Konfigurieren von SSL für WebLogic Server configuring-ssl-for-weblogic-server

CAUTION
AEM 6.4 hat das Ende der erweiterten Unterstützung erreicht und diese Dokumentation wird nicht mehr aktualisiert. Weitere Informationen finden Sie in unserer technische Unterstützung. Unterstützte Versionen suchen here.

Zum Konfigurieren von SSL auf WebLogic Server benötigen Sie eine SSL-Berechtigung für die Authentifizierung. Sie können das Java-Keytool verwenden, um die folgenden Aufgaben zum Erstellen einer Berechtigung auszuführen:

  • Erstellen Sie ein Schlüsselpaar aus öffentlichem/privatem Schlüssel, schließen Sie den öffentlichen Schlüssel in ein selbst signiertes Zertifikat aus X.509 v1 ein, das als Zertifikatskette mit einem einzelnen Element gespeichert wird, und speichern Sie dann die Zertifikatskette und den privaten Schlüssel in einem neuen Keystore. Dieser Keystore ist der benutzerdefinierte Identitäts-Keystore des Anwendungsservers.
  • Extrahieren Sie das Zertifikat und fügen Sie es in einen neuen Keystore ein. Dieser Keystore ist der benutzerdefinierte Trust-Keystore des Anwendungsservers.

Konfigurieren Sie dann WebLogic so, dass der von Ihnen erstellte benutzerdefinierte Identitäts-Keystore und der benutzerdefinierte Trust-Keystore verwendet werden. Deaktivieren Sie außerdem die Überprüfungsfunktion für Hostnamen in WebLogic, da der Distinguished Name zum Erstellen der Keystore-Dateien nicht den Namen des Computers enthält, der als Host für WebLogic dient.

SSL-Berechtigung zur Verwendung auf WebLogic Server erstellen creating-an-ssl-credential-for-use-on-weblogic-server

Der Keytool-Befehl befindet sich normalerweise im Ordner "Java jre/bin"und muss mehrere Optionen und Optionswerte enthalten, die in der folgenden Tabelle aufgeführt sind.

Keytool-Option
Beschreibung
Optionswert
-alias
Der Alias des Keystore.
  • Benutzerdefinierter Identitäts-Keystore: ads-credentials

  • Benutzerdefinierter Trust-Keystore: bedrock

-keyalg
Der Algorithmus zum Generieren des Schlüsselpaars.

RSA

Je nach Richtlinie Ihres Unternehmens können Sie einen anderen Algorithmus verwenden.

-keystore

Speicherort und Name der Keystore-Datei.

Der Speicherort kann den absoluten Pfad der Datei enthalten. Oder sie kann relativ zum aktuellen Verzeichnis der Eingabeaufforderung sein, an der der Keytool-Befehl eingegeben wird.

  • Benutzerdefinierter Identitäts-Keystore: [appserverdomain]/adobe/[Server-Name]/ads-ssl.jks

  • Benutzerdefinierter Trust-Keystore: [appserverdomain]/adobe/[Server-Name]/ads-ca.jks

-file
Speicherort und Name der Zertifikatdatei.
 ads-ca.cer
-validity
Die Anzahl der Tage, in denen das Zertifikat als gültig betrachtet wird.

3650

Sie können je nach Richtlinie Ihres Unternehmens einen anderen Wert verwenden.

-storepass
Das Kennwort, das den Inhalt des Keystore schützt.
  • Benutzerdefinierter Identitäts-Keystore: Das Keystore-Kennwort muss mit dem SSL-Berechtigungskennwort übereinstimmen, das für die Trust Store-Komponente in Administration Console angegeben wurde.

  • Benutzerdefinierter Trust-Keystore: Verwenden Sie dasselbe Kennwort wie für den benutzerdefinierten Identitäts-Keystore.

-keypass
Das Kennwort, das den privaten Schlüssel des Schlüsselpaars schützt.
Verwenden Sie das gleiche Kennwort wie für die Option -storepass. Das Schlüsselkennwort muss mindestens sechs Zeichen lang sein.
-dname
Der Distinguished Name, der die Person identifiziert, der der Keystore gehört.

