如何在weblogic中布署ssl完整教程
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如何在 weblogic 中布署 ssl 完整教程
1.产生证书请求 1.1 概念:
产生用户自己的请求,一般需要有一个密钥对,用户使用密钥对中的密钥去 产生一个 certificaterequirement(证书请求)我们在此将它称作“csr”文件。
一般产生请求的方式有两种: openssl 与 keytool 两种工具: openssl 的特点: 先产生密钥对,再通过密钥对产生 csr 文件。 keytool 的特点: 产生 csr 文件的同时产生密钥对。 当 csr 文件产生后,我们打开 csr 文件,可以看到这样的一段内容:
keytool:
keytool –genkey –alias testkey –keyalg RSA –keysize 1024 –dname “CN=200.31.23.71, OU=Support, O=SGE, L=shanghai, S=SH, C=CN” –keypass 888888 –keystore testkey.jks – storepass 888888
这就是根据我们提交的请求生成的证书,把该内容用文本编辑器全部复制下 来,用文本编辑器存成一个叫“server.crt”的证书文件(即 crt 文件)。 2.2 重要信息
此时我们申请的证书有了,但还不够,因为我们要把证书装到 weblogic 里, 这个证书只能起到“标明(identity)的作用”,它还需要有一张“根(root)证书” 去告诉 weblogic,这个 identity 是得到了谁的信任(trust)。
2.通过 CA 中心得到证书 2.1 概念
CA 中心一般位于网上如“verisign”或企业内部有 CA 中心,CA 中心打开的页面中一般有 一些企业或个人信息注册信息等的填写表单,填完这些表单后还有一堆是要你提交你的证 书请求,请用文本编辑器把我们产生的“csr”文件打开,看到如下内容:
-----BEGIN CERTIFICATE REQUEST----MIIB3TCCAUYCAQAwgYUxCzAJBgNVBAYTAmNuMQswCQYDVQQIEwJzaDELMAkGA1UE BxMCc2gxETAPBgNVBAoTCFRvcGNoZWVyMREwDwYDVQQLEwhyZXNlYXJjaDERMA8G A1UEAxMIcmVzZWFyY2gxIzAhBgkqhkiG9w0BCQEWFHl1YW4ubWtAdG9wY2hlZXIu Y29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/iyAIUZ8S80u9OWSvCU0N ifK0sRHaNrYXqLdrtzUDSLX2wYtU0x1W0dOA1196ZkaG5Tx+0gyjtFHkwwnIa949 nKiwWxIgi+puB9wC315aPo1tFrNNnuEcQ3bukT6SHKE7kx39gFypJ3NIuJxQ7ZS3 BS8VLkTGN9tg4TZBIHNo3wIDAQABoBcwFQYJKoZIhvcNAQkHMQgTBjExMTExMTAN BgkqhkiG9w0BAQUFAAOBgQBXBwbuVo9SDrEiAR2rpVhsRLovch4e8SiX1c8MC/RO nuFmwJogY1t7nmW2KyE5YZhZFGoqe9sYs5w/YyJV2X7nbEGgYu91jfx6YpXFtQSk qAo0NgSkMzIsD5Yg6jJeCD2jT4w0ONiZ4JXyVsE0rUZPgJhhVrHPXU8m5/RgvBLY mQ== -----END CERTIFICATE REQUEST-----
把这段东西全部复制下来用文本编辑器存存成一个叫“ca.crt”的 crt 文件,这 就是我们 CA 中心的 trust 证书。
注: CA 中心对于 rootca 的内容是不需要任何请求与认证就可以随意获取得,这 个信息是对一切人员公开的。 3.将证书信息导入 jks 文件 3.1 概念 现在我们手头有了这些文件: 证书请求秘钥对:testkey.jks 文件 证书请求:server.csr 文件 根据请求被认证的证书:server.crt 文件 CA 公开的 rootca:ca.crt 文件。 (如果使用 openssl 的话我们还会有 server.key 密钥文件) ?何为将证书信息导入我们的 jks 呢 weblogic 中实现 SSL 需要有两个 jks 文件而不是 crt 文件,这两个 jks 文件 一个用于 identity(server.crt 中的内容),一个用于对 identity 进行 trust(ca.crt), 但是 weblogic 中只认 jks 格式,而不认 crt 格式。 3.2 重要信息 我们是用 testkey 这个 jks 文件产生证书请求 server.csr 的文件,然后再根据 server.csr 文件得到 server.crt 文件的,因此,testkey.jks 文件里面已经含有证书
