weblogic8上配置ssl(共4篇) 收藏
原來做的一個金融軟件項目, 部署到生產環境後,客戶要求使用SSL協議保證數據安全性(後來分析實際用處不大),在此整理了一些SSL基本概念
和不同服務器(weblogic,websphere,apache,)的ssl配置以及自建CA中心生成證書
原來做的一個金融軟件項目, 部署到生產環境後,客戶要求使用SSL協議保證數據安全性(後來分析實際用處不大),在此整理了一些SSL基本概念
和不同服務器(weblogic,websphere,apache,)的ssl配置以及自建CA中心生成證書
--第二篇:weblogic8上配置ssl--
注:安裝前需要注意weblogic8開發版只支持最高512位密鑰長度,要想產生大於512位的密鑰,需要安裝licence
一,先經過以下步驟生成證書文件
1 使用JDK中的keytool生成密鑰對配置
1.1 生成密鑰對
keytool -genkey -alias 密鑰別名 -keyalg RSA -keystore 密鑰文件名
例:
keytool -genkey -alias myserver -keyalg RSA -keystore mytest.jks
注:安裝前需要注意weblogic8開發版只支持最高512位密鑰長度,要想產生大於512位的密鑰,需要安裝licence
一,先經過以下步驟生成證書文件
1 使用JDK中的keytool生成密鑰對配置
1.1 生成密鑰對
keytool -genkey -alias 密鑰別名 -keyalg RSA -keystore 密鑰文件名
例:
keytool -genkey -alias myserver -keyalg RSA -keystore mytest.jks
之後輸入密碼和一系列申請者的信息,注:
在What is your first and last name中需要輸入web server的訪問域名
在What is your first and last name中需要輸入web server的訪問域名
最終結果:生成mytest.jks文件
1.2 生成CSR文件,即需要發給CA機構進行簽名的文件
使用剛剛生成的密鑰對文件來生成CSR文件:
keytool -certreq -keyalg RSA –alias 密鑰別名 -file 證書文件名 -keystore 密鑰文件名
我猜這裏麪包含申請人信息和剛剛產生密鑰對中的公鑰.經驗證,確定.
例:
keytool -certreq -keyalg RSA -alias myserver -file mytest.csr -keystore mytest.jks
使用剛剛生成的密鑰對文件來生成CSR文件:
keytool -certreq -keyalg RSA –alias 密鑰別名 -file 證書文件名 -keystore 密鑰文件名
我猜這裏麪包含申請人信息和剛剛產生密鑰對中的公鑰.經驗證,確定.
例:
keytool -certreq -keyalg RSA -alias myserver -file mytest.csr -keystore mytest.jks
最終結果:生成mytest.csr文件
1.3 將mytest.csr文件發送給CA中間認證機構.
CA簽完名後,會把簽過名的證書內容(文本格式)以mail的形式發回來.之後把mail中內容保存成XXX.crt文件格式, window平臺中配置需要轉成轉成二進制.cer格式文件,例如myserver.cer文件
CA簽完名後,會把簽過名的證書內容(文本格式)以mail的形式發回來.之後把mail中內容保存成XXX.crt文件格式, window平臺中配置需要轉成轉成二進制.cer格式文件,例如myserver.cer文件
1.4 得到中間CA證書
從CA認證機構下載中間CA證書(即包含中級CA機構公鑰的證書文件,也指服務器證書鏈)一般一個crt的字符串,拷貝下來後保存成crt文件;在window平臺中配置需要轉成.cer文件,如caroot.cer .
從CA認證機構下載中間CA證書(即包含中級CA機構公鑰的證書文件,也指服務器證書鏈)一般一個crt的字符串,拷貝下來後保存成crt文件;在window平臺中配置需要轉成.cer文件,如caroot.cer .
1.5 導入證書
使用CAroot的中級證書及已被CA中級機構簽過名的證書,導入至私鑰文件中:
*導入中級CA證書
keytool –import –alias root –keystore mytest.jks –trustcacerts –file caroot.cer
使用CAroot的中級證書及已被CA中級機構簽過名的證書,導入至私鑰文件中:
*導入中級CA證書
keytool –import –alias root –keystore mytest.jks –trustcacerts –file caroot.cer
*導入服務器證書
keytool –import –alias myserver–keystore mytest.jks –trustcacerts –file myserver.cer
keytool –import –alias myserver–keystore mytest.jks –trustcacerts –file myserver.cer
至此mytest.jks中已被導入了CA中間證書和已簽過名的服務器證書
說明:按以上配置分析,最終生成的結果可以分開幾個文件配置,也可以都導入到一個目的文件中配置
二,經過以上步驟後,再通過weblogic控制檯配置ssl(有詳細配置貼圖)
(由於原來寫的技術配置文檔有很多截圖,稍後再一一貼到本篇中)
三,配置實例:在此寫了按步的配置實例供參考:
1,生成密鑰對
keytool -genkey -alias myserver -keyalg RSA -keystore mytest.jks
其中,最關鍵是組織信息中第一行輸入 What is your first and last name
在這裏要輸入正式運行時服務器的域名,在這裏我們輸入:
www.belltest.com
最終生成jks文件:mytest.jks
2,生成CSR證書籤名請求文件
keytool -certreq -keyalg RSA -alias myserver -file mytest.csr -keystore mytest.jks
最終生成CSR文件:mytest.csr
keytool -certreq -keyalg RSA -alias myserver -file mytest.csr -keystore mytest.jks
最終生成CSR文件:mytest.csr
3,登陸一個CA中間機構網站,到試用區申請一個試用的簽名證書,在其間會提示把mytest.csr內容填入網站的申請步驟中.在線申請後就會立刻收到一個試用的簽名證書,網站是使用程序自動生成併發送的,把mail中的
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
拷貝出來存成myserver.crt文件
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
拷貝出來存成myserver.crt文件
4,在CA中間網站下載免費提供的根CA證書,存成caroot.cer(如果是crt文件,請轉成cer格式)文件
5,把根CA與簽過名的證書文件導入jks文件
注:用這種方法生成的結果是把我們的私鑰,公鑰,CA根證書(證書鏈)和簽名全部放在一個jks文件中;當然,也可以把jks私鑰和簽過名的證書分別放入兩個文件分別配置。
1),先查看一下第一步生成的jks文件中的內容:
keytool -list -keystore mytest.jks
1),先查看一下第一步生成的jks文件中的內容:
keytool -list -keystore mytest.jks
2),在window環境下把根ca根證書文件和服務器證書文件都轉成cer文件
雙擊證書文件後另存爲der二進制即可
雙擊證書文件後另存爲der二進制即可
3),導入ca根證書文件
keytool -import -alias root -keystore mytest.jks -trustcacerts -file caroot.cer
4),導入服務器證書文件
keytool -import -alias myserver -keystore mytest.jks -trustcacerts -file myserver.cer
keytool -import -alias root -keystore mytest.jks -trustcacerts -file caroot.cer
4),導入服務器證書文件
keytool -import -alias myserver -keystore mytest.jks -trustcacerts -file myserver.cer
5)查看導入後的jks文件
keytool -list -keystore mytest.jks
發現裏面已經存在兩個指紋簽名了
keytool -list -keystore mytest.jks
發現裏面已經存在兩個指紋簽名了
6,配置weblogic控制檯,將上述生成的jks文件及密碼都輸入到wls控制檯中
配置完成
本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/bell2008/archive/2007/08/01/1721703.aspx