您的位置:在weblogic上配置SSL
我的大致步骤如下:
1. 准备工作
确保weblogic已经安装,并已经创建了domains,推荐在domain中做一些前置设置,虽然这些并不是必要的,首先运行domain下的setEnv.sh命令设置环境变量,然后运行WLS_HOME/commom/bin/commEnv.sh。
2. 使用keytool工具
2.1 成对的生成私钥(private key)和公钥(public certificate)
keytool工具在JDK’s/bin目录下,加上标记-genkey用于成对生成private key/public certificate,事例如下:
keytool ?Cgenkey ?Calias testkey ?Ckeyalg RSA ?Ckeysize 512 ?Cdname “CN=200.31.23.71, OU=Support, O=SGE, L=shanghai, S=SH, C=CN” ?Ckeypass 888888 ?Ckeystore ./testkey.jks ?Cstorepass 888888
说明:alias是别名;keyalg指算法,keytool允许2种算法DSA和RSA,但这里WLS需要RSA;keysize的范围可以是512到1024,WLS licenses的可导出长度是512;dname指可区别的名字用于标识,必须按照一定的格式和顺序,其中(CN,域名或IP,不能有空格,OU:组织中部门的名字,O:组织名,L:城市名,S:省名,C:国家简写);keypass私钥的密码;keystore创建的文件的名字,以及地址(./放在当前目录);storepass是 keystore的密码 字串1
2.2 证书请求的生成,它用于到CA机构获得证书
使用keytool中的标记-certreq,命令如下:
keytool ?Ccertreq ?Calias support ?Csigalg “MD5withRSA” ?Cfile ./certreq.pem ?Ckeypass 888888 ?Ckeystore ./support.jks ?Cstorepass 888888
说明:sigalg是签名算法,对于RSA类型的私钥,需要的默认签名算法是MD5withRSA;file是提供CRS文件的位置和名字;keypass是私钥的密码;keystore是指定keystore文件;storepass是keystore的密码
3. 证书的请求和应答,在CA机构申请试用
这里我尝试了从www.verisign.com(weblogic推荐)和www.cnca.net(国内)两个网站上获得,由于国外网站的配置比较烦琐,最终使用国内的证书配置成功。首先进入网站,点击服务器证书试用。按照提示先下载证书链ServerRoot.p7b,然后根据申请提示提交第二步中生成的certreq.pem中的内容,该机构即据此生成了证书server.cer.
拿到2个文件后,将证书链ServerRoot.p7b导出(直接双击即可)成根rootca.cer和子rootcaserver.cer,并用文本打开server.cer将内容另存为testkeyreq.pem
4. 导入证书到keystore 字串1
有了以上3个文件后,就可以开始导入了,将根rootca.cer和子rootcaserver.cer导入到custom trust keystore,使用keytool的标记import,命令如下:
keytool ?Cimport ?Calias rootca ?Ctrustcacerts ?Cfile ./rootca.cer ?Ckeystore ./testkeytrust.jks ?Cstorepass 888888
遇到是否信任该证书提示时,输入yes
keytool?Cimport ?Calias rootcaserver ?Ctrustcacerts ?Cfile ./rootcaserver.cer ?Ckeystore ./testkeytrust.jks ?Cstorepass 888888
最后将从CA机构获得签名证书testkeyreq.pem导入到custom identity keystore,命令如下:
keytool ?Cimport -trustcacerts ?Calias testkeyreq ?Cfile ./testkeyreq.pem ?Ckeypass 888888 ?Ckeystore ./testkey.jks ?Cstorepass 888888
遇到是否信任该证书提示时,输入yes
5. 配置SSL
此时可以看到,我们一共获得了下列文件:certreq.pem, rootca.cer, rootcaserver.cer, testkeyreq.pem, testkey.jks, testkeytrust.jks,将这六个文件copy到domain下,然后进入console,登陆后,选择domain>servers>myserver 下的General 面板,选中SSL选项并保存(查看ssl的端口默认是7002),然后选择keystores & SSL面板,点击change按钮,选择custom identity and custom trust并点继续,在这里输入各个变量的值,如下:
custom identity key store file name: 目录/support.jks
custom identity key store type: JKS
keystore pass : 888888
custom trust key stoer file name : 目录/supporttrust.jks
custom trust key stoer type : JKS
keystore pss: 888888
点继续:
private key alias :support 输入私钥别名
pass :私钥密码888888
即配置完成
6. 重新启动weblogic,并通过https访问测试
https://200.31.23.71:7002/console
Tags:
责任编辑:您的评论
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
精彩推荐
最新资讯
