SSL für WebLogic Server konfigurieren

Zum Konfigurieren von SSL unter WebLogic Server benötigen Sie eine SSL-Berechtigung für die Authentifizierung. Sie können das Java-Keytool zum Ausführen der folgenden Aufgaben zum Erstellen einer Berechtigung verwenden:

  • Erstellen Sie ein Schlüsselpaar (öffentlich/privat) und fügen Sie den öffentlichen Schlüssel in ein selbst signiertes Zertifikat des Typs X.509 v1 ein, das als eingliedrige Zertifikatskette gespeichert wird. Speichern Sie die Zertifikatskette und den privaten Schlüssel in einem neuen Keystore. Bei diesem Keystore handelt es sich um den benutzerdefinierten Identitäts-Keystore des Anwendungsservers.
  • Extrahieren Sie das Zertifikat und fügen Sie es in einen neuen Keystore ein. Bei diesem Keystore handelt es sich um den benutzerdefinierten Trust-Keystore des Anwendungsservers.

Konfigurieren Sie WebLogic anschließend so, dass Ihr benutzerdefinierter Identitäts-Keystore und Ihr benutzerdefinierter Trust-Keystore verwendet werden. Deaktivieren Sie außerdem die Überprüfungsfunktion des Hostnamens in WebLogic, da der Name des Computers, der als Host für WebLogic dient, nicht in dem eindeutigen Namen enthalten ist, mit dem die Keystore-Dateien erstellt wurden.

SSL-Berechtigung für die Verwendung unter WebLogic Server erstellen

Der Keytool-Befehl befindet sich in der Regel im Java-Ordner „jre/bin“ und muss mehrere Optionen und Optionswerte enthalten, die in der folgenden Tabelle aufgeführt sind.

Keytool-Option

Beschreibung

Optionswert

-alias

Der Alias des Keystore.

  • Benutzerdefinierter Identitäts-Keystore: ads-credentials

  • Benutzerdefinierter Trust-Keystore: bedrock

-keyalg

Der zum Erstellen des Schlüsselpaars zu verwendende Algorithmus.

RSA

Sie können abhängig von den firmeninternen Richtlinien einen anderen Algorithmus verwenden.

-keystore

Der Speicherort und der Name der Keystore-Datei.

Der Speicherort kann den absoluten Pfad der Datei enthalten. Er kann auch relativ zum aktuellen Ordner der Eingabeaufforderung angegeben werden, an der der Keytool-Befehl eingegeben wird.

  • Benutzerdefinierter Identitäts-Keystore: [appserverdomain]/adobe/[Servername]/ads-ssl.jks

  • Benutzerdefinierter Trust-Keystore: [appserverdomain]/adobe/[Servername]/ads-ca.jks

-file

Der Speicherort und der Name der Zertifikatdatei.

  ads-ca.cer

-validity

Die Gültigkeitsdauer des Zertifikats (in Tagen).

3650

Sie können abhängig von den firmeninternen Richtlinien einen anderen Wert verwenden.

-storepass

Das Kennwort, das den Keystore-Inhalt schützt.

  • Benutzerdefinierter Identitäts-Keystore: Das Keystore-Kennwort muss mit dem SSL-Berechtigungskennwort übereinstimmen, das für die Trust Store-Komponente von Administration Console festgelegt wurde.

  • Benutzerdefinierter Trust-Keystore: Verwenden Sie dasselbe Kennwort wie für den benutzerdefinierten Identitäts-Keystore.

-keypass

Das Kennwort, das den privaten Schlüssel des Schlüsselpaars schützt.

Verwenden Sie dasselbe Kennwort wie für die Option -storepass . Das Schlüsselkennwort muss mindestens sechs Zeichen aufweisen.

-dname

Der Distinguished Name, der den Eigentümer des Keystore kennzeichnet.

"CN=[User name],OU=[Group Name], O=[Company Name], L=[City Name], S=[State or province], C=[Country Code]"

  • [User name] ist die Kennung des Benutzers, dem der Keystore gehört.

  • [Group Name] ist die Kennung der Unternehmensgruppe, zu der der Keystore-Eigentümer gehört.

  • [Company Name] ist der Name Ihres Unternehmens.

  • [City Name] ist die Stadt, in der Ihr Unternehmen seinen Sitz hat.

  • [State or province] ist das Bundesland oder die Provinz, in dem Ihr Unternehmen seinen Sitz hat.

  • [Country Code] ist der aus zwei Buchstaben bestehende Code für das Land, in dem sich Ihr Unternehmen befindet.

Weitere Informationen zum Verwenden des Keytool-Befehls finden Sie in der Datei „keytool.html“, die sich in der JDK-Dokumentation befindet.

Benutzerdefinierte Identitäts- und Trust-Keystores erstellen

  1. Navigieren Sie an einer Eingabeaufforderung zu [appserverdomain]/adobe/[Servername].

  2. Geben Sie den folgenden Befehl ein:

    [JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass store_password -keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name, L=City Name, S=State,C=Country Code

    HINWEIS

    Ersetzen Sie [JAVA_HOME]durch den Ordner, in dem das JDK installiert ist, und ersetzen Sie kursiv den Text durch die Werte, die Ihrer Umgebung entsprechen.

    Beispiel:

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91

    Die Custom Identity Keystore-Datei mit dem Namen "ads-credentials.jks"wird im Verzeichnis [appserverdomain]/adobe/[Servername] erstellt.

