在Weblogic8.1上通过keystore配置SSL.doc

在Weblogic上配置SSL 作者：张行 修改人：施威 骆光华 本文是一个在Weblogic上配置SSL的例子，操作系统是Windows Server 2003，Weblogic版本是8.1（安装程序是platform813_win32.exe），如果在Unix环境，请注意文件路径。 1、创建域 首先创建一个域，位于D:\bea\bjgs_domain，运行startWeblogic.cmd，如果访问http://localhost:7001/console能正确显示登陆页面，则创建成功。然后建立目录D:\bea\bjgs_domain\SSL保存证书相关文件。 2、使用keytool 2.1 产生私钥/证书对 根据证书的DN，产生证书和相应的私钥，请记住保护私钥的口令，并记住keystore的文件位置和它的口令。 请注意：做此操作前，需要获得完整的DN！ 下文的举例中设置了两个密码：key的密码是“mima1234”；keystore的密码是“bjgs1234” 图1 产生私钥/证书对 2.2产生证书签名请求（Certificate Signing Request, CSR） 从keystore中产生别名为bjgs的证书签名请求，得到证书签名请求文件certreq.pem 图2 产生证书签名请求 2.3 获取签名证书 向RA发送证书申请，得到参考号和授权码。然后访问发布子系统（测试系统：7/，生产系统/tongyi/），选择服务器证书下载，输入参考号，授权码和p10申请，p10申请的内容是证书签名请求文件certreq.pem的文件内容。 图3 下载证书 点击下一步得到签名后的证书的编码， 图4 获得签发后的证书的编码 拷贝这段字符编码，保存为文本文件。 2.4 导入证书 下载CA的根证书和信任的中间证书，导入到bjgs.jks，然后导入bjgs.pem到bjgs.jks，使用的别名也是bjgs，用签名的证书取代原有的证书。 注意：如果没有导入信任的证书链，会有“无法从回复中建立链”的错误。还要注意导入bjgs.pem用的别名必须是创建私钥是使用的别名！ 图5 导入证书 2.5 创建可信任证书链keystore 在在证书下载平台（测试系统：7/，生产系统/tongyi/）选择证书链下载， 下载根证书链（将CFCA ROOT CA及CFCA OPERATION CA2下的内容分被保存为文件）  导入根证书和信任的中间证书到trust.jks，请记住这个keystore的文件位置和它的口令（下面设置的密码是“trust1234”）。 图6 创建可信任证书链keystore 3 配置单向SSL及测试 以管理员身份登陆http://localhost:7001/console，输入帐号后，修改服务器SSL侦听端口为443，如图7所示。 图7 修改服务器侦听端口 然后进入Keystores SSL页，选择“Change”。 图8 配置Keystores SSL  选择“Custom Identity And Custom Trust”下拉式菜单。 图9 修改Keystore Type  这一屏要求输入keystore的路径和密码，请按照前面的步骤输入正确的值。keystore的类型是：JKS。 bjgs.jks的密码是bjgs1234；turst.jks的密码是trust1234。 图10 输入keystore的路径和密码 随后输入website的证书在keystore中的别名和保护私钥的口令（密码是“mima1234”）。 图11 私钥别名和保护密码 3.1 测试 图12 服务器装载证书 重启服务器后，在控制台能够看见装载证书的过程。然后访问https://localhost/console，浏览器右下角有一把小锁，点击它能够看到服务器证书的信息。 图13 服务器证书信息 这说明服务器证书已经配置成功。默认是单向SSL的配置。 4 配置双向SSL及测试 以管理员身份登陆http://localhost:7001/console，输入帐号后，修改服务器使用双向SSL：依然进入Keystores SSL页，选择页面最后部分的“Advanced Options”的“Show”。 在弹出的新页面中，点击页面下半部分的“Server Attributes”的“Two Way Client Cert Behavior”的下拉表框，选择“Client Certs Requested And Enforced”，然后“Apply”。重启Weblogic后，配置生效。 4.1 测试 重启服务器后，访问https://localhost/console，如果客户