Konfigurieren von SSL für WebLogic Server configuring-ssl-for-weblogic-server
Zum Konfigurieren von SSL auf WebLogic Server benötigen Sie eine SSL-Berechtigung für die Authentifizierung. Sie können das Java-Keytool verwenden, um die folgenden Aufgaben zum Erstellen einer Berechtigung auszuführen:
- Erstellen Sie ein Schlüsselpaar aus öffentlichem/privatem Schlüssel, schließen Sie den öffentlichen Schlüssel in ein selbst signiertes Zertifikat aus X.509 v1 ein, das als Zertifikatskette mit einem einzelnen Element gespeichert wird, und speichern Sie dann die Zertifikatskette und den privaten Schlüssel in einem neuen Keystore. Dieser Keystore ist der benutzerdefinierte Identitäts-Keystore des Anwendungsservers.
- Extrahieren Sie das Zertifikat und fügen Sie es in einen neuen Keystore ein. Dieser Keystore ist der benutzerdefinierte Trust-Keystore des Anwendungsservers.
Konfigurieren Sie dann WebLogic so, dass der von Ihnen erstellte benutzerdefinierte Identitäts-Keystore und der benutzerdefinierte Trust-Keystore verwendet werden. Deaktivieren Sie außerdem die Überprüfungsfunktion für Hostnamen in WebLogic, da der Distinguished Name zum Erstellen der Keystore-Dateien nicht den Namen des Computers enthält, der als Host für WebLogic dient.
SSL-Berechtigung zur Verwendung auf WebLogic Server erstellen creating-an-ssl-credential-for-use-on-weblogic-server
Der Keytool-Befehl befindet sich normalerweise im Ordner "Java jre/bin"und muss mehrere Optionen und Optionswerte enthalten, die in der folgenden Tabelle aufgeführt sind.
-
Benutzerdefinierter Identitäts-Keystore:
ads-credentials
-
Benutzerdefinierter Trust-Keystore:
bedrock
RSA
Je nach Richtlinie Ihres Unternehmens können Sie einen anderen Algorithmus verwenden.
Speicherort und Name der Keystore-Datei.
Der Speicherort kann den absoluten Pfad der Datei enthalten. Oder sie kann relativ zum aktuellen Verzeichnis der Eingabeaufforderung sein, an der der Keytool-Befehl eingegeben wird.
-
Benutzerdefinierter Identitäts-Keystore:
[
appserverdomain]
/adobe/
[Server-Name]/ads-ssl.jks
-
Benutzerdefinierter Trust-Keystore:
[
appserverdomain]
/adobe/
[Server-Name]/ads-ca.jks
ads-ca.cer
3650
Sie können je nach Richtlinie Ihres Unternehmens einen anderen Wert verwenden.
-
Benutzerdefinierter Identitäts-Keystore: Das Keystore-Kennwort muss mit dem SSL-Berechtigungskennwort übereinstimmen, das für die Trust Store-Komponente in Administration Console angegeben wurde.
-
Benutzerdefinierter Trust-Keystore: Verwenden Sie dasselbe Kennwort wie für den benutzerdefinierten Identitäts-Keystore.
-storepass
. Das Schlüsselkennwort muss mindestens sechs Zeichen lang sein."CN=``[User name]``,OU=``[Group Name]``, O=``[Company Name]``, L=``[City Name]``, S=``[State or province]``, C=``[Country Code]``"
-
[User name]
ist die Kennung des Benutzers, dem der Keystore gehört. -
[Group Name]
ist die Kennung der Unternehmensgruppe, der der Keystore-Besitzer angehört. -
[Company Name]
ist der Name Ihres Unternehmens. -
[City Name]
ist der Ort, an dem Ihr Unternehmen seinen Sitz hat. -
[State or province]
ist das Bundesland, in dem Ihr Unternehmen seinen Sitz hat. -
[Country Code]
ist der aus zwei Buchstaben bestehende Code für das Land, in dem Ihr Unternehmen seinen Sitz hat.
Weitere Informationen zur Verwendung des Keytool-Befehls finden Sie in der Datei "keytool.html", die Teil Ihrer JDK-Dokumentation ist.
Erstellen von benutzerdefinierten Identitäts- und Trust-Keystores create-the-custom-identity-and-trust-keystores
-
Navigieren Sie in einer Eingabeaufforderung zu [appserverdomain]/adobe/[Server-Name].
-
Geben Sie den folgenden Befehl ein:
[JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass store_password -keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name, L=City Name, S=State,C=Country Code
note note NOTE Ersetzen Sie [JAVA_HOME]
durch das Verzeichnis, in dem das JDK installiert ist, und ersetzen Sie den kursiv gedruckten Text durch Werte, die Ihrer Umgebung entsprechen.Beispiel:
code language-as3 C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91
Die benutzerdefinierte Identitäts-Keystore-Datei „ads-credentials.jks“ wird im Verzeichnis [appserverdomain]/adobe/[Server-Name] erstellt.
-
Extrahieren Sie das Zertifikat aus dem Keystore „ads-credentials“, indem Sie den folgenden Befehl eingeben:
[JAVA_HOME]
/bin/keytool -export -v -alias ads-credentials
-file "ads-ca.cer" -keystore "ads-credentials.jks"
-storepass
*store*
*_ Passwortnote note NOTE Ersetzen Sie [JAVA_HOME]
durch das Verzeichnis, in dem das JDK installiert ist, und ersetzen Siestore
_password
* durch das Kennwort für den benutzerdefinierten Identitäts-Keystore.*Beispiel:
code language-as3 C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd
Die Zertifikatsdatei mit dem Namen „ads-ca.cer“ wird im Verzeichnis [appserverdomain]/adobe/[Server-Name] erstellt.
