这个文档没有配置成功,中间有点地方不太一样,当参考用吧
之前
先是
Weblogic在Linux环境下配置Https
,
http://blog.csdn.net/xiaxiaorui2003/article/details/41248321
之后
openssl制作证书全过程 + 部分修改
,
http://blog.csdn.net/xiaxiaorui2003/article/details/41312381
但是发现还是不行,访问的时候没发下载证书,然后想了下,应该是有问题,因为我的证书是使用openssl制作的,但是服务器配置什么的里面是使用keytool工具来制作的,它应该不知道从哪里去找证书,所以应该还有一个往keytool工具导入证书的工作,
参考下面文章
http://verisign.itrus.com.cn/html/fuwuyuzhichi/fuwuqizhengshuanzhuangpeizhizhinan/424.html
黑色的 代码部分是原文档的,但是我参考几个文档生成了一堆文件最后乱了,额,红色部分是我执行的代码
服务器证书安装配置指南(
Weblogic)
一、
生成证书请求
1.
安装
JDK
(可选)
Weblogic
安装后自带
JDK
安装。如果您直接在服务器上生成证书请求,请进入
Weblogic
安装目录下
JDK
所在路径的
bin
目录,运行
keytool
命令。
如果您需要在其他环境下生成证书请求文件,则您可以选择安装
JDK
,并稍后上传生成的密钥库文件
keystore.jks
到服务器上进行配置。
Java SE Development Kit (JDK)
下载。下载地址:
http://www.oracle.com/technetwork/java/javase/downloads/index.html
2.
生成
keystore
文件
生成密钥库文件
keystore.jks
需要使用
JDK
的
keytool
工具。命令行进入
JDK或JRE
下的
bin
目录,运行
keytool
命令(示例中粗体部分为可自定义部分,请根据实际配置情况作相应调整)。
keytool -genkey -alias
server
-keyalg RSA -keysize 2048 -keystore C:\keystore.jks -storepass
password
-keypass
password
以上命令中,
server
为私钥别名
(-alias)
,生成的
keystore.jks
文件默认放在命令行当前路径下。
keytool -genkey -alias
weblogic
-keyalg RSA -keysize 2048 -keystore C:\weblogic.jks -storepass
password
-keypass
password
我的没有输入密码的部分,另外C:\weblogic.jks这个目录下没有找到这个JKS文件,在C:\Users\xia\AppData\Local\VirtualStore目录下
3.
生成证书请求文件
(CSR)
keytool -certreq -alias
server
-sigalg SHA1withRSA -file C:\certreq.csr -keystore C:\keystore.jks -keypass
password
-storepass
password
备份密钥库文件
keystore.jks
,并稍后提交证书请求文件
certreq.csr
,等待证书签发。密钥库文件keystore.jks丢失将导致证书不可用。
keytool -certreq -alias weblogic -sigalg SHA1withRSA -file C:\weblogic.csr -keystore C:\weblogic.jks -keypass password -storepass password
生成的文件还是在C:\Users\xia\AppData\Local\VirtualStore目录下
二、
导入服务器证书
1.
获取
服务器证书中级
CA
证书
这部分证书生成的用openssl重新制作
为保障服务器证书在
客户端的兼容性,
服务器证书需要安装两张中级
CA
证书(不同品牌证书,可能会有一张中级证书)。
从邮件中获取中级
CA
证书:
将证书签发邮件中的从
BEGIN
到
END
结束的两张中级
CA
证书内容(包括
“—–BEGIN CERTIFICATE—–”
和
“—–END CERTIFICATE—–”
)分别粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为
intermediate1.cer
和
intermediate2.cer
文件。
2.
获取
服务器证书
这部分证书生成的用openssl重新制作
将证书签发邮件中的从
BEGIN
到
END
结束的服务器证书内容(包括
“—–BEGIN CERTIFICATE—–”
和
“—–END CERTIFICATE—–”
)粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为
server.cer
文件
3.
