注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

mmicky 的博客

追逐刹那的惊艳

 
 
 

日志

 
 

Weblogic SSL配置之openSSL篇  

2013-04-10 11:27:31|  分类: ORACLE BIEE |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

vmware workstation准备工作:
安装oracle linux 6.3虚拟机
安装Java6.31
安装openssl (www.openssl.org上下载)
安装weblogic10.3.5(安装路径/middleware)

设置工作目录为myDir,目录结构为:   
myDir\ca             目录,存放CA证书   
myDir\server         目录,存放服务器证书   
myDir\client         目录,存放客户端证书   
myDir\ca\myca.srl 文件,仅包括"00"两个字符,执行OpenSSL签名证书时需要读取此配置文件
myDir\openssl.cnf    文件,从OpenSSL拷贝过来,执行OpenSSL生成待签名证书命令时需要使用此配置文件。   
.key是密钥文件
.csr是待签名文件
.crt是证书文件
Weblogic SSL配置之openSSL篇 - mmicky - mmicky 的博客
 
一:生成CA证书
A:生成公司内部用的根密钥对(相当于CA的根密钥对)
openssl genrsa -out ca/myca.key 1024
B:生成证书签名请求
openssl req -new -out ca/myca.csr -key ca/myca.key -config openssl.cnf
C:导出公钥证书,并用私钥自签名,生成公司内部用的自签名根证书(相当于CA根证书)
openssl x509 -req -in ca/myca.csr -out ca/myca.crt -signkey ca/myca.key -days 7300
Weblogic SSL配置之openSSL篇 - mmicky - mmicky 的博客
 

二:生成服务器端证书
A:生成密钥对
keytool -genkey -alias wlserver_cert -keyalg RSA -keysize 1024 -dname "cn=linux1,ou=it,o=waihai,l=hz,st=zj,c=cn" -keypass wm471627 -keystore server/wlserver.jks -storepass wm471627 -validity 7300

B:生成证书签名请求
keytool -certreq -alias wlserver_cert -file server/wlserver.csr -keypass wm471627 -keystore server/wlserver.jks -storepass wm471627

C:用CA私钥进行签名,也可以到权威机构申请CA签名  
openssl x509 -req -in server/wlserver.csr -out server/wlserver.crt -CA ca/myca.crt -CAkey ca/myca.key -days 7300

D:导入信任的CA根证书到keystore
keytool -import -alias rootca -trustcacerts -file ca/myca.crt -keystore server/wlserver.jks -storepass wm471627 

E:把CA签名后的server端证书导入keystore
keytool -import -alias wlserver_cert -trustcacerts -file server/wlserver.crt -keypass wm471627 -keystore server/wlserver.jks -storepass wm471627
Weblogic SSL配置之openSSL篇 - mmicky - mmicky 的博客
 

三:创建客户端证书(在双向SSL情况下使用)

1. 生成client私钥 
openssl genrsa -out client/client.key 1024 

2. 生成待签名证书 
openssl req -new -out client/wlclient.csr -key client/client.key -config openssl.cnf (这是交换式命令,需要输入证书信息) 

3. 用CA私钥进行签名 
openssl x509 -req -in client/wlclient.csr -out client/wlclient.crt -signkey client/client.key -CA ca/myca.crt -CAkey ca/myca.key -CAcreateserial -days 7300 

4. 生成client端的个人证书 因为JSSE1.0.2没有完全实现了对PKCS#12格式文件的操作(只能读取,不能输出),所以在这里需要用openssl制作client端的个人证书(已经包含私钥)。 
openssl pkcs12 -export -clcerts -in client/wlclient.crt -inkey client/client.key -out client/client.p12 

5. 生成信任的根证书,把ca/myca.key拷贝为ca/myca.cer。 
cp ca/myca.key ca/myca.cer

6. 到这儿,IE客户端证书制作完成。最终输出为ca/myca.cer与client/client.p12这两个证书,需要在IE中安装此两个证书 (直接单击文件名即可,安装个人证书的过程可能需要输入创建时的密码-如果创建个人证书时输入了密码的话)。  
Weblogic SSL配置之openSSL篇 - mmicky - mmicky 的博客
 
四:weblogic配置
将 e:\wlidentity.jks和e:\wlserver.pem 复制到域目录下(C:\Middleware\user_projects\domains\test),然后启动域,然后域->服务器->AdminServer->配置->一般信息->启用SSL监听端口
Weblogic SSL配置之openSSL篇 - mmicky - mmicky 的博客
 
密钥库参数设置如下:
密匙库: 定制标识和定制信任 
定制标识密匙库: wlserver.jks (将mydir/server/wlserver.jks复制到mydomain根目录下 )
定制标识密钥库类型: jks 
定制标识密钥库密码短语: wm471627 
确认定制标识密钥库密码短语: wm471627 
定制信任密钥库:  wlserver.jks  
定制信任密钥库类型: jks 
定制信任密钥库密码短语: wm471627 
确认定制信任密钥库密码短语: wm471627
Weblogic SSL配置之openSSL篇 - mmicky - mmicky 的博客
 
SSL参数设置如下:
标识和信任位置: 密匙库 
私有密钥别名: wlserver_cert  (生成证书签名请求*.pem文件中的alias)
Private Key Passphrase: wm471627 (生成证书签名请求*.pem文件中的keypass)
Weblogic SSL配置之openSSL篇 - mmicky - mmicky 的博客
 

五:测试
激活设置后,重新启动weblogic,发现启动有如下过程:
Weblogic SSL配置之openSSL篇 - mmicky - mmicky 的博客
 打开https://bgs08:7002/console进行测试。


  评论这张
 
阅读(827)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017