-
Kopieren Sie die Datei "ads-ca.cer"auf alle Hostcomputer, die sichere Kommunikation mit dem Anwendungsserver benötigen.
-
Fügen Sie das Zertifikat in eine neue Keystore-Datei (den benutzerdefinierten Trust-Keystore) ein, indem Sie den folgenden Befehl eingeben:
[JAVA_HOME]
/bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password -keypass key_password
note note NOTE Ersetzen Sie [JAVA_HOME]
durch das Verzeichnis, in dem das JDK installiert ist, und ersetzen Siestore
_password
undkey
_password
durch Ihre eigenen Passwörter.Beispiel:
code language-as3 C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1
Die Custom Trust-Keystore-Datei mit dem Namen "ads-ca.jks"wird im [appserverdomain]/adobe/[server] Verzeichnis.
Konfigurieren Sie WebLogic so, dass es den von Ihnen erstellten benutzerdefinierten Identitäts-Keystore und benutzerdefinierten Trust-Keystore verwendet. Deaktivieren Sie außerdem die Überprüfungsfunktion für Hostnamen in WebLogic, da der Distinguished Name zum Erstellen der Keystore-Dateien nicht den Namen des Computers enthält, der als Host für WebLogic Server dient.
WebLogic für die Verwendung von SSL konfigurieren configure-weblogic-to-use-ssl
-
Starten Sie die WebLogic Server-Administrationskonsole, indem Sie
https://
[Host-Name ]:7001/console
in die URL-Zeile eines Webbrowsers eingeben. -
Wählen Sie unter "Umgebung"unter "Domain Configurations"die Option Server > [server] > Konfiguration > Allgemein.
-
Stellen Sie unter "Allgemein"in "Konfiguration"sicher, dass Listen Port Enabled und SSL Listen Port aktiviert ausgewählt sind. Wenn diese Option nicht aktiviert ist, gehen Sie wie folgt vor:
- Klicken Sie im Change Center auf Sperren und bearbeiten, um Auswahlen und Werte zu ändern.
- Überprüfen Sie die Listen Port Enabled und SSL Listen Port aktiviert aktivieren.
-
Wenn es sich bei diesem Server um einen verwalteten Server handelt, ändern Sie Listen Port in einen nicht verwendeten Anschlusswert (z. B. 8001) und SSL Listen Port in einen nicht verwendeten Anschlusswert (z. B. 8002). Auf einem eigenständigen Server ist der standardmäßige SSL-Anschluss 7002.
-
Klicken Versionskonfiguration.
-
Klicken Sie unter „Umgebung“ in „Domain-Konfigurationen“ auf Server > [Managed Server] > Konfiguration > Allgemein.
-
Wählen Sie in den Konfigurationen unter „Allgemein“ die Option Keystores.
-
Klicken Sie im Change Center auf Sperren und bearbeiten, um Auswahlen und Werte zu ändern.
-
Klicken Änderung , um die Keystore-Liste als Dropdown-Liste abzurufen, und wählen Sie Benutzerdefinierte Identität und benutzerdefinierter Vertrauen.
-
Geben Sie unter Identität die folgenden Werte an:
Bennitzerdefinierter Identitäts-Keystore: [appserverdomain]/adobe/[Server-Nname]/ads-credentials.jks, wobei *[appserverdomain] *der aktuelle Pfad und [Server-Name] der Name des Anwendungs-Servers ist.
Art des benutzerdefinierten Identitäts-Keystores: JKS
Custom Identity Keystore Passphrase: mypassword (Custom Identity Keystore Password)
-
Geben Sie unter "Trust"die folgenden Werte an:
Benutzerdefinierter Trust-Keystore-Dateiname:
*[appserverdomain]*/adobe/*[server]*/ads-ca.jks
, wobei*[appserverdomain]*
der tatsächliche Pfad istArt des benutzerdefinierten Trust-Keystores: JKS
Custom Trust Keystore Pass Phrase: mypassword (Custom Trust Key Password)
-
Wählen Sie unter "Allgemein"unter "Konfiguration"die Option SSL.
-
Standardmäßig ist Keystore für Identity and Trust Locations ausgewählt. Wenn nicht, ändern Sie es in Keystore.
-
Geben Sie unter Identität die folgenden Werte an:
Alias für privaten Schlüssel: ads-credentials
Passphrase: mypassword
-
Klicken Versionskonfiguration.
Überprüfungsfunktion für Hostnamen deaktivieren disable-the-hostname-verification-feature
-
Klicken Sie auf der Registerkarte Configuration auf SSL.
-
Wählen Sie unter "Erweitert"in der Liste "Überprüfung des Hostnamens"die Option Keine aus.
Wenn die Überprüfung des Hostnamens nicht deaktiviert ist, muss der allgemeine Name (CN) den Hostnamen des Servers enthalten.
-
Klicken Sie unter "Change Center"auf Lock & Edit , um Auswahlen und Werte zu ändern.
-
Starten Sie den Anwendungs-Server neu.