查看
Keystore
文件内容
进入
JDK
安装目录下的
bin
目录,运行
keytool
命令。
keytool -list -keystore C:\keystore.jks -storepass
password
keytool -list -keystore C:\weblogic.jks -storepass password ,我的 别名叫做
weblogic,
通过 keytool -list -keystore C:\server\truststore.jks -storepass 222222 来查看我通过openssl导入的证书信息
查询到
PrivateKeyEntry
属性的私钥别名
(alias)
为
server
。记住该别名,在稍后导入服务器证书时需要用到。(示例中粗体部分为可自定义部分,请根据实际配置情况作相应调整。)
注意,导入证书时,一定要使用生成证书请求文件时生成的
keystore.jks
文件。
keystore.jks
文件丢失或生成新的
keystore.jks
文件,都将无法正确导入您的服务器证书。
4.
导入证书
(如果只有一张中级证书,则只需导入一张中级证书即可)
导入第一张中级
CA
证书
keytool -import -alias intermediate1 -keystore C:\keystore.jks -trustcacerts -storepass
password
-file C:\intermediate1.cer
导入第二张中级
CA
证书
keytool -import -alias intermediate2 -keystore C:\keystore.jks -trustcacerts -storepass
password
-file C:\intermediate2.cer
在之前的里面我们制作了.p12的证书,但是这里导入需要一个.cer的证书,所以我先把证书导入浏览器,然后从浏览器导出.cer证书,后执行
keytool -import -alias ca -keystore C:\weblogic.jks -trustcacerts -storepass password -file C:\ca\ca.cer ,
但是提示所输入的不是X.509证书
打开openssl,使用下面的命令重新制作了.cer格式的证书
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.cer -signkey ca/ca-key.pem -days 3650
然后使用命令
keytool -import -alias ca -keystore C:\truststore.jks -trustcacerts -storepass 222222 -file C:\ca\ca-cert.cer 导入证书,
提示信息
导入服务器证书
keytool -import -alias
server
-keystore C:\keystore.jks -trustcacerts -storepass
password
-file C:\server.cer
openssl x509 -req -in server/server-req.csr -out server/server-cert.cer -signkey server/server-key.pem -days 3650 通过该命令导出server-cert.cer服务器证书
通过这个命令来导入服务器证书keytool -import -alias server -keystore C:\server\truststore.jks -trustcacerts -storepass 222222 -file C:\server\server-cert.cer
这里标注,我理解错了。导入时CA证书的
alias 和服务器证书的是不一样的,这个
alias 是给不同的证书在keystore中标注个别名
导入服务器证书时,服务器证书的别名必须和私钥别名一致。请留意导入中级
CA
证书和导入服务器证书时的提示信息,如果您在导入服务器证书时使用的别名与私钥别名不一致,将提示
“
认证已添加至
keystore
中
”
而不是应有的
“
认证回复已安装在
keystore
中
”
。
证书导入完成,运行
keystool
命令,再次查看
keystore
文件内容
keytool -list -keystore C:\keystore.jks -storepass
password
三、
安装服务器证书
1.
导入
keysotre
密钥库
登陆
Weblogic
控制台
选择
“Lock & Edit”
解锁配置,并进入
“Servers”
选择您需要配置服务器证书的
Server
在
“General”
下,可以配置您的
http
和
https
是否启用,以及访问端口号。
https
默认端口号为
443
,请在选项启用
SSL
并相应修改端口号。
在
“Keystores”
下配置认证方式。服务器身份认证请选择
“Custom identity and Java Standard Trust”
,双向认证请选择
“Custom Identity and Custom Trust”
。
将您的密钥库文件
keystore.jks
保存到服务器上相应目录,并配置其路径和密钥库文件保护密码。
单向认证中,需要配置
JRE
默认信任库文件
cacerts
。
Cacerts
默认密码为
changeit
。
在
“SSL”
下配置密钥库中的私钥别名信息。私钥别名可以使用
keystool -list
命令查看。通常私钥保护密码和
keystore
文件保护密码相同。
设置完成后,选择
“Active Changes”
,保存所有修改。如果系统提示需要重启
Weblogic
,则您需要重启后才能使配置生效。
2.
访问测试
访问
https://youdomain:port
,测试证书的安装。
四、
服务器证书的备份及恢复
在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。
1.
服务器证书的备份
备份服务器证书密钥库文件
keystore.jks
文件即可完成服务器证书的备份操作。
2.
服务器证书的恢复
请参照服务器证书安装部分,将服务器证书密钥库keystore.jks文件恢复到您的服务器上,并修改配置,恢复服务器证书的应用。