- 论坛徽章:
- 0
|
WebLogic Server 8.1 SSL
一、准备:
1、WLS 8.1 已安装
2、WLS 8.1 域已建立(C:\bea\user_projects\ssl_domain)
二、使用Keytool
1、生成private key/public certificate对
1.1 进入域所在的目录
1.1.1 C:\>cd bea\user_projects\ssl_domain-->在域目录下生成private key, 建议但不是必须
1.1.2 C:\bea\user_projects\ssl_domain>setEnv.cmd-->设置环境变量
或运行%WLS_HOME%/common/bin/commEnv.cmd-->具有相同的效果
C:\bea\user_projects\ssl_domain>keytool-->keytool工具位于JDK的\bin目录
使用 -genkey 生成private key/public certificate 对
C:\bea\user_projects\ssl_domain>keytool -genkey
-alias support -->>Keystores通过别名访问,别名不区分大小写
-keyalg RSA -->>Keytool允许两种算法:DSA和RSA,WLS需要为RSA
-keysize 1024-->>范围为512到1024位
-dname -->>唯一名称,用于标识实体,参数必须按指定格式和顺序
-dname "CN=www.bea.com, -->>一般名称,不能有空格,一般为域名(否则认证时提示与主机名不相符合)
-dname "CN=www.bea.com, OU=Support,-->>组织单元名称
-dname "CN=www.bea.com, OU=Support, O=BEA Systems Inc,-->>组织名称,逗号使用'\,'输入
-dname "CN=www.bea.com, OU=Support, O=BEA Systems Inc, L=Burlington-->>城市名称
-dname "CN=www.bea.com, OU=Support, O=BEA Systems Inc, L=Burlington, S=Massachusetts-->>简短的省名称
-dname "CN=www.bea.com, OU=Support, O=BEA Systems Inc, L=Burlington, S=Massachusetts, C=US"-->两字节ISO国家代码(ZH)名称
-keypass weblogic -->private key 密码
-keystore C:\bea\user_projects\ssl_domain\support.jks-->保存keystore文件的目录和名称
-storepass support-->输入用于保护keystore的密码
C:\bea\user_projects\ssl_domain>dir support.jks-->显示文件,已创建keystore,其中包含private key/public certificate 对
2、生成证书申请(Certificate Signing Request: CSR)
C:\bea\user_projects\ssl_domain>keytool -certreq-->使用certreq选项
-alias support-->给定一个与生成private key时相同的别名到CSR
-sigalg "MD5withRSA"-->使用RSA类型,缺省签名算法为MD5withRSA
-file C:\bea\user_projects\ssl_domain\certreq.pem-->保存CSR文件全路径
-keypass weblogic-->输入密码用于保护private key
-keystore C:\bea\user_projects\ssl_domain\support.jks-->指定keystore文件存放的位置(第一步中创建的)
-storepass support-->输入用于保护keystore的密码
C:\bea\user_projects\ssl_domain>dir certreq.pem-->已经创建好CSR,现在可以发送给证书权威(信任机构,如Verisign)
三、证书 申请/回复
1、从证书权威机构取回证书
2、创建证书和TrustedCA文件
(Verisign邮件:)
1.1从信任商下载Root CA,也就是签名认证(每个使用SSL的浏览器上安装),保存为一个'.cer'扩展名的文件
1.2怎么安装签名证书的链接,证书内容在邮件最后
1.3复制证书文本内容到写字板,保存为一个ASNI的非二进制文件,使用'.pem'扩展名(supportcert.pem)
四、导入证书到Keystores
1、导入Root CA 到 custom trust keystore
2、导入签名证书到 custom identity keystore
3、检查文件是否正确创建
C:\bea\user_projects\ssl_domain>keytool -import-->导入根证书
-alias rootca-->给Root CA一个别名
-trustcacerts-->信任链
-file C:\bea\user_projects\ssl_domain\rootCA.cer-->根证书位置
-keysotre C:\bea\user_projects\ssl_domain\supporttrust.jks-->保存新的custom trust keystore文件位置
-storepass rootca-->提供密码保存新生成的keystore文件的完整性签名证书成功加入到keystore
C:\bea\user_projects\ssl_domain>keytool -import-->保存custom identity keystore中的签名证书
-trustcacerts-->信任链
-alias support-->给证书一个与private key同样的别名,所以它替换自签名证书
-file C:\bea\user_projects\ssl_domain\supportcert.pem-->指定CA签名的证书位置
-keypass weblogic-->输入保护private key的密码
-keystore C:\bea\user_projects\ssl_domain\support.jks-->指定keystore文件的位置
-storepass support-->输入保护kerstore的密码签名证书成功替换keystore中的签名证书
'Failed to establish chain from reply':信任链问题,联系CA发送中间信任机构文件
certreq.pem
rootCA.cer
support.jks
supportcert.pem
supporttrust.jks
新生成的文件,最重要的是两个keystore文件
五、配置SSL
1、启动WebLogic
2、配置SSL
C:\bea\user_projects\ssl_domain>startWebLogic.cmd-->正确启动后缺省在7001监听
打开并进入console
myserver->config->SSL Listen Port Enabled->Apply
Keystores & SSL->Change->Custom Identity And Custom Trust->Continue
Custom Identity Key Store File Type:C:\bea\user_projects\ssl_domain\support.jks-->存储private key/signed certificate文件的全路径
Custom Identity Key Store Type:JKS-->keystore类型
Custom Identity Key Store Pass Phrase:support-->keystore完整性密码
Confirm Custom Identity Key Store:support-->再输入密码
Custom Trust Key Store File Name:C:\bea\user_projects\ssl_domain\supporttrust.jks-->Root CA keystore文件
Custom Trust Key Store Type:JKS
Custom Trust Key Store Pass Phrase:rootca-->keystore完整性密码
Confirm Custom Trust Key Store Pass Phrase:rootca-->再输入密码
Continue-->
Private Key Alias:support-->private key 别名
Passphrase:weblogic-->private key 密码
Confirm Passphrase:weblogic-->
Continue-->
Finish-->
关闭WebLogic
六、使用WebLogic Console测试SSL(HTTPS)
>startWebLogic.cmd-->启动WebLogic
正确启动后在7001和7002监听
https://localhost:7002/console
//随意记录了一点,请多指正。
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/598/showart_244370.html |
|
免费注册
发表于 2007-02-07 22:50