  3. Extrahieren Sie das Zertifikat aus dem Keystore „ads-credentials“, indem Sie den folgenden Befehl eingeben:

    [JAVA_HOME]/bin/keytool -export -v -alias ads-credentials

    -file "ads-ca.cer" -keystore "ads-credentials.jks"

    -storepass *store**_​password

    HINWEIS

    Ersetzen Sie [JAVA_HOME] durch den Ordner, in dem das JDK installiert ist, und ersetzen Sie store_ password* durch das Kennwort für den benutzerdefinierten Identitäts-Keystore.*

    Beispiel:

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd

    Die Zertifikatdatei "ads-ca.cer"wird im Verzeichnis [appserverdomain]/adobe/[Servername] erstellt.

  4. Kopieren Sie die Datei „ads-ca.cer“ auf alle Hostcomputer, für die eine sichere Kommunikation mit dem Anwendungsserver erforderlich ist.

  5. Fügen Sie das Zertifikat mit dem folgenden Befehl in eine neue Keystore-Datei ein (d. h. in den benutzerdefinierten Trust-Keystore):

    [JAVA_HOME] /bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password -keypass key_password

    HINWEIS

    Ersetzen Sie [JAVA_HOME] durch den Ordner, in dem das JDK installiert ist, und ersetzen Sie store_ password und key_ password durch Ihre eigenen Kennwörter.

    Beispiel:

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1

Die Custom Trust-Keystore-Datei mit dem Namen "ads-ca.jks"wird im Verzeichnis [appserverdomain]/adobe/[server] erstellt.

Konfigurieren Sie WebLogic so, dass Ihr benutzerdefinierter Identitäts-Keystore und Ihr benutzerdefinierter Trust-Keystore verwendet werden. Deaktivieren Sie außerdem die Überprüfungsfunktion des Hostnamens in WebLogic, da der Name des Computers, der als Host für WebLogic Server dient, nicht in dem eindeutigen Namen enthalten ist, mit dem die Keystore-Dateien erstellt wurden.

WebLogic zur Verwendung mit SSL konfigurieren

  1. Starten Sie WebLogic Server Administration Console, indem Sie in die Adresszeile eines Webbrowsers https://[Hostname ]:7001/console eingeben.

  2. Wählen Sie unter "Environment"in Domain Configurations Servers > [server] > Configuration > General.

  3. Vergewissern Sie sich, dass unter „General“ im Bereich „Configuration“die Optionen Listen Port Enabled und SSL Listen Port Enabled ausgewählt sind. Ist es nicht aktiviert, führen Sie folgende Schritte aus:

    1. Klicken Sie im Change Center auf Lock & Edit, um Auswahlen und Werte zu ändern.
    2. Vergewissern Sie sich, dass die Kontrollkästchen Listen Port Enabled und SSL Listen Port Enabled aktiviert sind.

  4. Wenn es sich hierbei um einen Managed Server handelt, ändern Sie den Wert für „Listen Port“ in einen nicht verwendeten Anschlusswert (z. B. 8001) und „SSL Listen Port“ in einen nicht verwendeten Anschlusswert (z. B. 8002). Bei einem eigenständigen Server ist der standardmäßige SSL-Anschluss 7002.

  5. Klicken Sie auf Release Configuration.

  6. Klicken Sie unter "Environment"in Domain Configurations auf Servers > [Managed Server] > Configuration > General.

  7. Wählen Sie in den Konfigurationen unter „General“ Keystores.

  8. Klicken Sie im Change Center auf Lock & Edit, um Auswahlen und Werte zu ändern.

  9. Klicken Sie auf Change, um eine Keystore-Liste als Dropdown-Liste anzuzeigen und wählen Sie Custom Identity And Custom Trust.

  10. Geben Sie unter „Identity“ die folgenden Werte an:

    Custom Identity Keystore: [appserverdomain]/adobe/[server name]/ads-credentials.jks, wobei *[appserverdomain] *der tatsächliche Pfad und der [Server-] Name der Name des Anwendungsservers ist.

    Custom Identity Keystore Type: JKS

    Custom Identity Keystore Passphrase: mypassword (Custom Identity Keystore Password)

  11. Geben Sie unter „Trust“ die folgenden Werte an:

    Custom Trust Keystore File Name: *[appserverdomain]*/adobe/*[server]*/ads-ca.jks, wobei *[appserverdomain]* der tatsächliche Pfad ist

    Custom Trust Keystore Type: JKS

    Custom Trust Keystore Pass Phrase: mypassword (Custom Trust Key Password)

  12. Wählen Sie unter „General“ im Bereich „Configuration“ den Eintrag SSL aus.

  13. Standardmäßig wird für Identity and Trust Locations „Keystore“ ausgewählt. Wenn nicht, ändern Sie es auf Keystore.

  14. Geben Sie unter „Identity“ die folgenden Werte an:

    Private Key Alias: ads-credentials

    Passphrase: mypassword

  15. Klicken Sie auf Release Configuration.

Überprüfungsfunktion des Hostnamens deaktivieren

  1. Klicken Sie auf der Registerkarte „Configuration“ auf „SSL“.

  2. Wählen Sie unter „Advanced“ in der Liste „Hostname Verification“ den Eintrag „None“.

    Wenn die Überprüfung des Hostnamens nicht deaktiviert wird, muss unter „Common Name (CN)“ der Hostname des Servers angegeben werden.

  3. Klicken Sie unter „Change Center“ auf „Lock & Edit“, um Auswahlen und Werte zu ändern.

  4. Starten Sie den Anwendungsserver neu.

Auf dieser Seite