"CN=``[User name]``,OU=``[Group Name]``, O=``[Company Name]``, L=``[City Name]``, S=``[State or province]``, C=``[Country Code]``"

  • [User name] ist die Kennung des Benutzers, dem der Keystore gehört.

  • [Group Name] ist die Kennung der Unternehmensgruppe, der der Keystore-Besitzer angehört.

  • [Company Name] ist der Name Ihres Unternehmens.

  • [City Name] ist der Ort, an dem Ihr Unternehmen seinen Sitz hat.

  • [State or province] ist das Bundesland, in dem Ihr Unternehmen seinen Sitz hat.

  • [Country Code] ist der aus zwei Buchstaben bestehende Code für das Land, in dem Ihr Unternehmen seinen Sitz hat.

Weitere Informationen zur Verwendung des Keytool-Befehls finden Sie in der Datei "keytool.html", die Teil Ihrer JDK-Dokumentation ist.

Erstellen von benutzerdefinierten Identitäts- und Trust-Keystores create-the-custom-identity-and-trust-keystores

  1. Navigieren Sie in einer Eingabeaufforderung zu [appserverdomain]/adobe/[Server-Name].

  2. Geben Sie den folgenden Befehl ein:

    [JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass store_password -keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name, L=City Name, S=State,C=Country Code

    note note
    NOTE
    Ersetzen Sie [JAVA_HOME] durch das Verzeichnis, in dem das JDK installiert ist, und ersetzen Sie den kursiv gedruckten Text durch Werte, die Ihrer Umgebung entsprechen.

    Beispiel:

    code language-as3
    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91
    

    Die benutzerdefinierte Identitäts-Keystore-Datei „ads-credentials.jks“ wird im Verzeichnis [appserverdomain]/adobe/[Server-Name] erstellt.

  3. Extrahieren Sie das Zertifikat aus dem Keystore „ads-credentials“, indem Sie den folgenden Befehl eingeben:

    [JAVA_HOME]/bin/keytool -export -v -alias ads-credentials

    -file "ads-ca.cer" -keystore "ads-credentials.jks"

    -storepass *store**_​ Passwort

    note note
    NOTE
    Ersetzen Sie [JAVA_HOME] durch das Verzeichnis, in dem das JDK installiert ist, und ersetzen Sie store_ password* durch das Kennwort für den benutzerdefinierten Identitäts-Keystore.*

    Beispiel:

    code language-as3
    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd
    

    Die Zertifikatsdatei mit dem Namen „ads-ca.cer“ wird im Verzeichnis [appserverdomain]/adobe/[Server-Name] erstellt.

  4. Kopieren Sie die Datei "ads-ca.cer"auf alle Hostcomputer, die sichere Kommunikation mit dem Anwendungsserver benötigen.

  5. Fügen Sie das Zertifikat in eine neue Keystore-Datei (den benutzerdefinierten Trust-Keystore) ein, indem Sie den folgenden Befehl eingeben:

    [JAVA_HOME] /bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password -keypass key_password

    note note
    NOTE
    Ersetzen Sie [JAVA_HOME] durch das Verzeichnis, in dem das JDK installiert ist, und ersetzen Sie store_ password und key_ password durch Ihre eigenen Passwörter.

    Beispiel:

    code language-as3
    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1
    

Die Custom Trust-Keystore-Datei mit dem Namen "ads-ca.jks"wird im [appserverdomain]/adobe/[server] Verzeichnis.

Konfigurieren Sie WebLogic so, dass es den von Ihnen erstellten benutzerdefinierten Identitäts-Keystore und benutzerdefinierten Trust-Keystore verwendet. Deaktivieren Sie außerdem die Überprüfungsfunktion für Hostnamen in WebLogic, da der Distinguished Name zum Erstellen der Keystore-Dateien nicht den Namen des Computers enthält, der als Host für WebLogic Server dient.