将所有的内容包括“BEGIN CERTIFICATE REQUEST”和“END CERTIFICATE REQUEST”都复 制进去,然后提交给 CA 中心,这时 CA 中心通常会给你一封 email 或直接打 开一个网页,网页中或 email 内有如下内容:
-----BEGIN CERTIFICATE----MIICgzCCAewCCQCvViySyayvfTANBgkqhkiG9w0BAQUFADCBhTELMAkGA1UEBhMC Y24xCzAJBgNVBAgTAnNoMQswCQYDVQQHEwJzaDERMA8GA1UEChMIVG9wY2hlZXIx ETAPBgNVBAsTCHJlc2VhcmNoMREwDwYDVQQDEwhyZXNlYXJjaDEjMCEGCSqGSIb3 DQEJARYUeXVhbi5ta0B0b3BjaGVlci5jb20wHhcNMDcwOTAzMDU0MjI4WhcNMTcw ODMxMDU0MjI4WjCBhTELMAkGA1UEBhMCY24xCzAJBgNVBAgTAnNoMQswCQYDVQQH EwJzaDERMA8GA1UEChMIVG9wY2hlZXIxETAPBgNVBAsTCHJlc2VhcmNoMREwDwYD VQQDEwhyZXNlYXJjaDEjMCEGCSqGSIb3DQEJARYUeXVhbi5ta0B0b3BjaGVlci5j b20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAL+LIAhRnxLzS705ZK8JTQ2J 8rSxEdo2theot2u3NQNItfbBi1TTHVbR04DXX3pmRoblPH7SDKO0UeTDCchr3j2c qLBbEiCL6m4H3ALfXlo+jW0Ws02e4RxDdu6RPpIcoTuTHf2AXKknc0i4nFDtlLcF LxUuRMY322DhNkEgc2jfAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAcje3Y7aA6hYM MfV8F3MXJufdVFj25X6SIyUac4giWGOasFDUwEdRCnJjDw4zQfNPa+j0P3DRPiSG Gjd2ziOh9l6A3gqr02uzGTj3G/INLGrTvez9uLyKLlA89pyYF7dkBol8jqpu+C+b 25NIjNDf6lmiVUNhfUN3H5T0Y7dYxQc= -----END CERTIFICATE-----
将这堆内容提交给 CA 中书,CA 中书会根据这堆内容签出证书。 下面我们分边来看用 openssl 和 keytool 是如何产生请求的。
1.2 详细指令: openssl:
opr.key 1024 -----------------以上为产生密钥对,使用 rsa 算法,密钥长度为 1024 openssl req -new -key server.key -out server.csr -----------------根据密钥对产生 csr 文件
-----BEGIN CERTIFICATE REQUEST----MIIB3TCCAUYCAQAwgYUxCzAJBgNVBAYTAmNuMQswCQYDVQQIEwJzaDELMAkGA1UE BxMCc2gxETAPBgNVBAoTCFRvcGNoZWVyMREwDwYDVQQLEwhyZXNlYXJjaDERMA8G A1UEAxMIcmVzZWFyY2gxIzAhBgkqhkiG9w0BCQEWFHl1YW4ubWtAdG9wY2hlZXIu Y29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/iyAIUZ8S80u9OWSvCU0N ifK0sRHaNrYXqLdrtzUDSLX2wYtU0x1W0dOA1196ZkaG5Tx+0gyjtFHkwwnIa949 nKiwWxIgi+puB9wC315aPo1tFrNNnuEcQ3bukT6SHKE7kx39gFypJ3NIuJxQ7ZS3 BS8VLkTGN9tg4TZBIHNo3wIDAQABoBcwFQYJKoZIhvcNAQkHMQgTBjExMTExMTAN BgkqhkiG9w0BAQUFAAOBgQBXBwbuVo9SDrEiAR2rpVhsRLovch4e8SiX1c8MC/RO nuFmwJogY1t7nmW2KyE5YZhZFGoqe9sYs5w/YyJV2X7nbEGgYu91jfx6YpXFtQSk qAo0NgSkMzIsD5Yg6jJeCD2jT4w0ONiZ4JXyVsE0rUZPgJhhVrHPXU8m5/RgvBLY mQ== -----END CERTIFICATE REQUEST-----
-----------------可以看到用 keytool 产生 csr 文件的同时还产生了密钥对 keytool –certreq –alias support –sigalg “MD5withRSA” –file server.csr –keypass 888888 – keystore testkey.jks –storepass 888888
