weblogic 服务器部署SSL证书
一、证书介绍
1、需要的证书
生产需要的证数如下:
即客户提供的证数:
L1Croot.crt,L1Cchain.crt,entrustcert.crt,server,jks
证书清单:
L1Croot.crt 根证书
L1Cchain.crt 链证书
entrustcert.crt 服务器证书
server.jks weblogic需要生成上传的证书
注意:客户提供的是之前弄好的证书,不需要将证书编码改成Base64编码格式,导出到指定目录里。
2、keytool 工具产生证书
利用JDK所在路径的bin目录下的keytool命令
11G 需要1.6 JDK
12C 需要1.8 JDK
在C 盘新建 server 文件夹,把L1Croot.crt,L1Cchain.crt,entrustcert.crt,server,jks 四个文件拷贝到server文件里面(文件不能够删除)。
所有密码为:Gkfund2013
keytool 工具产生证书如下操作:
C:\Documents and Settings\Administrator>
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore C:\server\server.jks
输入keystore密码:
再次输入新密码:
您的名字与姓氏是什么?
[Unknown]: etrade.cdbsfund.com
您的组织单位名称是什么?
[Unknown]: cdbsfund
您的组织名称是什么?
[Unknown]: CDBS Cathay Asset Management CO.,LTD
您所在的城市或区域名称是什么?
[Unknown]: Beijing
您所在的州或省份名称是什么?
[Unknown]: Beijing
该单位的两字母国家代码是什么
[Unknown]: CN
CN=etrade.cdbsfund.com, OU=cdbsfund, O="CDBS Cathay Asset Management CO.,LTD", L
=Beijing, ST=Beijing, C=CN 正确吗?
[否]: Y
输入<server>的主密码
(如果和 keystore 密码相同,按回车):
C:\Documents and Settings\Administrator>
keytool -import -alias root -keystore C:\server\server.jks -file C:\server\L1Croot.crt
输入keystore密码:
所有者:CN=Entrust.net Certification Authority (2048), OU=(c) 1999 Entrust.net Li
mited, OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.), O=Entrust.net
签发人:CN=Entrust.net Certification Authority (2048), OU=(c) 1999 Entrust.net Li
mited, OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.), O=Entrust.net
序列号:3863def8
有效期: Sat Dec 25 01:50:51 CST 1999 至Tue Jul 24 22:15:12 CST 2029
证书指纹:
MD5:EE:29:31:BC:32:7E:9A:E6:E8:B5:F7:51:B4:34:71:90
SHA1:50:30:06:09:1D:97:D4:F5:AE:39:F7:CB:E7:92:7D:7D:65:2D:34:31
签名算法名称:SHA1withRSA
版本: 3
扩展:
#1: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
Key_CertSign
Crl_Sign
]
#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]
#3: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 55 E4 81 D1 11 80 BE D8 89 B9 08 A3 31 F9 A1 24 U...........1..$
0010: 09 16 B9 70 ...p
]
]
信任这个认证? [否]: Y
认证已添加至keystore中
C:\Documents and Settings\Administrator>
keytool -import -alias chain -keystore C:\server\server.jks -trustcacerts -file C:\server\L1Cchain.crt
输入keystore密码:
认证已添加至keystore中
C:\Documents and Settings\Administrator>
keytool -import -alias entrustcert -keystore C:\server\server.jks -trustcacerts -file C:\server\entrustcert.crt
输入keystore密码:
认证已添加至keystore中
C:\Documents and Settings\Administrator>
keytool -delete -alias entrustcert -keystore C:\server\server.jks -trustcacerts -file C:\server\entrustcert.crt
输入keystore密码:
C:\Documents and Settings\Administrator>
keytool -import -alias server -keystoreC:\server\server.jks -trustcacerts -file C:\server\entrustcert.crt
输入keystore密码:
认证已添加至keystore中
二、服务器安装证书(单向)
1. 登陆Weblogic控制台
点击-环境-服务器,在服务器列表里选择要配置SSL证书的服务器。
2. 启用SSL 端口
在 “配置”- “一般信息”,可以配置服务器的http和https是否启用,以及对应的端口号。webloigc 默认的https端口号为7002,请在选项启用SSL并根据实际情况修改端口号:
3. 配置认证模式
选择“密钥库”,并设置认证方式;
选择“定制标识和Java定制信任”;
将您的密钥库文件server.jks上传到服务器上,并配置文件路径和密钥库文件密码;
配置JRE默认信任库文件cacerts,cacerts默认密码为changeit。
上传server.jks
配置服务器证书私钥别名
在“SSL”下需要配置密钥库中的私钥别名信息。输入私钥别名“server”,并输入私钥密码。
点击高级,勾选使用“JSSE SSL”;
启用JSSE ssl
4. 修改config.xml文件
在WLS_HOME目录下 查看config.xml配置文件,进行如下修改:
1、先备份一份config.xml 文件。
2、修改如下
注意:监听端口改为8060,false 改为true,启用ssl协议:
四、验证
重启weblogic 服务,如果起不起来,之前备份的config.xml 替换现在修改的文件
重启后,进入控制台网址变为如下:
https://IP:8060/console