weblogic12g https之单双向ssl

匿名 (未验证) 提交于 2019-12-03 00:21:02

本文主要讲weblogic服务器所需的密钥库文件的生成及使用,前提是weblogic上web项目已经发布好了。

下载openssl地址
linux:源码(http://www.openssl.org/source/),源码要编译好才能用,具体方法百度;
或者直接yum install openssl -y 安装openssl
windows: http://www.slproweb.com/products/Win32OpenSSL.html

使用openssl制作证书及密钥库

//根证书制作 openssl genrsa -out ca/ca-key.pem 2048  openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem -config openssl.cfg -subj "/CN=ybj/OU=hr/O=hr/L=sh/ST=sh/C=CN"  openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650 //生成密钥库文件 keytool -genkey -alias example -validity 3650 -keyalg RSA -keysize 1024 -dname "CN=www.bidding.com.cn,OU=hr,O=hr,L=sh,ST=sh,C=CN" -keypass 123456 -storepass 123456 -keystore example.jks  keytool -certreq -alias example -sigalg SHA256withRSA -file example.csr -keypass 123456 -keystore example.jks -storepass 123456  openssl x509 -req -in example.csr -out example.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -days 3650 -set_serial 1  keytool -import -v -trustcacerts -keypass 123456 -storepass 123456 -alias root -file ca/ca-cert.pem -keystore example.jks  keytool -import -v -trustcacerts -storepass 123456 -alias example -file example.pem -keystore example.jks  keytool -import -alias example-ca -trustcacerts -file ca/ca-cert.pem -keystore exampletrust.jks  //执行完以上命令是单向ssl,浏览器不需要安装证书  //继续执行完以下命令是双向ssl,以下包括证书制作过程  openssl genrsa -out user-key.pem 2048  openssl req -new -out user-req.csr -key user-key.pem -config openssl.cfg -subj "/CN=www.bidding.com.cn/OU=hr/O=hr/L=sh/ST=sh/C=CN"  openssl x509 -req -in user-req.csr -out user-cert.pem -signkey user-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650 openssl pkcs12 -export -clcerts -in user-cert.pem -inkey user-key.pem -out user.p12  keytool -import -alias 192.168.0.12 -trustcacerts -file user-cert.pem -keystore exampletrust.jks

以上的keytool 命令的-sigalg SHA256withRSA 参数此处”SHA256withRSA“为签名算法。keyalg=RSA时,签名算法有:MD5withRSA、SHA1withRSA、SHA256withRSA、SHA384withRSA、SHA512withRSA。keyalg=DSA时,签名算法有:SHA1withDSA、SHA256withDSA。此处需要注意:MD5和SHA1的签名算法已经不安全,虽然目前CA接受这些不安全算法,但建议使用SHA256及以上的签名。

存放密钥库文件
在weblogic控制台中,环境->服务器->打开你需要的服务器,这里面的密码我全写了123456


启用ssl

安装客户端证书
安装根证书:将以上生成的ca-cert.pem文件后缀名改成cer,在浏览器中安装证书的地方将它安装到受信任的根证书颁发机构一栏
安装个人证书:将以上生成的user.p12文件,在浏览器中安装证书的地方将它安装个人证书一栏

接下来访问地址即可看到访问https成功(如果ssl端口是80可以访问url上就不写端口号,80是默认端口,但我没成功,暂时不明白为啥):
https://你的ip或域名:刚刚配的ssl端口/项目名

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!