因此,我们仔细在 CA 中心的网站上找一下,我们可以发觉一个类似于叫 “root ca/trust ca”的选项,通过这个选项,我们又可以打开一个网页,看到如下 的内容:
-----BEGIN CERTIFICATE----MIICgzCCAewCCQCvViySyayvfTANBgkqhkiG9w0BAQUFADCBhTELMAkGA1UEBhMC Y24xCzAJBgNVBAgTAnNoMQswCQYDVQQHEwJzaDERMA8GA1UEChMIVG9wY2hlZXIx ETAPBgNVBAsTCHJlc2VhcmNoMREwDwYDVQQDEwhyZXNlYXJjaDEjMCEGCSqGSIb3 DQEJARYUeXVhbi5ta0B0b3BjaGVlci5jb20wHhcNMDcwOTAzMDU0MjI4WhcNMTcw ODMxMDU0MjI4WjCBhTELMAkGA1UEBhMCY24xCzAJBgNVBAgTAnNoMQswCQYDVQQH EwJzaDERMA8GA1UEChMIVG9wY2hlZXIxETAPBgNVBAsTCHJlc2VhcmNoMREwDwYD VQQDEwhyZXNlYXJjaDEjMCEGCSqGSIb3DQEJARYUeXVhbi5ta0B0b3BjaGVlci5j b20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAL+LIAhRnxLzS705ZK8JTQ2J 8rSxEdo2theot2u3NQNItfbBi1TTHVbR04DXX3pmRoblPH7SDKO0UeTDCchr3j2c qLBbEiCL6m4H3ALfXlo+jW0Ws02e4RxDdu6RPpIcoTuTHf2AXKknc0i4nFDtlLcF LxUuRMY322DhNkEgc2jfAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAcje3Y7aA6hYM MfV8F3MXJufdVFj25X6SIyUac4giWGOasFDUwEdRCnJjDw4zQfNPa+j0P3DRPiSG Gjd2ziOh9l6A3gqr02uzGTj3G/INLGrTvez9uLyKLlA89pyYF7dkBol8jqpu+C+b 25NIjNDf6lmiVUNhfUN3H5T0Y7dYxQc= -----END CERTIFICATE-----
1.产生证书请求 1.1 概念:
产生用户自己的请求,一般需要有一个密钥对,用户使用密钥对中的密钥去 产生一个 certificaterequirement(证书请求)我们在此将它称作“csr”文件。
一般产生请求的方式有两种: openssl 与 keytool 两种工具: openssl 的特点: 先产生密钥对,再通过密钥对产生 csr 文件。 keytool 的特点: 产生 csr 文件的同时产生密钥对。 当 csr 文件产生后,我们打开 csr 文件,可以看到这样的一段内容:
keytool:
keytool –genkey –alias testkey –keyalg RSA –keysize 1024 –dname “CN=200.31.23.71, OU=Support, O=SGE, L=shanghai, S=SH, C=CN” –keypass 888888 –keystore testkey.jks – storepass 888888
这就是根据我们提交的请求生成的证书,把该内容用文本编辑器全部复制下 来,用文本编辑器存成一个叫“server.crt”的证书文件(即 crt 文件)。 2.2 重要信息
此时我们申请的证书有了,但还不够,因为我们要把证书装到 weblogic 里, 这个证书只能起到“标明(identity)的作用”,它还需要有一张“根(root)证书” 去告诉 weblogic,这个 identity 是得到了谁的信任(trust)。
2.通过 CA 中心得到证书 2.1 概念
CA 中心一般位于网上如“verisign”或企业内部有 CA 中心,CA 中心打开的页面中一般有 一些企业或个人信息注册信息等的填写表单,填完这些表单后还有一堆是要你提交你的证 书请求,请用文本编辑器把我们产生的“csr”文件打开,看到如下内容:
