Weblogic_SSL
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SSL 调试 SSL 证书验证
7
通过 SSL 保护 WebLogic 资源的安全-8
SSL 调试
SSL 调试提供有关 SSL 握手期间发生的 SSL 事件的详 细信息。
SSL 调试跟踪显示有关以下对象的信息:
可信证书颁发机构 (CA)
SSL 服务器配置信息
服务器标识
所使用的加密强度
私钥、数字证书和可信证书颁发机构
SSL 为身份验证使用公钥加密技术。 公钥和私钥是关联的,使用公钥加密的数据只能
使用相应的私钥解密,反之亦然。 数字证书将用户或实体的标识绑定到特定的公钥。 证书颁发机构是可信的第三方组织,对他们向其
颁发数字证书和公钥的用户的身份进行担保。
通过 SSL 保护 WebLogic 资源的安全-15
使用 ValidateCertChain 命令行实用工具来检查证书链是否将被接受。 对使用 SSL 通信的进程启用 SSL 调试跟踪。
通过 SSL 保护 WebLogic 资源的安全-11
10
单向和双向 SSL
浏览器客户端 单向/双向
Web 服务器
WebLogic Server
代理插件
单向
带有胖客户端的 WebLogic Server
已启用的密码
SSL 握手期间传递的 SSL 记录
WebLogic Server 检测到的 SSL 故障
I/O 相关信息
8
通过 SSL 保护 WebLogic 资源的安全-9
SSL 证书验证
WebLogic Server 可确保证书链中的每个证书都是由一个 CA 颁发的。 可以使用命令行参数 Dweblogic.security.
通过 SSL 保护 WebLogic 资源的安全
1. 安全套接口层
SSL 简介 SSL 的高级功能 SSL 进程 单向和双向 SSL
2. 配置标识和信任 3. 配置和启用 SSL 4. 主机名验证 5. 使用硬件加速器保障安全
1
通过 SSL 保护 WebLogic 资源的安全-2
SSL 简介
1. 安全套接口层
2. 配置标识和信任
私钥、数字证书和可信 CA
标识和信任的受支持格式
获取私钥、数字证书和可信 CA
配置标识和信任
WebLogic Server 如何定位信任
3. 配置和启用 SSL
4. 主机名验证
5. 使用硬件加速器保障安全
12
通过 SSL 保护 WebLogic 资源的安全-14
SSL.enforceConstraints=option 控制 WebLogic Server 执行的 证书验证的级别。源的安全-10
SSL 证书验证(续)
WebLogic Server 提供了一个 ValidateCertChain 命令行实用工具。 此实用工具检查 WebLogic Server 是否将拒绝现有证书链。 要解决证书问题,请使用下列方法之一:
的用于身份验证的证书。 使用 keytool,可以显示、导入和导出证书。 您还可以使用此实用工具生成自签名证书。
通过 SSL 保护 WebLogic 资源的安全-18
16
X.509 证书
Keytool 支持 X.509 证书。 所有 X.509 证书都包含以下数据:
当 WebLogic Server 充当 SSL 服务器时,它将同意使用客户端指定为 首选协议的两种协议中的任意一种。
当 WebLogic Server 充当 SSL 客户端时,它会将 TLS 1.0 版指定为首 选协议。
5
通过 SSL 保护 WebLogic 资源的安全-6
SSL 会话行为
WebLogic Server 允许缓存 SSL 会话。这些会话在服务器生命周期内处 于活动状态。
13
标识和信任的受支持格式
保密邮件 (PEM) 格式是私钥、数字证书和可信 CA 的首选格式。
JKS 格式是密钥库的首选格式。
通过 SSL 保护 WebLogic 资源的安全-16
14
获取私钥、数字证书和可信证书颁发机构
WebLogic Server 支持以下来源的私钥、数字 证书和可信 CA:
– 演示数字证书、私钥和可信 CA 证书 – Sun Microsystems 提供的 keytool 实用工具 – CertGen 实用工具
通过 SSL 保护 WebLogic 资源的安全-17
15
KEYTOOL 实用工具
Keytool 是用于管理密钥和证书的实用工具。 它允许用户管理自己的公钥和私钥对,以及关联
单向/ 双向
Web 服务 客户端
单向/ 双向
通过 SSL 保护 WebLogic 资源的安全-12
WebLogic Server
管理服务器
单向
节点管理器
单向
单向
单向
安全提供程序
单向
外部 LDAP 服务器
受管服务器
应用程序 代码
单向/ 双向 SSL 服务器
Config.xml 受管 服务器
11
主题安排
SSL 的高级功能
SSL 隧道传输 SSL 协议版本 SSL 会话行为
3
通过 SSL 保护 WebLogic 资源的安全-4
SSL 隧道传输
SSL 隧道传输
客户端
Web 服务器
通过 SSL 保护 WebLogic 资源的安全-5
WebLogic 应用 服务器
4
SSL 协议版本
WebLogic Server 支持 SSL 3.0 版协议和传输层 安全性 (TLS) 1.0 版协议。
使用 SSL 套接口的客户端可以直接控制 SSL 会话缓存行为。 不希望使用 SSL 会话的客户端必须调用 SSL 套接口上的
setEnableSessionCreation(false) 才能确保不缓存任何 SSL 会 话。
6
通过 SSL 保护 WebLogic 资源的安全-7
SSL 进程
SSL 提供的下述特定进程有助于建立安全连接:
在 WebLogic Server 中,SSL 可提供下列功能:
– 相互通信的应用程序用来验证彼此身份的机制 – 加密应用程序交换的数据
在 WebLogic Server 中,SSL 还提供了以下安全 功能:
– 服务器身份验证 – 客户端标识验证 – 保密性 – 数据完整性
2
通过 SSL 保护 WebLogic 资源的安全-3
7
通过 SSL 保护 WebLogic 资源的安全-8
SSL 调试
SSL 调试提供有关 SSL 握手期间发生的 SSL 事件的详 细信息。
SSL 调试跟踪显示有关以下对象的信息:
可信证书颁发机构 (CA)
SSL 服务器配置信息
服务器标识
所使用的加密强度
私钥、数字证书和可信证书颁发机构
SSL 为身份验证使用公钥加密技术。 公钥和私钥是关联的,使用公钥加密的数据只能
使用相应的私钥解密,反之亦然。 数字证书将用户或实体的标识绑定到特定的公钥。 证书颁发机构是可信的第三方组织,对他们向其
颁发数字证书和公钥的用户的身份进行担保。
通过 SSL 保护 WebLogic 资源的安全-15
使用 ValidateCertChain 命令行实用工具来检查证书链是否将被接受。 对使用 SSL 通信的进程启用 SSL 调试跟踪。
通过 SSL 保护 WebLogic 资源的安全-11
10
单向和双向 SSL
浏览器客户端 单向/双向
Web 服务器
WebLogic Server
代理插件
单向
带有胖客户端的 WebLogic Server
已启用的密码
SSL 握手期间传递的 SSL 记录
WebLogic Server 检测到的 SSL 故障
I/O 相关信息
8
通过 SSL 保护 WebLogic 资源的安全-9
SSL 证书验证
WebLogic Server 可确保证书链中的每个证书都是由一个 CA 颁发的。 可以使用命令行参数 Dweblogic.security.
