為WebLogic伺服器配置SSL configuring-ssl-for-weblogic-server
若要在WebLogic伺服器上設定SSL,您需要SSL憑證才能進行驗證。 您可以使用Java鍵工具執行下列任務以建立憑據:
- 建立公開/私密金鑰組,將公開金鑰包裝在X.509 v1自行簽署的憑證中(以單一元素憑證鏈形儲存),然後將憑證鏈和私密金鑰儲存在新金鑰存放區中。 此金鑰存放區是應用程式伺服器的自訂身分金鑰存放區。
- 擷取憑證並將其插入新的金鑰存放區。 此密鑰庫是應用程式伺服器的自定義信任密鑰庫。
然後,配置WebLogic,使其使用您建立的自訂身分金鑰存放區和自訂信任金鑰存放區。 另外,禁用WebLogic主機名驗證功能,因為用於建立密鑰庫檔案的可分辨名稱不包含承載WebLogic的電腦的名稱。
建立SSL憑據以在WebLogic伺服器上使用 creating-an-ssl-credential-for-use-on-weblogic-server
keytool命令通常位於Java jre/bin目錄中,並且必須包括下表中列出的多個選項和選項值。
-
自訂身分金鑰存放區:
ads-credentials
-
自定義信任密鑰庫:
bedrock
RSA
您可以根據公司的原則使用不同的演算法。
金鑰存放區檔案的位置和名稱。
位置可包含檔案的絕對路徑。 或者,它可以與輸入keytool命令的命令提示符的當前目錄相對。
-
自訂身分金鑰存放區:
[
appserverdomain]
/adobe/
[伺服器名稱]/ads-ssl.jks
-
自定義信任密鑰庫:
[
appserverdomain]
/adobe/
[伺服器名稱]/ads-ca.jks
ads-ca.cer
3650
您可以根據公司的原則使用不同的值。
-
自訂身分金鑰存放區:金鑰存放區密碼必須與為管理控制台的信任存放區元件指定的SSL憑據密碼相對應。
-
自定義信任密鑰庫:使用與自訂身分金鑰存放區所用的相同密碼。
-storepass
選項。 密鑰密碼必須至少為6個字元。"CN=``[User name]``,OU=``[Group Name]``, O=``[Company Name]``, L=``[City Name]``, S=``[State or province]``, C=``[Country Code]``"
-
[User name]
是擁有金鑰存放區之使用者的身分識別。 -
[Group Name]
是金鑰存放區擁有者所屬之公司群組的識別碼。 -
[Company Name]
是貴組織的名稱。 -
[City Name]
是您的組織所在的城市。 -
[State or province]
是您的組織所在的州或省。 -
[Country Code]
是貴組織所在國家/地區的雙字母代碼。
有關使用keytool命令的詳細資訊,請參閱JDK文檔中的keytool.html檔案。
建立自訂身分和信任金鑰存放區 create-the-custom-identity-and-trust-keystores
-
從命令提示字元導覽至 [appserverdomain]/adobe/[伺服器名稱].
-
輸入以下命令:
[JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass store_password -keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name, L=City Name, S=State,C=Country Code
note note NOTE 取代 [JAVA_HOME]
使用安裝JDK的目錄,並將斜體文字取代為與您的環境相對應的值。例如:
code language-as3 C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91
名為「ads-credentials.jks」的自訂身分金鑰存放區檔案會建立在 [appserverdomain]/adobe/[伺服器名稱] 目錄。
-
輸入下列命令,從ads-credentials金鑰存放區中擷取憑證:
[JAVA_HOME]
/bin/keytool -export -v -alias ads-credentials
-file "ads-ca.cer" -keystore "ads-credentials.jks"
-storepass
*store*
*_ 密碼note note NOTE 取代 [JAVA_HOME]
使用安裝JDK的目錄,然後取代store
_password
使用自訂身分金鑰存放區的密碼。例如:
code language-as3 C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd
名為「ads-ca.cer」的憑證檔案會建立在 [appserverdomain]/adobe/[伺服器名稱] 目錄。
-
將ads-ca.cer檔案複製到需要與應用程式伺服器進行安全通信的任何主機。
-
輸入以下命令,將憑證插入新的金鑰存放區檔案(自訂信任金鑰存放區):
[JAVA_HOME]
/bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password -keypass key_password
note note NOTE 取代 [JAVA_HOME]
使用安裝JDK的目錄,然後取代store
_password
和key
_password
密碼。例如:
code language-as3 C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1
名為「ads-ca.jks」的自訂信任金鑰存放區檔案會建立在 [appserverdomain]/adobe/[伺服器] 目錄。
配置WebLogic,使其使用您建立的自訂身分金鑰存放區和自訂信任金鑰存放區。 另外,禁用WebLogic主機名驗證功能,因為用於建立密鑰庫檔案的可分辨名稱不包含承載WebLogic Server的電腦的名稱。
配置WebLogic以使用SSL configure-weblogic-to-use-ssl
-
輸入
https://
[主機名稱]:7001/console
在網頁瀏覽器的URL行中。 -
在「環境」下,在「域配置」中,選擇 伺服器> [伺服器] >設定>一般.
-
在「一般」下,在「配置」中,確保 已啟用偵聽埠 和 已啟用SSL偵聽埠 中所有規則的URL。 如果未啟用,請執行下列操作:
- 在「變更中心」(Change Center)下,按一下 鎖定和編輯 來修改選取範圍和值。
- 檢查 已啟用偵聽埠 和 已啟用SSL偵聽埠 框。
-
如果此伺服器是受管伺服器,請將偵聽埠更改為未使用的埠值(如8001),將SSL偵聽埠更改為未使用的埠值(如8002)。 在獨立伺服器上,預設SSL埠為7002。
-
按一下 發行設定.
-
在「環境」下,按一下「域配置」中的 伺服器> [托管伺服器] >設定>一般.
-
在「常規」下,在「配置」中,選擇 鑰匙庫.
-
在「變更中心」(Change Center)下,按一下 鎖定和編輯 來修改選取範圍和值。
-
按一下 變更 若要將金鑰存放區清單設為下拉式清單,請選取 自訂身分和自訂信任.
-
在「身分」下,指定下列值:
自訂身分金鑰存放區: [appserverdomain]/adobe/[伺服器名稱]/ads-credentials.jks,其中*[appserverdomain] *是實際路徑, [伺服器名稱] 是應用程式伺服器的名稱。
自訂身分金鑰存放區類型:JKS
自訂身份密鑰庫密碼: mypassword (自訂身分金鑰存放區密碼)
-
在「信任」下,指定以下值:
自定義信任密鑰庫檔案名:
*[appserverdomain]*/adobe/*[server]*/ads-ca.jks
,其中*[appserverdomain]*
是實際路徑自定義信任密鑰庫類型:JKS
自定義信任密鑰庫密碼片語: mypassword (自定義信任密鑰密碼)
-
在「常規」下,在「配置」中,選擇 SSL.
-
預設情況下,為身份和信任位置選擇密鑰庫。 否則,將其變更為金鑰存放區。
-
在「身分」下,指定下列值:
私鑰別名:ads-credentials
密碼短語: mypassword
-
按一下 發行設定.
禁用主機名驗證功能 disable-the-hostname-verification-feature
-
在「設定」標籤上,按一下「SSL」。
-
在「高級」下,從「主機名驗證」清單中選擇「無」。
如果未禁用主機名驗證,則公用名(CN)必須包含伺服器主機名。
-
在「更改中心」(Change Center)下,按一下「鎖定和編輯」(Lock & Edit)以修改選取範圍和值。
-
重新啟動應用程式伺服器。