-----BEGIN CERTIFICATE REQUEST----MIIB3TCCAUYCAQAwgYUxCzAJBgNVBAYTAmNuMQswCQYDVQQIEwJzaDELMAkGA1UE BxMCc2gxETAPBgNVBAoTCFRvcGNoZWVyMREwDwYDVQQLEwhyZXNlYXJjaDERMA8G A1UEAxMIcmVzZWFyY2gxIzAhBgkqhkiG9w0BCQEWFHl1YW4ubWtAdG9wY2hlZXIu Y29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/iyAIUZ8S80u9OWSvCU0N ifK0sRHaNrYXqLdrtzUDSLX2wYtU0x1W0dOA1196ZkaG5Tx+0gyjtFHkwwnIa949 nKiwWxIgi+puB9wC315aPo1tFrNNnuEcQ3bukT6SHKE7kx39gFypJ3NIuJxQ7ZS3 BS8VLkTGN9tg4TZBIHNo3wIDAQABoBcwFQYJKoZIhvcNAQkHMQgTBjExMTExMTAN BgkqhkiG9w0BAQUFAAOBgQBXBwbuVo9SDrEiAR2rpVhsRLovch4e8SiX1c8MC/RO nuFmwJogY1t7nmW2KyE5YZhZFGoqe9sYs5w/YyJV2X7nbEGgYu91jfx6YpXFtQSk qAo0NgSkMzIsD5Yg6jJeCD2jT4w0ONiZ4JXyVsE0rUZPgJhhVrHPXU8m5/RgvBLY mQ== -----END CERTIFICATE REQUEST-----
把这段东西全部复制下来用文本编辑器存存成一个叫“ca.crt”的 crt 文件,这 就是我们 CA 中心的 trust 证书。
注: CA 中心对于 rootca 的内容是不需要任何请求与认证就可以随意获取得,这 个信息是对一切人员公开的。 3.将证书信息导入 jks 文件 3.1 概念 现在我们手头有了这些文件: 证书请求秘钥对:testkey.jks 文件 证书请求:server.csr 文件 根据请求被认证的证书:server.crt 文件 CA 公开的 rootca:ca.crt 文件。 (如果使用 openssl 的话我们还会有 server.key 密钥文件) ?何为将证书信息导入我们的 jks 呢 weblogic 中实现 SSL 需要有两个 jks 文件而不是 crt 文件,这两个 jks 文件 一个用于 identity(server.crt 中的内容),一个用于对 identity 进行 trust(ca.crt), 但是 weblogic 中只认 jks 格式,而不认 crt 格式。 3.2 重要信息 我们是用 testkey 这个 jks 文件产生证书请求 server.csr 的文件,然后再根据 server.csr 文件得到 server.crt 文件的,因此,testkey.jks 文件里面已经含有证书
将所有的内容包括“BEGIN CERTIFICATE REQUEST”和“END CERTIFICATE REQUEST”都复 制进去,然后提交给 CA 中心,这时 CA 中心通常会给你一封 email 或直接打 开一个网页,网页中或 email 内有如下内容:
-----BEGIN CERTIFICATE----MIICgzCCAewCCQCvViySyayvfTANBgkqhkiG9w0BAQUFADCBhTELMAkGA1UEBhMC Y24xCzAJBgNVBAgTAnNoMQswCQYDVQQHEwJzaDERMA8GA1UEChMIVG9wY2hlZXIx ETAPBgNVBAsTCHJlc2VhcmNoMREwDwYDVQQDEwhyZXNlYXJjaDEjMCEGCSqGSIb3 DQEJARYUeXVhbi5ta0B0b3BjaGVlci5jb20wHhcNMDcwOTAzMDU0MjI4WhcNMTcw ODMxMDU0MjI4WjCBhTELMAkGA1UEBhMCY24xCzAJBgNVBAgTAnNoMQswCQYDVQQH EwJzaDERMA8GA1UEChMIVG9wY2hlZXIxETAPBgNVBAsTCHJlc2VhcmNoMREwDwYD VQQDEwhyZXNlYXJjaDEjMCEGCSqGSIb3DQEJARYUeXVhbi5ta0B0b3BjaGVlci5j b20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAL+LIAhRnxLzS705ZK8JTQ2J 8rSxEdo2theot2u3NQNItfbBi1TTHVbR04DXX3pmRoblPH7SDKO0UeTDCchr3j2c qLBbEiCL6m4H3ALfXlo+jW0Ws02e4RxDdu6RPpIcoTuTHf2AXKknc0i4nFDtlLcF LxUuRMY322DhNkEgc2jfAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAcje3Y7aA6hYM MfV8F3MXJufdVFj25X6SIyUac4giWGOasFDUwEdRCnJjDw4zQfNPa+j0P3DRPiSG Gjd2ziOh9l6A3gqr02uzGTj3G/INLGrTvez9uLyKLlA89pyYF7dkBol8jqpu+C+b 25NIjNDf6lmiVUNhfUN3H5T0Y7dYxQc= -----END CERTIFICATE-----
