weblogic的ssl配置
接上https 的申请, CA端对服务端域名的验证后
1. CA证书的签发
CA证书签发后, 给了三个文件, 需要配置在weblogic上.
其中.spc结尾的是证书链, 双击打开如下:
其中:
是CA 证书.
是根证书.
2. jks秘钥库的制作.
.jks文件是配置weblogic 的ssl所需要的.
下文 参考百度经验:https://jingyan.baidu.com/article/2fb0ba40a3bb2a00f2ec5fa8.html
1. 证书需要先转换为Base64编码格式。
以根证书为例:
打开证书,详细信息-复制到文件,在证书导出向导里,将证书编码改成Base64编码格式,导出到指定目录里。
点击下一步后, 填入路径以及文件名称 , 建议名称将证书名称将空格转换为下划线即可:
例如证书名称为:UCA Global G2 Root 改为: UCA_Global_G2_Root 即可.
转换成Base64编码格式后,用文本编辑器打开,可以看到文件内容是以-----BEGIN CERTIFICATE-----开头,-----END CERTIFICATE-----结尾。如下图:
其他证书类似都需要用次方式转为base64的编码.
2.查看密钥库文件信息
运行JDK所在路径bin目录下的keytool工具.
keytool -list -keystore keystore.jks -storepass yourpassword
示例私钥的别名(alias)为 testweb,在导入服务器证书时需要使用。导入证书时,一定要使用产生证书请求文件时生成的keystore.jks文件。该文件丢失或用新生成的keystore.jks文件都会导致无法正确导入您的服务器证书。
3. 导入证书
导入证书的时候需要注意先后顺序;
- 先导入根证书
keytool -import -alias root -keystore keystore.jks -trustcacerts -storepass yourpassword -file root.cer
提示是否信任该证书 – Y 回车 --> 显示 " 认证已添加至keystore中
- 再导入CA证书
keytool -import -alias secondary -keystore keystore.jks -trustcacerts -storepass yourpassword -file secondary.cer
例:
keytool -import -alias GDCA_TrustAUTH_R5_ROOT -keystore D:\keystore.jks -trustcacerts -storepass 123456 -file D:\GDCA_TrustAUTH_R5_ROOT.cer
- 导入服务器证书
keytool -import -alias yourserver -keystore keystore.jks -trustcacerts -storepass password -file server.cer
这里的服务器证书 就是CA端 签发后 给的证书链里边的服务器证书了 , 如下图:
将上图按照上述方式转换为base64编码后 , 导入秘钥库, .jks 文件中.
导入后正确的显示信息如下: (注意是:“认证恢复宜安装在keystore中” 才是正确的)
导入服务器证书时,服务器证书的别名和私钥别名必须一致。请留意导入中级CA证书和导入服务器证书时的提示信息,如果您在导入服务器证书时使用的别名与私钥别名不一致,将提示“认证已添加至keystore中”而不是应有的“认证回复已安装在keystore中”。
- 证书导入完成,运行keystool命令,再次查看keystore文件内容
keytool -list -keystore D:\keystore.jks -storepass 123456
4 配置双向SSL
配置双向SSL时需要使用truststore.jks,单向SSL时可以不使用。导出凭证文件
参考:
1.
keytool -export -alias testserver -keystore keystore.jks -rfc -file trustcert.cer -storepass yourpasssword
2. 导入
将凭证文件 导入到truststore文件 (truststore也是同时生成的)
参考:
keytool -import -alias testserver -file trustcert.cer -keystore truststore.jks -storepass yourpasssword
-keystore指定生成的truststore文件,-storepass指定truststore密码
例:
输入命令:keytool -import -alias testweb -file D:\trustcert.cer -keystore D:\truststore.jks -storepass 123456
3. 在weblogic上安装服务器证书
3.1. 单向ssl
3.1.1.登陆Weblogic控制台,点击-环境-服务器;
在服务器列表里选择要配置SSL证书的服务器;
在 “配置”- “一般信息”,可以配置服务器的http和https是否启用,以及对应的端口号。webloigc 默认的https端口号为7002,请在选项启用SSL并根据实际情况修改端口号:
3.1.2 配置认证模式
选择“密钥库”,并设置认证方式;
选择“定制标识和定制信任”;
将您的密钥库文件keystore.jks、信任密钥库文件truststore.jks上传到服务器上,并配置文件路径和密钥库文件密码;
注: 配置JRE默认信任库文件cacerts。cacerts默认密码为changeit。
3.1.3 配置服务器证书私钥别名
在“SSL”下需要配置密钥库中的私钥别名信息。私钥别名可以使用keystool -list 命令查看。通常设置的私钥保护密码和keystore文件保护密码相同。
输入私钥别名“testweb”,并输入私钥密码。
3.2 双向ssl
- 双向的也就是在 "私钥"配置中 点击高级在双向客户机证书行为选择“请求客户机证书并强制使用”,并勾选使用“JSSE SSL”。
- 然后选择"定制信息秘钥库" (选择刚创建的struststore.jks) 如下图:
其他和单向的均一致.
单向和双向的区别: 就是"秘钥" 配置中的 信任. 单向配置的是jdk 自带的cacerts,
而双向的是我们自己创建的"truststore.jks"
然后就是 “双向客户机证书行为” 的配置如下;
测试:
完成所有配置后,重启weblogic服务,就可以立即通过您设定的SSL端口号,访问https://yourdomain:port测试SSL证书是否安装成功了。