Configuration de SSL pour serveur WebLogic

Pour configurer SSL sur WebLogic Server, vous avez besoin d’informations d’identification SSL à des fins d’authentification. Vous pouvez utiliser l’outil Java keytool pour effectuer les tâches suivantes visant à créer ces informations :

  • Créez une paire de clés publique/privée, conservez la clé publique dans un certificat autosigné X.509 v1 enregistré en tant que chaîne de certificats à un seul élément, puis enregistrez la chaîne de certificats et la clé privée dans un nouveau fichier de stockage des clés. Il s’agit du fichier de stockage de clés d’identité personnalisée du serveur d’applications.
  • Extrayez le certificat et insérez-le dans un nouveau fichier de stockage des clés. Il s’agit du fichier de stockage de clés d’approbation personnalisée du serveur d’applications.

Configurez ensuite WebLogic pour qu’il utilise les fichiers de stockage des clés d’identité et d’approbation personnalisées que vous avez créés. Désactivez également la fonction de vérification du nom d’hôte de WebLogic car le nom unique utilisé pour créer les fichiers de stockage de clés ne comprend pas le nom de l’ordinateur hébergeant WebLogic.

Création d’informations d’identification SSL pour WebLogic Server

La commande keytool se situe généralement dans le répertoire Java jre/bin et doit comprendre plusieurs options et valeurs d’option, répertoriées dans le tableau suivant.

Option de keytool

Description

Valeur de l’option

-alias

Alias du fichier de stockage des clés.

  • Fichier de stockage des clés d'identité personnalisée : ads-credentials

  • Fichier de stockage des clés d’approbation personnalisée : bedrock

-keyalg

Algorithme utilisé pour générer la paire de clés.

RSA

Vous pouvez utiliser un autre algorithme selon la stratégie de votre entreprise.

-keystore

Emplacement et nom du fichier de stockage de clés.

Cet emplacement peut contenir le chemin d’accès absolu du fichier. Il peut également s’agir du chemin d’accès relatif du répertoire courant de l’invite de commande dans laquelle la commande keytool a été saisie.

  • Custom Identity keystore: [appserverdomain]/adobe/[server name]/ads-ssl.jks

  • Custom Trust keystore: [appserverdomain]/adobe/[server name]/ads-ca.jks

-file

Emplacement et nom du fichier de certificat.

 ads-ca.cer

-validity

Nombre de jours pendant lesquels le certificat est considéré comme valide.

3650

Vous pouvez utiliser une autre valeur, selon la stratégie de votre entreprise.

-storepass

Mot de passe protégeant le contenu du fichier de stockage des clés.

  • Fichier de stockage des clés d’identité personnalisée : le mot de passe du fichier de stockage des clés doit correspondre au mot de passe des informations d’identification SSL spécifié pour le composant Trust Store d’Administration Console.

  • Fichier de stockage de clés d’approbation personnalisée : appliquez le mot de passe utilisé pour le fichier de stockage des clés d’identité personnalisé.

-keypass

Mot de passe protégeant la clé privée de la paire de clés.

Use the same password that you used for the -storepass option. Ce mot de passe de clé doit comprendre au moins 6 caractères.

-dname

Nom identifiant le propriétaire du fichier de stockage des clés.

"CN=[User name],OU=[Group Name], O=[Company Name], L=[City Name], S=[State or province], C=[Country Code]"

  • [User name] est l’identification de l’utilisateur propriétaire du fichier de stockage des clés.

  • [Group Name] est l'identification du groupe d'entreprise auquel appartient le propriétaire du fichier de stockage des clés.

  • [Company Name] est le nom de votre organisation.

  • [City Name] est la ville où se trouve votre organisation.

  • [State or province] est l’état ou la province où se trouve votre organisation.

  • [Country Code] est le code à deux lettres du pays où se trouve votre organisation.

Pour plus d’informations sur l’utilisation de la commande keytool, consultez le fichier keytool.html inclus dans la documentation de votre JDK.

Création de fichiers de stockage des clés d’identité et d’approbation personnalisées

  1. From a command prompt, navigate to [appserverdomain]/adobe/[server name].

  2. Saisissez la commande suivante :

    [JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass store_password -keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name, L=City Name, S=State,C=Country Code

    Remarque

    Replace [JAVA_HOME]with the directory where the JDK is installed, and replace the text in italic with values that correspond with your environment.

    Par exemple :

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91
    

    The Custom Identity keystore file named ‘‘ads-credentials.jks” is created in the [appserverdomain]/adobe/[server name] directory.

