weblogic 配置ssl1 單向ssl1.1 keytool生成密鑰對（標(biāo)識密鑰庫）keytool.exe -genkey -v -alias hello -keyalg RSA -keysize

weblogic 配置ssl

1 單向ssl

1.1 keytool生成密鑰對（標(biāo)識密鑰庫）

keytool.exe -genkey -v -alias hello -keyalg RSA -keysize 512 -keystore hello.jks

然后：

密碼：隨便輸個，如：123456

再然后，

用戶名：注意這里不是真的輸入你的個人姓名，而是你的域名。證書是嚴(yán)格綁定域名的，所以如果域名是“www.domain.com ”，則在這里輸入“domain.com ”也是不合法。而且，“l(fā)ocalhost ”與“127.0.0.1”也是不一樣的。在這里，我們輸入：127.0.0.1

部門、公司、什么的隨便，

國家：輸入CN

然后是keystore 密碼，可以跟前面一樣，隨便。

完了后，在當(dāng)前文件夾生成 hello.jks 文件。

1.2 生成pem 文件（私有密鑰）

keytool.exe -certreq -v -alias hello -file csr_hello.pem -keystore hello.jks

此時，要求輸入keystore 的密碼，就是前面的keystore 密碼。

完了后，在當(dāng)前文件夾生成 csr_hello.pem文件

1.3 拷貝密匙庫和私密文件到域目錄

把上面兩個文件拷到域的根目錄下，如：d:?auser_projectsdomainsCivilize

1.4 啟動weblogic ，進(jìn)入管理控制臺

1.5 配置密匙庫信息

樹->環(huán)境->服務(wù)器->右側(cè)：AdminServer 。 如下：

配置如下：

1.6 配置ssl

選擇ssl 選項卡，配置信息如下：

1.7 啟動ssl 監(jiān)聽

選擇“常規(guī)”選項卡，勾選“已啟用 SSL 監(jiān)聽端口”，并設(shè)置監(jiān)聽端口。如下：

完了之后，記得不要忘了點擊一下“激活更改”。

1.8 測試

在瀏覽器中輸入：https://127.0.0.1:7002/console

1.9 瀏覽器端信任證書 這種方式，有個問題，就是會有警告。

點擊繼續(xù)瀏覽，瀏覽器會出現(xiàn)證書錯誤，如下：

點擊“證書錯誤”->“查看證書”->“安裝證書”。

安裝成功之后，重新登陸。便不會再有警告了。

2 雙向ssl

2.1 前提

安裝OpenSSL ；要安裝OpenSSL ，還得先安裝perl 。下面假設(shè)已經(jīng)安裝完畢OpenSSL 。

2.2 準(zhǔn)備工作目錄及環(huán)境

設(shè)置工作目錄為myDir ，目錄結(jié)構(gòu)為：

myDir? 目錄，存放CA 證書

myDirserver 目錄，存放服務(wù)器證書

myDirclient 目錄，存放客戶端證書

myDir??-cert.srl 文件，僅包括"00" 兩個字符，執(zhí)行OpenSSL 簽名證書時需要讀取此配置文件(每簽名一個證書，此數(shù)加一) 。

myDiropenssl.cnf 文件，從X:OpenSSLbin目錄拷貝過來，執(zhí)行OpenSSL 生成待簽名證書命令時需要使用此配置文件。

myDirsetEnv.cmd 文件，內(nèi)容為：

call X:?a91weblogic91samplesdomainswl_serversetExamplesEnv.cmd

作用為設(shè)置WebLogic 的環(huán)境，這樣才可以調(diào)用keytool ，java utils.pem2der等命令。

打開命令行窗口，切換到myDir 目錄下，然后執(zhí)行setEnv.cmd 命令，以設(shè)置環(huán)境。

2.3 步驟一：創(chuàng)建自簽名CA 證書

1. 生成CA 私鑰

openssl genrsa -out ca?-key.pem 1024

2. 生成待簽名證書

openssl req -new -out ca?-req.csr -key ca?-key.pem -config openssl.cnf

(這是交換式命令，需要輸入證書信息)

3. 用CA 私鑰進(jìn)行自簽名

openssl x509 -req -in ca?-req.csr -out ca?-cert.pem -signkey ca?-key.pem -days 7300

2.4 步驟二：創(chuàng)建服務(wù)器證書

1. 生成KeyPair

keytool -genkey -alias support -keyalg RSA -keysize 1024 -dname "cn=127.0.0.1, ou=Mycompany Support WebService, o=Mycompany Inc,l=Beijing, st=Beijing, c=CN" -keypass mypassword -keystore serversupport.jks -storepass support -validity 7300

2. 生成待簽名證書

keytool -certreq -alias support -sigalg "MD5withRSA" -file server?rtreq.pem -keypass mypassword -keystore serversupport.jks -storepass support

3. 用CA 私鑰進(jìn)行簽名

openssl x509 -req -in server?rtreq.pem -out serversupportcert.pem -CA ca?-cert.pem -CAkey ca?-key.pem -days 7300

4. 導(dǎo)入信任的CA 根證書到指定的jks 文件

keytool -import -alias rootca -trustcacerts -file ca?-cert.pem -keystore serversupporttrust.jks -storepass rootca

5. 導(dǎo)入服務(wù)器證書到指定的jks 文件

... 下面，需要用編輯器合并ca-cert.pem 與supportcert.pem 的內(nèi)容，ca-cert.pem 在前面，請注意不要留下空格之類的字符在文檔里面；然后再執(zhí)行下面的命令，否則會報"keytool 錯誤： java.lang.Exception: 無法從回復(fù)中建立鏈接" 的錯誤...

keytool -import -alias support -trustcacerts -file serversupportcert.pem -keypass mypassword -keystore serversupport.jks -storepass support

6. 到這兒，服務(wù)器證書制作完成。最終輸出為：serversupport.jks與serversupporttrust.jks兩個文件，可以在WebLogic 9的控制臺中配置SSL 的相關(guān)設(shè)置以使用新的證書。具體操作可以參考bea 公司的在控制中配置SSL 的文檔，或者是參考附錄中的SWF 。