WebLogic für die Verwendung von SSL konfigurieren configure-weblogic-to-use-ssl

  1. Starten Sie die WebLogic Server-Administrationskonsole, indem Sie https://[Host-Name ]:7001/console in die URL-Zeile eines Webbrowsers eingeben.

  2. Wählen Sie unter "Umgebung"unter "Domain Configurations"die Option Server > [server] > Konfiguration > Allgemein.

  3. Stellen Sie unter "Allgemein"in "Konfiguration"sicher, dass Listen Port Enabled und SSL Listen Port aktiviert ausgewählt sind. Wenn diese Option nicht aktiviert ist, gehen Sie wie folgt vor:

    1. Klicken Sie im Change Center auf Sperren und bearbeiten, um Auswahlen und Werte zu ändern.
    2. Überprüfen Sie die Listen Port Enabled und SSL Listen Port aktiviert aktivieren.
  4. Wenn es sich bei diesem Server um einen verwalteten Server handelt, ändern Sie Listen Port in einen nicht verwendeten Anschlusswert (z. B. 8001) und SSL Listen Port in einen nicht verwendeten Anschlusswert (z. B. 8002). Auf einem eigenständigen Server ist der standardmäßige SSL-Anschluss 7002.

  5. Klicken Versionskonfiguration.

  6. Klicken Sie unter „Umgebung“ in „Domain-Konfigurationen“ auf Server > [Managed Server] > Konfiguration > Allgemein.

  7. Wählen Sie in den Konfigurationen unter „Allgemein“ die Option Keystores.

  8. Klicken Sie im Change Center auf Sperren und bearbeiten, um Auswahlen und Werte zu ändern.

  9. Klicken Änderung , um die Keystore-Liste als Dropdown-Liste abzurufen, und wählen Sie Benutzerdefinierte Identität und benutzerdefinierter Vertrauen.

  10. Geben Sie unter Identität die folgenden Werte an:

    Bennitzerdefinierter Identitäts-Keystore: [appserverdomain]/adobe/[Server-Nname]/ads-credentials.jks, wobei *[appserverdomain] *der aktuelle Pfad und [Server-Name] der Name des Anwendungs-Servers ist.

    Art des benutzerdefinierten Identitäts-Keystores: JKS

    Custom Identity Keystore Passphrase: mypassword (Custom Identity Keystore Password)

  11. Geben Sie unter "Trust"die folgenden Werte an:

    Benutzerdefinierter Trust-Keystore-Dateiname: *[appserverdomain]*/adobe/*[server]*/ads-ca.jks, wobei *[appserverdomain]* der tatsächliche Pfad ist

    Art des benutzerdefinierten Trust-Keystores: JKS

    Custom Trust Keystore Pass Phrase: mypassword (Custom Trust Key Password)

  12. Wählen Sie unter "Allgemein"unter "Konfiguration"die Option SSL.

  13. Standardmäßig ist Keystore für Identity and Trust Locations ausgewählt. Wenn nicht, ändern Sie es in Keystore.

  14. Geben Sie unter Identität die folgenden Werte an:

    Alias für privaten Schlüssel: ads-credentials

    Passphrase: mypassword

  15. Klicken Versionskonfiguration.

Überprüfungsfunktion für Hostnamen deaktivieren disable-the-hostname-verification-feature

  1. Klicken Sie auf der Registerkarte Configuration auf SSL.

  2. Wählen Sie unter "Erweitert"in der Liste "Überprüfung des Hostnamens"die Option Keine aus.

    Wenn die Überprüfung des Hostnamens nicht deaktiviert ist, muss der allgemeine Name (CN) den Hostnamen des Servers enthalten.

  3. Klicken Sie unter "Change Center"auf Lock & Edit , um Auswahlen und Werte zu ändern.

  4. Starten Sie den Anwendungs-Server neu.

recommendation-more-help
a6ebf046-2b8b-4543-bd46-42a0d77792da