weblogic配置ssl.docx
《weblogic配置ssl.docx》由会员分享,可在线阅读,更多相关《weblogic配置ssl.docx(12页珍藏版)》请在冰豆网上搜索。
weblogic配置ssl
weblogic配置ssl
1单向ssl
1.1keytool生成密钥对(标识密钥库)
keytool.exe-genkey-v-aliashello-keyalgRSA-keysize512-keystorehello.jks
然后:
密码:
随便输个,如:
123456
再然后,
用户名:
注意这里不是真的输入你的个人姓名,而是你的域名。
证书是严格绑定域名的,所以如果域名是“”,则在这里输入“”也是不合法。
而且,“localhost”与“127.0.0.1”也是不一样的。
在这里,我们输入:
127.0.0.1
部门、公司、什么的随便,
国家:
输入CN
然后是keystore密码,可以跟前面一样,随便。
完了后,在当前文件夹生成hello.jks文件。
1.2生成pem文件(私有密钥)
keytool.exe-certreq-v-aliashello-filecsr_hello.pem-keystorehello.jks
此时,要求输入keystore的密码,就是前面的keystore密码。
完了后,在当前文件夹生成csr_hello.pem文件
1.3拷贝密匙库和私密文件到域目录
把上面两个文件拷到域的根目录下,如:
d:
\bea\user_projects\domains\Civilize\
1.4启动weblogic,进入管理控制台
1.5配置密匙库信息
树->环境->服务器->右侧:
AdminServer。
如下:
配置如下:
密匙库:
选择
定制标识密匙库:
hello.jks
定制标识密钥库类型:
jks
定制标识密钥库密码短语:
123456
确认定制标识密钥库密码短语:
123456
定制信任密钥库:
hello.jks
定制信任密钥库类型:
jks
定制信任密钥库密码短语:
123456
确认定制信任密钥库密码短语:
123456
1.6配置ssl
选择ssl选项卡,配置信息如下:
标识和信任位置:
选择
私有密钥别名:
hello(这里填的是.pem文件的别名alias)
PrivateKeyPassphrase:
123456(第二个步骤中的keypass)
1.7启动ssl监听
选择“常规”选项卡,勾选“已启用SSL监听端口”,并设置监听端口。
如下:
完了之后,记得不要忘了点击一下“激活更改”。
1.8测试
在浏览器中输入:
https:
//127.0.0.1:
7002/console
1.9浏览器端信任证书
这种方式,有个问题,就是会有警告。
点击继续浏览,浏览器会出现证书错误,如下:
点击“证书错误”->“查看证书”->“安装证书”。
安装成功之后,重新登陆。
便不会再有警告了。
2双向ssl
2.1前提
安装OpenSSL;要安装OpenSSL,还得先安装perl。
下面假设已经安装完毕OpenSSL。
2.2准备工作目录及环境
设置工作目录为myDir,目录结构为:
myDir\ca 目录,存放CA证书
myDir\server 目录,存放服务器证书
myDir\client 目录,存放客户端证书
myDir\ca\ca-cert.srl 文件,仅包括"00"两个字符,执行OpenSSL签名证书时需要读取此配置文件(每签名一个证书,此数加一)。
myDir\f 文件,从X:
\OpenSSL\bin目录拷贝过来,执行OpenSSL生成待签名证书命令时需要使用此配置文件。
myDir\setEnv.cmd 文件,内容为:
callX:
\bea91\weblogic91\samples\domains\wl_server\setExamplesEnv.cmd
作用为设置WebLogic的环境,这样才可以调用keytool,javautils.pem2der等命令。
打开命令行窗口,切换到myDir目录下,然后执行setEnv.cmd命令,以设置环境。
2.3步骤一:
创建自签名CA证书
1.生成CA私钥
opensslgenrsa-outca\ca-key.pem1024
2.生成待签名证书
opensslreq-new-outca\ca-req.csr-keyca\ca-key.pem-configf
(这是交换式命令,需要输入证书信息)
3.用CA私钥进行自签名
opensslx509-req-inca\ca-req.csr-outca\ca-cert.pem-signkeyca\ca-key.pem-days7300
2.4步骤二:
创建服务器证书
1.生成KeyPair
keytool-genkey-aliassupport-keyalgRSA-keysize1024-dname"cn=127.0.0.1,ou=MycompanySupportWebService,o=MycompanyInc,l=Beijing,st=Beijing,c=CN"-keypassmypassword-keystoreserver\support.jks-storepasssupport-validity7300
2.生成待签名证书
keytool-certreq-aliassupport-sigalg"MD5withRSA"-fileserver\certreq.pem-keypassmypassword-keystoreserver\support.jks-storepasssupport
3.用CA私钥进行签名
opensslx509-req-inserver\certreq.pem-outserver\supportcert.pem-CAca\ca-cert.pem-CAkeyca\ca-key.pem-days7300
4.导入信任的CA根证书到指定的jks文件
keytool-import-aliasrootca-trustcacerts-fileca\ca-cert.pem-keystoreserver\supporttrust.jks-storepassrootca
5.导入服务器证书到指定的jks文件
...下面,需要用编辑器合并ca-cert.pem与supportcert.pem的内容,ca-cert.pem在前面,请注意不要留下空格之类的字符在文档里面;然后再执行下面的命令,否则会报"keytool错误:
java.lang.Exception:
无法从回复中建立链接"的错误...