  3. Extrayez le certificat du fichier de stockage des clés ads-credentials en tapant la commande suivante :

    [JAVA_HOME]/bin/keytool -export -v -alias ads-credentials

    -file "ads-ca.cer" -keystore "ads-credentials.jks"

    -storepass *store**_​password

    Remarque

    Replace [JAVA_HOME] with the directory where the JDK is installed, and replace store_ password* with the password for the Custom Identity keystore.*

    Par exemple :

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd
    

    The certificate file named “ads-ca.cer” is created in the [appserverdomain]/adobe/[server name] directory.

  4. Copiez le fichier ads-ca.cer sur tous les ordinateurs hôtes devant établir des communications sécurisées avec le serveur d’applications.

  5. Insérez le certificat dans un nouveau fichier de stockage des clés (celui des clés d’approbation personnalisée) à l’aide de la commande suivante :

    [JAVA_HOME] /bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password -keypass key_password

    Remarque

    Replace [JAVA_HOME] with the directory where the JDK is installed, and replace store_ password and key_ password with your own passwords.

    Par exemple :

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1
    

The Custom Trust keystore file named ‘‘ads-ca.jks’’ is created in the [appserverdomain]/adobe/[server] directory.

Configurez WebLogic pour qu’il utilise les fichiers de stockage des clés d’identité et d’approbation personnalisées que vous avez créés. Désactivez également la fonction de vérification du nom d’hôte de WebLogic car le nom unique utilisé pour créer les fichiers de stockage de clés ne comprend pas le nom de l’ordinateur hébergeant WebLogic Server.

Configuration de WebLogic pour l’utilisation de SSL

  1. Start the WebLogic Server administration console by typing https://[host name ]:7001/consolein the URL line of a web browser.

  2. Under Environment, in Domain Configurations, select Servers >[server]> Configuration > General.

  3. Sous General, dans Configuration, assurez-vous que les options Listen Port Enabled et SSL Listen Port Enabled sont sélectionnées. Si elles ne sont pas activées, effectuez les opérations suivantes :

    1. Sous Change Center, cliquez sur Lock & Edit pour modifier les sélections et leurs valeurs.
    2. Sélectionnez les cases à cocher Listen Port Enabled et SSL Listen Port Enabled.
  4. Si le serveur est un serveur géré, indiquez un numéro de port non utilisé dans les champs Listen Port et SSL Listen Port (par exemple, 8001 et 8002). Sur un serveur autonome, le port SSL par défaut est 7002.

  5. Cliquez sur Release Configuration.

  6. Under Environment, in Domain Configurations, click Servers >[Managed Server]> Configuration > General.

  7. Sous General, dans Configuration, sélectionnez Keystores.

  8. Sous Change Center, cliquez sur Lock & Edit pour modifier les sélections et leurs valeurs.

  9. Cliquez sur Change pour afficher la liste des fichiers de stockage des clés sous forme de liste déroulante et sélectionnez Custom Identity And Custom Trust.

  10. Sous Identity, spécifiez les valeurs suivantes :

    Custom Identity Keystore: [domaine] du serveur d’applications/adobe/nom [de] serveur /ads-credentials.jks, où *domaine[du serveur d’applications *correspond au chemin d’accès réel et au nom] du [] serveur correspond au nom du serveur d’applications.

    Custom Identity Keystore Type : JKS

    Custom Identity Keystore Passphrase : mon_mot_de_passe (mot de passe du fichier de stockage des clés d’identité personnalisée)

  11. Sous Trust, spécifiez les valeurs suivantes :

    Nom du fichier de stockage de clés d'approbation personnalisée : *[appserverdomain]*/adobe/*[server]*/ads-ca.jks, où *[appserverdomain]* est le chemin d’accès réel

    Custom Trust Keystore Type : JKS

    Custom Trust Keystore Pass Phrase : mon_mot_de_passe (mot de passe de la clé d’approbation personnalisée)

  12. Sous General, dans Configuration, sélectionnez SSL.

  13. Par défaut, Keystore est sélectionné pour Identity et Trust Locations. Si ce n’est pas le cas, remplacez la valeur.

  14. Sous Identity, spécifiez les valeurs suivantes :

    Private Key Alias : ads-credentials

    Passphrase : mon_mot_de_passe

  15. Cliquez sur Release Configuration.

Désactivation de la fonction de vérification du nom d’hôte

  1. Dans l’onglet Configuration, cliquez sur SSL.

  2. Sous Advanced, sélectionnez None dans la liste Hostname Verification.

    Si la fonction de vérification du nom d’hôte n’est pas activée, le champ Common Name (CN) doit contenir le nom d’hôte du serveur.

  3. Sous Change Center, cliquez sur Lock & Edit pour modifier les sélections et leurs valeurs.

  4. Redémarrez le serveur d’applications.

Sur cette page