 浏览器的地址字段中输入以下 URI 来验证 IBM HTTP Server 是否正在运行:
    https://web_server_host_name:port

    其中 web_server_host_name 是 IBM HTTP Server 的主机名, port 是 IBM HTTP Server 端口号。

  18. 保存配置,然后重新启动服务。

结果

使用 https://servername:443/ibmcognos访问门户网站时,系统会提示您安装证书。 要避免每个新会话的安全警报提示,请将证书安装到 Web 浏览器的某个证书库中。