weblogic 服务器部署SSL证书

一、证书介绍

1、需要的证书

生产需要的证数如下:

 

 

即客户提供的证数:

L1Croot.crt,L1Cchain.crt,entrustcert.crt,server,jks

 

证书清单:

L1Croot.crt         根证书

L1Cchain.crt        链证书

entrustcert.crt     服务器证书

server.jks          weblogic需要生成上传的证书

 

注意:客户提供的是之前弄好的证书,不需要将证书编码改成Base64编码格式,导出到指定目录里。

 

2、keytool 工具产生证书

利用JDK所在路径的bin目录下的keytool命令

11G 需要1.6 JDK

12C 需要1.8 JDK

 

在C 盘新建 server 文件夹,把L1Croot.crt,L1Cchain.crt,entrustcert.crt,server,jks 四个文件拷贝到server文件里面(文件不能够删除)。

 

所有密码为:Gkfund2013

 

keytool 工具产生证书如下操作:

C:\Documents and Settings\Administrator>

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore C:\server\server.jks

输入keystore密码:

再次输入新密码:

您的名字与姓氏是什么?

  [Unknown]:  etrade.cdbsfund.com

您的组织单位名称是什么?

  [Unknown]:  cdbsfund

您的组织名称是什么?

  [Unknown]:  CDBS Cathay Asset Management CO.,LTD

您所在的城市或区域名称是什么?

  [Unknown]:  Beijing

您所在的州或省份名称是什么?

  [Unknown]:  Beijing

该单位的两字母国家代码是什么

  [Unknown]:  CN

CN=etrade.cdbsfund.com, OU=cdbsfund, O="CDBS Cathay Asset Management CO.,LTD", L

=Beijing, ST=Beijing, C=CN 正确吗?

  [否]:  Y

 

输入<server>的主密码

        (如果和 keystore 密码相同,按回车):

 

C:\Documents and Settings\Administrator>

keytool -import -alias root -keystore C:\server\server.jks -file C:\server\L1Croot.crt

输入keystore密码:

所有者:CN=Entrust.net Certification Authority (2048), OU=(c) 1999 Entrust.net Li

mited, OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.), O=Entrust.net

 

签发人:CN=Entrust.net Certification Authority (2048), OU=(c) 1999 Entrust.net Li

mited, OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.), O=Entrust.net

 

序列号:3863def8

有效期: Sat Dec 25 01:50:51 CST 1999 至Tue Jul 24 22:15:12 CST 2029

证书指纹:

         MD5:EE:29:31:BC:32:7E:9A:E6:E8:B5:F7:51:B4:34:71:90

         SHA1:50:30:06:09:1D:97:D4:F5:AE:39:F7:CB:E7:92:7D:7D:65:2D:34:31

         签名算法名称:SHA1withRSA

         版本: 3

 

扩展:

 

#1: ObjectId: 2.5.29.15 Criticality=true

KeyUsage [

  Key_CertSign

  Crl_Sign

]

 

#2: ObjectId: 2.5.29.19 Criticality=true

BasicConstraints:[

  CA:true

  PathLen:2147483647

]

 

#3: ObjectId: 2.5.29.14 Criticality=false

SubjectKeyIdentifier [

KeyIdentifier [

0000: 55 E4 81 D1 11 80 BE D8   89 B9 08 A3 31 F9 A1 24  U...........1..$

0010: 09 16 B9 70                                        ...p

]

]

 

信任这个认证? [否]:  Y

认证已添加至keystore中

 

C:\Documents and Settings\Administrator>

keytool -import -alias chain -keystore C:\server\server.jks -trustcacerts -file C:\server\L1Cchain.crt

输入keystore密码:

认证已添加至keystore中

 

C:\Documents and Settings\Administrator>

keytool -import -alias entrustcert -keystore C:\server\server.jks -trustcacerts -file C:\server\entrustcert.crt

输入keystore密码:

认证已添加至keystore中

 

C:\Documents and Settings\Administrator>

keytool -delete -alias entrustcert -keystore C:\server\server.jks -trustcacerts -file C:\server\entrustcert.crt

输入keystore密码:

 

C:\Documents and Settings\Administrator>

keytool -import -alias server -keystoreC:\server\server.jks -trustcacerts -file C:\server\entrustcert.crt

输入keystore密码:

认证已添加至keystore中

 

 

二、服务器安装证书(单向)

1.  登陆Weblogic控制台

点击-环境-服务器,在服务器列表里选择要配置SSL证书的服务器。

 

 

2.   启用SSL 端口

在 “配置”- “一般信息”,可以配置服务器的http和https是否启用,以及对应的端口号。webloigc 默认的https端口号为7002,请在选项启用SSL并根据实际情况修改端口号:

 

3.   配置认证模式

选择“密钥库”,并设置认证方式;

选择“定制标识和Java定制信任”;

将您的密钥库文件server.jks上传到服务器上,并配置文件路径和密钥库文件密码;

配置JRE默认信任库文件cacerts,cacerts默认密码为changeit。

 

 

上传server.jks

 

 

配置服务器证书私钥别名

在“SSL”下需要配置密钥库中的私钥别名信息。输入私钥别名“server”,并输入私钥密码。

点击高级,勾选使用“JSSE SSL”;

 

 

启用JSSE ssl

 

4.   修改config.xml文件

在WLS_HOME目录下 查看config.xml配置文件,进行如下修改:

1、先备份一份config.xml 文件。

2、修改如下

注意:监听端口改为8060,false 改为true,启用ssl协议:

 

 

四、验证

重启weblogic 服务,如果起不起来,之前备份的config.xml 替换现在修改的文件

重启后,进入控制台网址变为如下:

https://IP:8060/console

 

 

 

 

posted @ 2018-03-13 16:57  翰墨文海  阅读(1187)  评论(0编辑  收藏  举报