将这堆内容提交给 CA 中书,CA 中书会根据这堆内容签出证书。 下面我们分边来看用 openssl 和 keytool 是如何产生请求的。
1.2 详细指令: openssl:
opr.key 1024 -----------------以上为产生密钥对,使用 rsa 算法,密钥长度为 1024 openssl req -new -key server.key -out server.csr -----------------根据密钥对产生 csr 文件
-----BEGIN CERTIFICATE REQUEST----MIIB3TCCAUYCAQAwgYUxCzAJBgNVBAYTAmNuMQswCQYDVQQIEwJzaDELMAkGA1UE BxMCc2gxETAPBgNVBAoTCFRvcGNoZWVyMREwDwYDVQQLEwhyZXNlYXJjaDERMA8G A1UEAxMIcmVzZWFyY2gxIzAhBgkqhkiG9w0BCQEWFHl1YW4ubWtAdG9wY2hlZXIu Y29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/iyAIUZ8S80u9OWSvCU0N ifK0sRHaNrYXqLdrtzUDSLX2wYtU0x1W0dOA1196ZkaG5Tx+0gyjtFHkwwnIa949 nKiwWxIgi+puB9wC315aPo1tFrNNnuEcQ3bukT6SHKE7kx39gFypJ3NIuJxQ7ZS3 BS8VLkTGN9tg4TZBIHNo3wIDAQABoBcwFQYJKoZIhvcNAQkHMQgTBjExMTExMTAN BgkqhkiG9w0BAQUFAAOBgQBXBwbuVo9SDrEiAR2rpVhsRLovch4e8SiX1c8MC/RO nuFmwJogY1t7nmW2KyE5YZhZFGoqe9sYs5w/YyJV2X7nbEGgYu91jfx6YpXFtQSk qAo0NgSkMzIsD5Yg6jJeCD2jT4w0ONiZ4JXyVsE0rUZPgJhhVrHPXU8m5/RgvBLY mQ== -----END CERTIFICATE REQUEST-----
-----------------可以看到用 keytool 产生 csr 文件的同时还产生了密钥对 keytool –certreq –alias support –sigalg “MD5withRSA” –file server.csr –keypass 888888 – keystore testkey.jks –storepass 888888
因此,我们仔细在 CA 中心的网站上找一下,我们可以发觉一个类似于叫 “root ca/trust ca”的选项,通过这个选项,我们又可以打开一个网页,看到如下 的内容:
-----BEGIN CERTIFICATE----MIICgzCCAewCCQCvViySyayvfTANBgkqhkiG9w0BAQUFADCBhTELMAkGA1UEBhMC Y24xCzAJBgNVBAgTAnNoMQswCQYDVQQHEwJzaDERMA8GA1UEChMIVG9wY2hlZXIx ETAPBgNVBAsTCHJlc2VhcmNoMREwDwYDVQQDEwhyZXNlYXJjaDEjMCEGCSqGSIb3 DQEJARYUeXVhbi5ta0B0b3BjaGVlci5jb20wHhcNMDcwOTAzMDU0MjI4WhcNMTcw ODMxMDU0MjI4WjCBhTELMAkGA1UEBhMCY24xCzAJBgNVBAgTAnNoMQswCQYDVQQH EwJzaDERMA8GA1UEChMIVG9wY2hlZXIxETAPBgNVBAsTCHJlc2VhcmNoMREwDwYD VQQDEwhyZXNlYXJjaDEjMCEGCSqGSIb3DQEJARYUeXVhbi5ta0B0b3BjaGVlci5j b20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAL+LIAhRnxLzS705ZK8JTQ2J 8rSxEdo2theot2u3NQNItfbBi1TTHVbR04DXX3pmRoblPH7SDKO0UeTDCchr3j2c qLBbEiCL6m4H3ALfXlo+jW0Ws02e4RxDdu6RPpIcoTuTHf2AXKknc0i4nFDtlLcF LxUuRMY322DhNkEgc2jfAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAcje3Y7aA6hYM MfV8F3MXJufdVFj25X6SIyUac4giWGOasFDUwEdRCnJjDw4zQfNPa+j0P3DRPiSG Gjd2ziOh9l6A3gqr02uzGTj3G/INLGrTvez9uLyKLlA89pyYF7dkBol8jqpu+C+b 25NIjNDf6lmiVUNhfUN3H5T0Y7dYxQc= -----END CERTIFICATE-----