服务器证书安装配置指南(Weblogic)
之前在网上找了好多资料,按照步奏执行,但是最后都不行,都缺了一点,最后终于整合起来了,从自己制作CA证书到weblogic配置和客户端IE设置,全部OK
一、环境准备
1. 安装JDK(可选)
Weblogic安装后自带JDK安装。如果您直接在服务器上生成证书请求,请进入Weblogic安装目录下JDK所在路径的bin目录,运行keytool命令。
如果您需要在其他环境下生成证书请求文件,则您可以选择安装JDK,并稍后上传生成的密钥库文件keystore.jks到服务器上进行配置。
Java SE Development Kit (JDK) 下载。下载地址:
http://www.oracle.com/technetwork/java/javase/downloads/index.html
2、准备openssl
先决条件:从openssl官网下载www.openssl.org
安装openssl[windows和linux安装不同]
如果没有配置环境变量,则需要进入openssl的bin目录下执行命令,如:C:/OpenSSL/bin,这个不对了,我下载的是最新的openssl-0.9.8zc,没有bin,目录,测试了下,可以在win7下直接用C:\openssl-0.9.8zc这个目录执行,
若只配置了环境变量,则在任意位置都可以执行
在执行命令前,新建两个目录ca和server,这个要注意哦,在openssl-0.9.8zc这个里面创建
一、 使用openssl制作CA证书和服务器证书
目前不使用第三方权威机构的CA来认证,因为需要收费,所以我们自己使用openssl来制作CA证书和服务器证书,自己充当CA的角色。
一:生成CA证书
1. 创建私钥 :
openssl genrsa -out ca/ca-key.pem 1024
2.创建证书请求 :
openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem
这句执行出错啦,结果出现了这个错误:Unable to load config info from /usr/local/ssl/openssl.cnf
百度了一下,按照后面蓝色这一段执行就OK
原来是直接使用了别人生成好的密钥,可惜他是在Unix上用的,不适合Win32!没有办法,从新开始整openSSO,但是呢,在使用openSSO的时候,出现了 [Unable to load config info from /usr/local/ssl/openssl.cnf ] 异常.然原来这是Unix的默认设置,没有办法,只好建文件[c:/usr/local/ssl],从网上下载openssl.conf,然后改为openssl.cnf,置于c:/usr/local/ssl目录下,好了,终于搞定密钥了,Apache也可以启动了,庆祝一下。
访问https://localhost/login,是白屏,是没有启动Apache的SSL,在CMD下运行apache -D SSL,OK,一切都搞定了。
一些优化的方法,就是在ssl.conf文件中,注释掉<IfDefine SSL>,就可以直接启动SSL了。
在配置中,还有一些问题,比如,[ Invalid SSLMutex argument file:logs/dd (Valid SSLMutex mechanisms are: `none',
default' )],这是Apache的一个Bug,只能使用default或者none.
上面的参数都是随意写的,但是我的多了需要请求的密码,必须是4位,我设置为test
3.自签署证书 :
1>3650 是设置10年的证书有效期,基本够用了
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650
2>生成ca-cert.cer证书,用于客户端导入
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.cer -signkey ca/ca-key.pem -days 3650
4.将证书导出成浏览器支持的.p12格式 : (不需要可以省略)
openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12
密码继续设置为test
制作服务器证书
通过keytool工具产生秘钥、及证书请求文件,然后使用openssl上一步产生的ca根证书对证书请求进行签证,
下面生成的文件都生成到C:\Users\xia\AppData\Local\VirtualStore\Program Files (x86)\Java\jdk1.6.0\bin目录下了
Unix下面生成的文件都生成到:/openssl-0.9.8zc/server/目录下边
下面这两步使用keytool工具
生成密钥对
keytool -genkey -alias example -validity 3650 -keyalg RSA -keysize 1024 -keypass 123456 -storepass 123456 -keystore example.jks
生成证书请求
keytool -certreq -alias example -sigalg MD5withRSA -file example.csr -keypass 123456 -keystore example.jks -storepass 123456
后面的命令使用openssl
根据证书请求,生成服务器证书
openssl x509 -req -in server/example.csr -out server/example.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -days 3650 -set_serial 1
向Keystore中导入证书
切换回keytool工具
导入CA证书
keytool -import -v -trustcacerts -keypass 123456 -storepass 123456 -alias root -file C:\openssl-0.9.8zc\ca\ca-cert.pem -keystore C:\openssl-0.9.8zc\example.jks
AIX中命令如下:
keytool -import -v -trustcacerts -keypass 123456 -storepass 123456 -alias root -file /home/eteller/openssl/openssl-0.9.8zc/ca/ca-cert.pem -keystore /home/eteller/openssl/openssl-0.9.8zc/server/example.jks
导入服务器证书
keytool -import -v -trustcacerts -storepass 123456 -alias example -file C:\openssl-0.9.8zc\example.pem -keystore C:\openssl-0.9.8zc\example.jks
AIX中命令如下:
keytool -import -v -trustcacerts -storepass 123456 -alias example -file /home/eteller/openssl/openssl-0.9.8zc/server/example.pem -keystore /home/eteller/openssl/openssl-0.9.8zc/server/example.jks
查看Keystore文件内容
keytool -list -keystore C:\openssl-0.9.8zc\example.jks -storepass 123456
AIX中命令如下:
keytool -list -keystore /home/eteller/openssl/openssl-0.9.8zc/server/example.jks -storepass 123456
看到有2个证书,一个是根证书,一个是服务器证书,其中根证书是公钥,服务器证书是私钥
秘钥库文件:example.jks在ssl的配置中使用到。先把这个文件复制到如下位置:
C:\bea\user_projects\domains\base_domain即域的根目录下。
AIX中命令如下:
cp example.jks /home/eteller/base_domain/
Weblogic 配置
打开ssl服务
设置keystore
密码4个都是 之前申请生成example.jks的123456
设置SSL
这里面Private Key Alias:是我们服务器的别名,也就是之前设置的example,密码还是123456
需要把这个服务器名验证设置为NONE
屏蔽http访问
设置完成之后,重启Weblogic,可以通过https://localhost:7002/ETellerbb/方式进行访问,但是原有http://localhost:7001/ETellerbb/还是可以访问,需要在web.xml下增加配置
<security-constraint>
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
这样访问http时会自动跳转到https
客户端操作
导入CA证书
1、打开Internet选项-》选择内容-》点击证书
2、打开受信任的根证书颁发机构-》点击“导入”按钮
浏览器去掉地址不匹配警告
全部修改完毕之后,重启浏览器