weblogic 服务器部署SSL证书

一、证书介绍

1、需要的证书

生产需要的证数如下：

即客户提供的证数：

L1Croot.crt,L1Cchain.crt,entrustcert.crt,server,jks

证书清单：

L1Croot.crt         根证书

L1Cchain.crt        链证书

entrustcert.crt     服务器证书

server.jks          weblogic需要生成上传的证书

注意：客户提供的是之前弄好的证书，不需要将证书编码改成Base64编码格式，导出到指定目录里。

2、keytool 工具产生证书

利用JDK所在路径的bin目录下的keytool命令

11G 需要1.6 JDK

12C 需要1.8 JDK

在C 盘新建 server 文件夹，把L1Croot.crt,L1Cchain.crt,entrustcert.crt,server,jks 四个文件拷贝到server文件里面(文件不能够删除)。

所有密码为：Gkfund2013

keytool 工具产生证书如下操作：

C:\Documents and Settings\Administrator>

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore C:\server\server.jks

输入keystore密码：

再次输入新密码:

您的名字与姓氏是什么？

[Unknown]：  etrade.cdbsfund.com

您的组织单位名称是什么？

[Unknown]：  cdbsfund

您的组织名称是什么？

[Unknown]：  CDBS Cathay Asset Management CO.,LTD

您所在的城市或区域名称是什么？

[Unknown]：  Beijing

您所在的州或省份名称是什么？

[Unknown]：  Beijing

该单位的两字母国家代码是什么

[Unknown]：  CN

CN=etrade.cdbsfund.com, OU=cdbsfund, O="CDBS Cathay Asset Management CO.,LTD", L

=Beijing, ST=Beijing, C=CN 正确吗？

[否]：  Y

输入<server>的主密码

（如果和 keystore 密码相同，按回车）：

C:\Documents and Settings\Administrator>

keytool -import -alias root -keystore C:\server\server.jks -file C:\server\L1Croot.crt

输入keystore密码：

所有者:CN=Entrust.net Certification Authority (2048), OU=(c) 1999 Entrust.net Li

mited, OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.), O=Entrust.net

签发人:CN=Entrust.net Certification Authority (2048), OU=(c) 1999 Entrust.net Li

mited, OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.), O=Entrust.net

序列号:3863def8

有效期: Sat Dec 25 01:50:51 CST 1999 至Tue Jul 24 22:15:12 CST 2029

证书指纹:

MD5:EE:29:31:BC:32:7E:9A:E6:E8:B5:F7:51:B4:34:71:90

SHA1:50:30:06:09:1D:97:D4:F5:AE:39:F7:CB:E7:92:7D:7D:65:2D:34:31

签名算法名称:SHA1withRSA

版本: 3

扩展:

#1: ObjectId: 2.5.29.15 Criticality=true

KeyUsage [

Key_CertSign

Crl_Sign

]

#2: ObjectId: 2.5.29.19 Criticality=true

BasicConstraints:[

CA:true

PathLen:2147483647

]

#3: ObjectId: 2.5.29.14 Criticality=false

SubjectKeyIdentifier [

KeyIdentifier [

0000: 55 E4 81 D1 11 80 BE D8   89 B9 08 A3 31 F9 A1 24  U...........1..$

0010: 09 16 B9 70                                        ...p

]

]

信任这个认证？ [否]：  Y

认证已添加至keystore中

C:\Documents and Settings\Administrator>

keytool -import -alias chain -keystore C:\server\server.jks -trustcacerts -file C:\server\L1Cchain.crt

输入keystore密码：

认证已添加至keystore中

C:\Documents and Settings\Administrator>

keytool -import -alias entrustcert -keystore C:\server\server.jks -trustcacerts -file C:\server\entrustcert.crt

输入keystore密码：

认证已添加至keystore中

C:\Documents and Settings\Administrator>

keytool -delete -alias entrustcert -keystore C:\server\server.jks -trustcacerts -file C:\server\entrustcert.crt

输入keystore密码：

C:\Documents and Settings\Administrator>

keytool -import -alias server -keystoreC:\server\server.jks -trustcacerts -file C:\server\entrustcert.crt

输入keystore密码：

认证已添加至keystore中

二、服务器安装证书（单向）

1.  登陆Weblogic控制台

点击-环境-服务器，在服务器列表里选择要配置SSL证书的服务器。

2.   启用SSL 端口

在 “配置”- “一般信息”，可以配置服务器的http和https是否启用，以及对应的端口号。webloigc 默认的https端口号为7002，请在选项启用SSL并根据实际情况修改端口号：

3.   配置认证模式

选择“密钥库”，并设置认证方式；

选择“定制标识和Java定制信任”；

将您的密钥库文件server.jks上传到服务器上，并配置文件路径和密钥库文件密码；

配置JRE默认信任库文件cacerts,cacerts默认密码为changeit。

上传server.jks

配置服务器证书私钥别名

在“SSL”下需要配置密钥库中的私钥别名信息。输入私钥别名“server”，并输入私钥密码。

点击高级，勾选使用“JSSE SSL”；

启用JSSE ssl

4.   修改config.xml文件

在WLS_HOME目录下 查看config.xml配置文件，进行如下修改：

1、先备份一份config.xml 文件。

2、修改如下

注意：监听端口改为8060，false 改为true,启用ssl协议：

四、验证

重启weblogic 服务，如果起不起来，之前备份的config.xml 替换现在修改的文件

重启后，进入控制台网址变为如下：

https://IP:8060/console