WebSphere中的SSL/TLS：用法、配置和性能

核心提示： 21.信任文件包含签名者证书的文件，它不能包含个人证书，WebSphere中的SSL/TLS：用法、配置和性能(3)， WebSphere 使用的 SSL 实现WebSphere Webserver 插件所使用的 SSL 实现是 IBM 的 GSKit，这是一个 C 实现，或在 Windows

21.信任文件

包含签名者证书的文件。它不能包含个人证书。

WebSphere 使用的 SSL 实现

WebSphere Webserver 插件所使用的 SSL 实现是 IBM 的 GSKit。这是一个 C 实现，IBM HTTP Server 使用的是同一实现。

所有其它 WebSphere 组件（例如 WebSphere Application Server、WebSphere Admin Server 等）使用的 SSL 实现是 IBM JSSE（Java 安全套接字扩展）。这是一个纯 Java 实现。

从管理角度看，JSSE 和 GSKit 之间有几点差异值得一提。

JSSE 和 GSKit 都允许将签名者证书和个人证书存储在 SSL 密钥文件中；而 JSSE 还允许将一个单独文件指定为信任文件。信任文件只可以包含签名者证书。因此，您可以把所有的个人证书放在密钥文件中，把签名者证书放在信任文件中。对于下面的情况，这是必需的：

使用单独密钥文件时，在多个 SSL 配置间共享同一个信任文件。这可以简化更新可信任签名者列表时的管理工作，因为只有一个文件需要更新。

配置内存只够保存个人证书的密码硬件设备。在这种情况下，密钥文件是指硬件设备，信任文件是指磁盘上包含所有签名者证书的文件。

JSSE 不识别 GSKit 使用的、IBM 专有的 SSL 密钥文件格式（即 .kdb 格式）；相反，JSSE 可以识别如 PKCS12 和 JKS 这样的标准文件格式。因此，SSL 密钥文件或许不能在 WebSphere 插件和其它 WebSphere 组件（例如：WebSphere Application Server）之间共享。

JSSE 和 GSKit 具有不同的密钥管理实用程序。两种密钥管理实用程序的 GUI 看起来非常相似，注意不要把它们混淆。JSSE 的密钥管理实用程序（称为 IKeyMan）在 UNIX 上可以用 WebSphere bin 目录中的 ikeyman.sh 脚本启动，或在 Windows 上从 WebSphere 开始菜单启动。GSKit 的密钥管理实用程序在 UNIX 上可以用 /usr/bin 目录中的 ikeyman 脚本启动，或在 Windows 上从 GSKit 安装 bin 目录（缺省为 c:Program Filesibmgsk5ingsk5ikm.exe）启动。

编缉推荐阅读以下文章

• WebSphere配置资源库管理
• websphere配置oracle数据源