通过 SSL 保护 WebLogic 资源的安全
1. 安全套接口层
SSL 简介 SSL 的高级功能 SSL 进程 单向和双向 SSL
2. 配置标识和信任 3. 配置和启用 SSL 4. 主机名验证 5. 使用硬件加速器保障安全
1
通过 SSL 保护 WebLogic 资源的安全-2
SSL 简介
1. 安全套接口层
2. 配置标识和信任
私钥、数字证书和可信 CA
标识和信任的受支持格式
获取私钥、数字证书和可信 CA
配置标识和信任
WebLogic Server 如何定位信任
3. 配置和启用 SSL
4. 主机名验证
5. 使用硬件加速器保障安全
12
通过 SSL 保护 WebLogic 资源的安全-14
SSL.enforceConstraints=option 控制 WebLogic Server 执行的 证书验证的级别。源的安全-10
SSL 证书验证(续)
WebLogic Server 提供了一个 ValidateCertChain 命令行实用工具。 此实用工具检查 WebLogic Server 是否将拒绝现有证书链。 要解决证书问题,请使用下列方法之一:
的用于身份验证的证书。 使用 keytool,可以显示、导入和导出证书。 您还可以使用此实用工具生成自签名证书。
通过 SSL 保护 WebLogic 资源的安全-18
16
X.509 证书
Keytool 支持 X.509 证书。 所有 X.509 证书都包含以下数据:
当 WebLogic Server 充当 SSL 服务器时,它将同意使用客户端指定为 首选协议的两种协议中的任意一种。
当 WebLogic Server 充当 SSL 客户端时,它会将 TLS 1.0 版指定为首 选协议。
5
通过 SSL 保护 WebLogic 资源的安全-6
SSL 会话行为
WebLogic Server 允许缓存 SSL 会话。这些会话在服务器生命周期内处 于活动状态。
13
标识和信任的受支持格式
保密邮件 (PEM) 格式是私钥、数字证书和可信 CA 的首选格式。
JKS 格式是密钥库的首选格式。
通过 SSL 保护 WebLogic 资源的安全-16
14
获取私钥、数字证书和可信证书颁发机构
WebLogic Server 支持以下来源的私钥、数字 证书和可信 CA:
– 演示数字证书、私钥和可信 CA 证书 – Sun Microsystems 提供的 keytool 实用工具 – CertGen 实用工具
通过 SSL 保护 WebLogic 资源的安全-17
15
KEYTOOL 实用工具
Keytool 是用于管理密钥和证书的实用工具。 它允许用户管理自己的公钥和私钥对,以及关联
单向/ 双向
Web 服务 客户端
单向/ 双向
通过 SSL 保护 WebLogic 资源的安全-12
WebLogic Server
管理服务器
单向
节点管理器
单向
单向
单向
安全提供程序
单向
外部 LDAP 服务器
受管服务器
应用程序 代码
单向/ 双向 SSL 服务器
Config.xml 受管 服务器
11
主题安排
SSL 的高级功能
SSL 隧道传输 SSL 协议版本 SSL 会话行为
3
通过 SSL 保护 WebLogic 资源的安全-4
SSL 隧道传输
SSL 隧道传输
客户端
Web 服务器
通过 SSL 保护 WebLogic 资源的安全-5
WebLogic 应用 服务器
4
SSL 协议版本
WebLogic Server 支持 SSL 3.0 版协议和传输层 安全性 (TLS) 1.0 版协议。
使用 SSL 套接口的客户端可以直接控制 SSL 会话缓存行为。 不希望使用 SSL 会话的客户端必须调用 SSL 套接口上的
setEnableSessionCreation(false) 才能确保不缓存任何 SSL 会 话。
6
通过 SSL 保护 WebLogic 资源的安全-7
SSL 进程
SSL 提供的下述特定进程有助于建立安全连接:
在 WebLogic Server 中,SSL 可提供下列功能:
– 相互通信的应用程序用来验证彼此身份的机制 – 加密应用程序交换的数据
在 WebLogic Server 中,SSL 还提供了以下安全 功能:
– 服务器身份验证 – 客户端标识验证 – 保密性 – 数据完整性
2
通过 SSL 保护 WebLogic 资源的安全-3