keytool-import-aliassupport-trustcacerts-fileserver\supportcert.pem-keypassmypassword-keystoreserver\support.jks-storepasssupport
6.到这儿,服务器证书制作完成。
最终输出为:
server\support.jks与server\supporttrust.jks两个文件,可以在WebLogic9的控制台中配置SSL的相关设置以使用新的证书。
具体操作可以参考bea公司的在控制中配置SSL的文档,或者是参考附录中的SWF。
2.5步骤三:
创建IE客户端证书(在双向SSL的情况下使用)
1.生成client私钥
opensslgenrsa-outclient\client-key.pem1024
2.生成待签名证书
opensslreq-new-outclient\client-req.csr-keyclient\client-key.pem-configf
(这是交换式命令,需要输入证书信息)
3.用CA私钥进行签名
opensslx509-req-inclient\client-req.csr-outclient\client.crt-signkeyclient\client-key.pem-CAca\ca-cert.pem-CAkeyca\ca-key.pem-CAcreateserial-days7300
4.生成client端的个人证书
因为JSSE1.0.2没有完全实现了对PKCS#12格式文件的操作(只能读取,不能输出),所以在这里需要用openssl制作client端的个人证书(已经包含私钥)。
opensslpkcs12-export-clcerts-inclient\client.crt-inkeyclient\client-key.pem-outclient\client.p12
5.生成信任的根证书,把ca\ca-cert.pem拷贝为ca\ca-cert.cer。
copyca\ca-cert.pemca\ca-cert.cer
6.到这儿,IE客户端证书制作完成。
最终输出为ca\ca-cert.cer与client\client.p12这两个证书,需要在IE中安装此两个证书(直接单击文件名即可,安装个人证书的过程可能需要输入创建时的密码-如果创建个人证书时输入了密码的话)。
2.6步骤四:
创建JAVA调用keystore(像WebService中的2waySSL需要使用此keystore)
类似服务器证书的制作,但是要注意:
TheSSLpackageofJ2SErequiresthatthepasswordoftheclient'sprivatekeymustbethesameasthepasswordoftheclient'skeystore.
1.创建KeyPair
keytool-genkey-aliasclientsupport-keyalgRSA-keysize1024-dname"CN=127.0.0.1,OU=testwebservice,O=test,L=Beijing,ST=Beijing,C=CN"-keypasssupport-keystoreclient\clientsupport.jks-storepasssupport-validity7300
2.生成待签名证书
keytool-certreq-aliasclientsupport-sigalg"MD5withRSA"-fileclient\clientreq.pem-keypasssupport-keystoreclient\clientsupport.jks-storepasssupport
3.用CA私钥进行签名
opensslx509-req-inclient\clientreq.pem-outclient\clientcert.pem-CAca\ca-cert.pem-CAkeyca\ca-key.pem-days7300
4.生成truststore
keytool-import-aliasrootca-trustcacerts-fileca\ca-cert.pem-keystoreclient\supporttrust.jks-storepassrootca
5.生成keystore
...下面,需要合并ca-cert.pem与clientcert.pem的内容,ca-cert.pem在前面;然后...
keytool-import-aliasclientsupport-trustcacerts-fileclient\clientcert.pem-keypasssupport-keystoreclient\clientsupport.jks-storepasssupport
6.到这儿,JAVA调用的keystore制作完成。
最终输出为client\supporttrust.jks与client\clientsupport.jks两个文件。
提供给JAVA程序即可以使用。
2.7步骤五:
创建JAVA调用证书(像WebService中的message-level级别需要用此证书)
下面是在IE客户端的证书基础上进行的。
1.拷贝client.crt为client-cert.pem,这样就有了client-cert.pem证书与client-key.pem私钥。
copyclient\client.crtclient\client-cert.pem
2.将client-cert.pem转换为der格式。
javautils.pem2derclient\client-cert.pem
3..将client-key.pem转换为pkcs8的der格式。
opensslpkcs8-topk8-informPEM-outformDER-inclient\client-key.pem-outclient\client-key-pkcs8.der-nocrypt
用最终生成的client-cert.der与client-key-pkcs8.der两个文件提供给JAVA客户端调用。
2.8其它操作:
1.查看keystore内容
keytool-list-keystoreserver\supporttrust.jks
keytool-list-keystoreclient\clientsupport.jks
2.加其它证书到服务器truststore
先转换服务器证书DER格式为PEM格式:
opensslx509-informDER-outformPEM-inclient-cert.der-outclient-cert.pem
然后导入到truststore中
keytool-import-aliasdemowebca-trustcacerts-fileclient-cert.pem-keystoreserver\supporttrust.jks-storepassrootca
3相关URL
创建WebLogic9服务器证书,客户端证书与keystore
http:
//weblogic-
4其他
申请认证证书:
以登录CNNIC可信网络服务中心网页,
费用:
验证费用(15000元,有效期为10年)