weblogic 配置ssl1 單向ssl1.1 keytool生成密鑰對(duì)（標(biāo)識(shí)密鑰庫(kù)）keytool.exe -genkey -v -alias hello -keyalg RSA -keysize

weblogic 配置ssl

1 單向ssl

1.1 keytool生成密鑰對(duì)（標(biāo)識(shí)密鑰庫(kù)）

keytool.exe -genkey -v -alias hello -keyalg RSA -keysize 512 -keystore hello.jks

然后：

密碼：隨便輸個(gè)，如：123456

再然后，

用戶(hù)名：注意這里不是真的輸入你的個(gè)人姓名，而是你的域名。證書(shū)是嚴(yán)格綁定域名的，所以如果域名是“www.domain.com ”，則在這里輸入“domain.com ”也是不合法。而且，“l(fā)ocalhost ”與“127.0.0.1”也是不一樣的。在這里，我們輸入：127.0.0.1

部門(mén)、公司、什么的隨便，

國(guó)家：輸入CN

然后是keystore 密碼，可以跟前面一樣，隨便。

完了后，在當(dāng)前文件夾生成 hello.jks 文件。

1.2 生成pem 文件（私有密鑰）

keytool.exe -certreq -v -alias hello -file csr_hello.pem -keystore hello.jks

此時(shí)，要求輸入keystore 的密碼，就是前面的keystore 密碼。

完了后，在當(dāng)前文件夾生成 csr_hello.pem文件

1.3 拷貝密匙庫(kù)和私密文件到域目錄

把上面兩個(gè)文件拷到域的根目錄下，如：d:?auser_projectsdomainsCivilize

1.4 啟動(dòng)weblogic ，進(jìn)入管理控制臺(tái)

1.5 配置密匙庫(kù)信息

樹(shù)->環(huán)境->服務(wù)器->右側(cè)：AdminServer 。 如下：

配置如下：

1.6 配置ssl

選擇ssl 選項(xiàng)卡，配置信息如下：

1.7 啟動(dòng)ssl 監(jiān)聽(tīng)

選擇“常規(guī)”選項(xiàng)卡，勾選“已啟用 SSL 監(jiān)聽(tīng)端口”，并設(shè)置監(jiān)聽(tīng)端口。如下：

完了之后，記得不要忘了點(diǎn)擊一下“激活更改”。

1.8 測(cè)試

在瀏覽器中輸入：https://127.0.0.1:7002/console

1.9 瀏覽器端信任證書(shū) 這種方式，有個(gè)問(wèn)題，就是會(huì)有警告。

點(diǎn)擊繼續(xù)瀏覽，瀏覽器會(huì)出現(xiàn)證書(shū)錯(cuò)誤，如下：

點(diǎn)擊“證書(shū)錯(cuò)誤”->“查看證書(shū)”->“安裝證書(shū)”。

安裝成功之后，重新登陸。便不會(huì)再有警告了。

2 雙向ssl

2.1 前提

安裝OpenSSL ；要安裝OpenSSL ，還得先安裝perl 。下面假設(shè)已經(jīng)安裝完畢OpenSSL 。

2.2 準(zhǔn)備工作目錄及環(huán)境

設(shè)置工作目錄為myDir ，目錄結(jié)構(gòu)為：

myDir? 目錄，存放CA 證書(shū)

myDirserver 目錄，存放服務(wù)器證書(shū)

myDirclient 目錄，存放客戶(hù)端證書(shū)

myDir??-cert.srl 文件，僅包括"00" 兩個(gè)字符，執(zhí)行OpenSSL 簽名證書(shū)時(shí)需要讀取此配置文件(每簽名一個(gè)證書(shū)，此數(shù)加一) 。

myDiropenssl.cnf 文件，從X:OpenSSLbin目錄拷貝過(guò)來(lái)，執(zhí)行OpenSSL 生成待簽名證書(shū)命令時(shí)需要使用此配置文件。

myDirsetEnv.cmd 文件，內(nèi)容為：

call X:?a91weblogic91samplesdomainswl_serversetExamplesEnv.cmd

作用為設(shè)置WebLogic 的環(huán)境，這樣才可以調(diào)用keytool ，java utils.pem2der等命令。

打開(kāi)命令行窗口，切換到myDir 目錄下，然后執(zhí)行setEnv.cmd 命令，以設(shè)置環(huán)境。

2.3 步驟一：創(chuàng)建自簽名CA 證書(shū)

1. 生成CA 私鑰

openssl genrsa -out ca?-key.pem 1024

2. 生成待簽名證書(shū)

openssl req -new -out ca?-req.csr -key ca?-key.pem -config openssl.cnf

(這是交換式命令，需要輸入證書(shū)信息)

3. 用CA 私鑰進(jìn)行自簽名

openssl x509 -req -in ca?-req.csr -out ca?-cert.pem -signkey ca?-key.pem -days 7300

2.4 步驟二：創(chuàng)建服務(wù)器證書(shū)

1. 生成KeyPair

keytool -genkey -alias support -keyalg RSA -keysize 1024 -dname "cn=127.0.0.1, ou=Mycompany Support WebService, o=Mycompany Inc,l=Beijing, st=Beijing, c=CN" -keypass mypassword -keystore serversupport.jks -storepass support -validity 7300

2. 生成待簽名證書(shū)

keytool -certreq -alias support -sigalg "MD5withRSA" -file server?rtreq.pem -keypass mypassword -keystore serversupport.jks -storepass support

3. 用CA 私鑰進(jìn)行簽名

openssl x509 -req -in server?rtreq.pem -out serversupportcert.pem -CA ca?-cert.pem -CAkey ca?-key.pem -days 7300

4. 導(dǎo)入信任的CA 根證書(shū)到指定的jks 文件

keytool -import -alias rootca -trustcacerts -file ca?-cert.pem -keystore serversupporttrust.jks -storepass rootca

5. 導(dǎo)入服務(wù)器證書(shū)到指定的jks 文件

... 下面，需要用編輯器合并ca-cert.pem 與supportcert.pem 的內(nèi)容，ca-cert.pem 在前面，請(qǐng)注意不要留下空格之類(lèi)的字符在文檔里面；然后再執(zhí)行下面的命令，否則會(huì)報(bào)"keytool 錯(cuò)誤： java.lang.Exception: 無(wú)法從回復(fù)中建立鏈接" 的錯(cuò)誤...

keytool -import -alias support -trustcacerts -file serversupportcert.pem -keypass mypassword -keystore serversupport.jks -storepass support

6. 到這兒，服務(wù)器證書(shū)制作完成。最終輸出為：serversupport.jks與serversupporttrust.jks兩個(gè)文件，可以在WebLogic 9的控制臺(tái)中配置SSL 的相關(guān)設(shè)置以使用新的證書(shū)。具體操作可以參考bea 公司的在控制中配置SSL 的文檔，或者是參考附錄中的SWF 。