本文主要讲weblogic服务器所需的密钥库文件的生成及使用,前提是weblogic上web项目已经发布好了。
下载openssl地址
linux:源码(http://www.openssl.org/source/),源码要编译好才能用,具体方法百度;
或者直接yum install openssl -y 安装openssl
windows: http://www.slproweb.com/products/Win32OpenSSL.html
使用openssl制作证书及密钥库
//根证书制作
openssl genrsa -out ca/ca-key.pem 2048
openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem -config openssl.cfg -subj "/CN=ybj/OU=hr/O=hr/L=sh/ST=sh/C=CN"
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650
//生成密钥库文件
keytool -genkey -alias example -validity 3650 -keyalg RSA -keysize 1024 -dname "CN=www.bidding.com.cn,OU=hr,O=hr,L=sh,ST=sh,C=CN" -keypass 123456 -storepass 123456 -keystore example.jks
keytool -certreq -alias example -sigalg SHA256withRSA -file example.csr -keypass 123456 -keystore example.jks -storepass 123456
openssl x509 -req -in example.csr -out example.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -days 3650 -set_serial 1
keytool -import -v -trustcacerts -keypass 123456 -storepass 123456 -alias root -file ca/ca-cert.pem -keystore example.jks
keytool -import -v -trustcacerts -storepass 123456 -alias example -file example.pem -keystore example.jks
keytool -import -alias example-ca -trustcacerts -file ca/ca-cert.pem -keystore exampletrust.jks
//执行完以上命令是单向ssl,浏览器不需要安装证书
//继续执行完以下命令是双向ssl,以下包括证书制作过程
openssl genrsa -out user-key.pem 2048
openssl req -new -out user-req.csr -key user-key.pem -config openssl.cfg -subj "/CN=www.bidding.com.cn/OU=hr/O=hr/L=sh/ST=sh/C=CN"
openssl x509 -req -in user-req.csr -out user-cert.pem -signkey user-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
openssl pkcs12 -export -clcerts -in user-cert.pem -inkey user-key.pem -out user.p12
keytool -import -alias 192.168.0.12 -trustcacerts -file user-cert.pem -keystore exampletrust.jks以上的keytool 命令的-sigalg SHA256withRSA 参数此处”SHA256withRSA“为签名算法。keyalg=RSA时,签名算法有:MD5withRSA、SHA1withRSA、SHA256withRSA、SHA384withRSA、SHA512withRSA。keyalg=DSA时,签名算法有:SHA1withDSA、SHA256withDSA。此处需要注意:MD5和SHA1的签名算法已经不安全,虽然目前CA接受这些不安全算法,但建议使用SHA256及以上的签名。
存放密钥库文件
将文件example.jks和exampletrust.jks放进你所用的domain的根目录
在weblogic控制台中,环境->服务器->打开你需要的服务器,这里面的密码我全写了123456
启用ssl
安装客户端证书
安装根证书:将以上生成的ca-cert.pem文件后缀名改成cer,在浏览器中安装证书的地方将它安装到受信任的根证书颁发机构一栏
安装个人证书:将以上生成的user.p12文件,在浏览器中安装证书的地方将它安装个人证书一栏
接下来访问地址即可看到访问https成功(如果ssl端口是80可以访问url上就不写端口号,80是默认端口,但我没成功,暂时不明白为啥):
https://你的ip或域名:刚刚配的ssl端口/项目名