Weblogic服务器证书安装配置

Weblogic服务器证书安装配置 | Weblogic SSL

开始之前

Weblogic内建JDK安装，为Weblogic安装配置服务器证书需要使用Java的keytool工具。在Weblogic安装路径下的JRE或者JDK的bin目录中即可运行keytool命令。可以无需在服务器上创建keystore格式密钥，在任意Java环境下生成兼容格式的keystore密钥均可支持在Weblogic下的配置。

由于Java1.5之前版本创建的keystore格式密钥，在Java1.5及以后的版本中存在兼容性问题，建议不要使用1.5之前版本的Java环境创建keystore文件。

生成证书请求文件(CSR)

1.生成keystore文件

命令行进入已安装的JRE或JDK下的bin目录（如果配置过环境变量，可以使用命令：cd %JAVA_HOME%/bin），运行keytool命令。

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storetype jks -storepass <password> -keypass <password>

以上命令中，-alias参数用于定义私钥别名“server”，自定义私钥别名意义不大，可以不做修改。需要注意的是，在部分Unix环境下，默认生成的keystore文件格式为gkr格式，会导致其他平台无法兼容。建议加上“-storetype jks”强制生成jks格式密钥库，避免出现“Invalid keystore format”的错误。
填写证书注册信息：

您的名字与姓氏是什么？
[Unknown]： www.willrey.com
您的组织单位名称是什么？
[Unknown]： Support
您的组织名称是什么？
[Unknown]： Shenzhen Willrey eCommerce Limited
您所在的城市或区域名称是什么？
[Unknown]： Shenzhen
您所在的州或省份名称是什么？
[Unknown]： Guangdong
该单位的两字母国家代码是什么
[Unknown]： CN
CN=www.willrey.com, OU="Support", O="Shenzhen Willrey eCommerce Limited .", L=Shenzhen, ST=Guangdong, C=CN 正确吗？

输入Y完成keystore.jks密钥库文件的创建，生成的keystore.jks文件默认放在命令行当前运行路径下。

2.生成证书请求文件

keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass <password> -storepass <password>

3.备份私钥并提交证书请求
正式证书请求，请保存bin目录下的证书密钥库文件keystore.jks，并将证书请求文件certreq.csr提交给维瑞客服。

导入服务器证书

1.获取服务器证书中级CA证书
根受信服务器证书都需要安装中级CA证书。在相应的CA颁发机构网站可以下载到相应产品的服务器证书中级CA证书文件。
从邮件中获取中级CA证书：
将证书签发邮件中的从BEGIN到 END结束的中级CA证书内容（包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”字段）粘贴到记事本等文本文档中。修改文件扩展名，保存为intermediate.cer文件。如果证书签发邮件中包含多张中级CA文件，则创建多个中级CA的cer文件，如intermediate1.cer、intermediate2.cer等。
如果无法从您的VeriSign证书签发邮件中获取中级CA证书，请联系维瑞客服。

2.获取服务器证书
将证书签发邮件中的从BEGIN到 END结束的服务器证书内容（包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”）粘贴到记事本等文本文档中，保存为server.cer文件

3.导入证书
导入中级CA证书到keystore文件中

keytool -import -alias intermediate -keystore keystore.jks -trustcacerts -storepass password -file <filepath\intermediate.cer>

如果您的服务器证书包含多个中级CA证书，则需要导入所有中级CA证书文件。导入命令行中，需要设置不同的中级证书别名-alias，例如导入intermedate1.cer文件时，设置证书别名为intermediate1：“-alias intermedate1”
导入服务器证书到keystore文件中

keytool -import -alias server -keystore keystore.jks -trustcacerts -storepass password -file <filepath\server.cer>

导入服务器证书时，服务器证书的别名必须和私钥别名一致。请留意导入中级CA证书和导入服务器证书时的提示信息，如果您在导入服务器证书时使用的别名与私钥别名不一致，将提示“认证已添加至keystore中”而不是应有的“认证回复已安装在keystore中”。
证书导入完成，运行keystool命令，即可查看keystore文件内容（可添加-v参数查看详细）。

keytool -list -keystore keystore.jks -storepass <password>

配置服务器证书

1. 配置Servers
http://<IP>:7001/console 登陆Weblogic控制台，选择“Lock & Edit”解锁配置并选择“Servers”列表，进入您需要配置服务器证书的Server

在“General”下，可以配置您的http和https是否启用，以及访问端口号。https默认端口号为443，请将SSL端口号7002修改为443。

2. 设置认证模式
选择“Keystores”

配置认证方式。

服务器身份认证请选择“Custom identity and Java Standard Trust”，双向认证请选择“Custom Identity and Custom Trust”。将您的密钥库文件keystore.jks保存到服务器上相应目录，并配置其路径和密钥库文件保护密码。
单向认证中，需要配置JRE默认信任库文件cacerts。Cacerts默认密码为changeit。

3. 设置服务器证书私钥别名
切换到“SSL”标签，在“SSL”下需要配置密钥库中的私钥别名信息。私钥别名可以使用keystool -list 命令查看。
设置私钥别名“server”，并输入私钥保护密码（即您您设置的keypass）。

4. 访问测试
在每一步设置过程中请注意随时保存所做的修改，完成所有配置后锁定配置，就可以立即通过您设定的SSL端口号，访问https://youdomain:port测试证书的安装情况了。

服务器证书的备份及恢复

1.服务器证书的备份
在您成功的安装和配置了服务器证书之后，请务必备份好您的服务器证书，以防证书丢失给您带来不便。
备份服务器证书密钥库文件keystore.jks及其保护密码，即可完成服务器证书的备份操作。

2.服务器证书的恢复
请找到服务器证书的备份文件，参照服务器证书配置部分，将服务器证书密钥库keystore.jks文件上传到您的服务器上，并修改配置文件，恢复服务器证书的应用。