weblogic配置ssl

weblogic 配置ssl1 单向ssl1.1 keytool生成密钥对（标识密钥库）keytool.exe -genkey -v -alias hello -keyalg RSA -keysize

weblogic 配置ssl

1 单向ssl

1.1 keytool生成密钥对（标识密钥库）

keytool.exe -genkey -v -alias hello -keyalg RSA -keysize 512 -keystore hello.jks

然后：

密码：随便输个，如：123456

再然后，

用户名：注意这里不是真的输入你的个人姓名，而是你的域名。证书是严格绑定域名的，所以如果域名是“www.domain.com ”，则在这里输入“domain.com ”也是不合法。而且，“localhost ”与“127.0.0.1”也是不一样的。在这里，我们输入：127.0.0.1

部门、公司、什么的随便，

国家：输入CN

然后是keystore 密码，可以跟前面一样，随便。

完了后，在当前文件夹生成 hello.jks 文件。

1.2 生成pem 文件（私有密钥）

keytool.exe -certreq -v -alias hello -file csr_hello.pem -keystore hello.jks

此时，要求输入keystore 的密码，就是前面的keystore 密码。

完了后，在当前文件夹生成 csr_hello.pem文件

1.3 拷贝密匙库和私密文件到域目录

把上面两个文件拷到域的根目录下，如：d:�auser_projectsdomainsCivilize

1.4 启动weblogic ，进入管理控制台

1.5 配置密匙库信息

树->环境->服务器->右侧：AdminServer 。 如下：

配置如下：

1.6 配置ssl

选择ssl 选项卡，配置信息如下：

1.7 启动ssl 监听

选择“常规”选项卡，勾选“已启用 SSL 监听端口”，并设置监听端口。如下：

完了之后，记得不要忘了点击一下“激活更改”。

1.8 测试

在浏览器中输入：https://127.0.0.1:7002/console

1.9 浏览器端信任证书 这种方式，有个问题，就是会有警告。

点击继续浏览，浏览器会出现证书错误，如下：

点击“证书错误”->“查看证书”->“安装证书”。

安装成功之后，重新登陆。便不会再有警告了。

2 双向ssl

2.1 前提

安装OpenSSL ；要安装OpenSSL ，还得先安装perl 。下面假设已经安装完毕OpenSSL 。

2.2 准备工作目录及环境

设置工作目录为myDir ，目录结构为：

myDir� 目录，存放CA 证书

myDirserver 目录，存放服务器证书

myDirclient 目录，存放客户端证书

myDir��-cert.srl 文件，仅包括"00" 两个字符，执行OpenSSL 签名证书时需要读取此配置文件(每签名一个证书，此数加一) 。

myDiropenssl.cnf 文件，从X:OpenSSLbin目录拷贝过来，执行OpenSSL 生成待签名证书命令时需要使用此配置文件。

myDirsetEnv.cmd 文件，内容为：

call X:�a91weblogic91samplesdomainswl_serversetExamplesEnv.cmd

作用为设置WebLogic 的环境，这样才可以调用keytool ，java utils.pem2der等命令。

打开命令行窗口，切换到myDir 目录下，然后执行setEnv.cmd 命令，以设置环境。

2.3 步骤一：创建自签名CA 证书

1. 生成CA 私钥

openssl genrsa -out ca�-key.pem 1024

2. 生成待签名证书

openssl req -new -out ca�-req.csr -key ca�-key.pem -config openssl.cnf

(这是交换式命令，需要输入证书信息)

3. 用CA 私钥进行自签名

openssl x509 -req -in ca�-req.csr -out ca�-cert.pem -signkey ca�-key.pem -days 7300

2.4 步骤二：创建服务器证书

1. 生成KeyPair

keytool -genkey -alias support -keyalg RSA -keysize 1024 -dname "cn=127.0.0.1, ou=Mycompany Support WebService, o=Mycompany Inc,l=Beijing, st=Beijing, c=CN" -keypass mypassword -keystore serversupport.jks -storepass support -validity 7300

2. 生成待签名证书

keytool -certreq -alias support -sigalg "MD5withRSA" -file server�rtreq.pem -keypass mypassword -keystore serversupport.jks -storepass support

3. 用CA 私钥进行签名

openssl x509 -req -in server�rtreq.pem -out serversupportcert.pem -CA ca�-cert.pem -CAkey ca�-key.pem -days 7300

4. 导入信任的CA 根证书到指定的jks 文件

keytool -import -alias rootca -trustcacerts -file ca�-cert.pem -keystore serversupporttrust.jks -storepass rootca

5. 导入服务器证书到指定的jks 文件

... 下面，需要用编辑器合并ca-cert.pem 与supportcert.pem 的内容，ca-cert.pem 在前面，请注意不要留下空格之类的字符在文档里面；然后再执行下面的命令，否则会报"keytool 错误： java.lang.Exception: 无法从回复中建立链接" 的错误...

keytool -import -alias support -trustcacerts -file serversupportcert.pem -keypass mypassword -keystore serversupport.jks -storepass support

6. 到这儿，服务器证书制作完成。最终输出为：serversupport.jks与serversupporttrust.jks两个文件，可以在WebLogic 9的控制台中配置SSL 的相关设置以使用新的证书。具体操作可以参考bea 公司的在控制中配置SSL 的文档，或者是参考附录中的SWF 。