为WebLogic服务器配置SSL

要在WebLogic服务器上配置SSL,您需要SSL凭据进行身份验证。 您可以使用Java密钥工具执行以下任务来创建凭据:

  • 创建公钥/私钥对,将公钥包含在作为单元素证书链存储的X.509 v1自签名证书中,然后将证书链和私钥存储在新密钥库中。 此密钥库是应用程序服务器的自定义标识密钥库。
  • 提取证书并将其插入新密钥库。 此密钥库是应用程序服务器的自定义信任密钥库。

然后,配置WebLogic,使其使用您创建的自定义标识密钥库和自定义信任密钥库。 另外,禁用WebLogic主机名验证功能,因为用于创建密钥库文件的可分辨名称不包含承载WebLogic的计算机的名称。

创建SSL凭据以在WebLogic服务器上使用

keytool命令通常位于Java jre/bin目录中,并且必须包括多个选项和选项值,这些选项和选项值列在下表中。

Keytool选项

描述

选项值

-alias

密钥库的别名。

  • 自定义标识密钥库: ads-credentials

  • 自定义信任密钥库: bedrock

-keyalg

用于生成密钥对的算法。

RSA

根据公司的策略,您可以使用不同的算法。

-keystore

密钥库文件的位置和名称。

该位置可以包含文件的绝对路径。 或者,它可以相对于输入keytool命令的命令提示符的当前目录。

  • 自定义标识密钥库:[appserverdomain]/adobe/[服务器名称]/ads-ssl.jks

  • 自定义信任密钥库:[appserverdomain]/adobe/[服务器名称]/ads-ca.jks

-file

证书文件的位置和名称。

 ads-ca.cer

-validity

认为证书有效的天数。

3650

您可以根据公司的策略使用不同的值。

-storepass

保护密钥库内容的密码。

  • 自定义标识密钥库:密钥库密码必须与为管理控制台的信任存储组件指定的SSL凭据密码相对应。

  • 自定义信任密钥库:使用与用于自定义身份密钥库的口令相同的口令。

-keypass

保护密钥对的私钥的密码。

使用与用于-storepass选项的口令相同的口令。 密钥密码必须至少为6个字符。

-dname

标识密钥库所有者的可分辨名称。

"CN=[User name],OU=[Group Name], O=[Company Name], L=[City Name], S=[State or province], C=[Country Code]"

  • [User name] 是拥有密钥库的用户的标识。

  • [Group Name] 是密钥库所有者所属的公司组的标识。

  • [Company Name] 是您组织的名称。

  • [City Name] 是您的组织所在的城市。

  • [State or province] 是您的组织所在的州或省。

  • [Country Code] 是贵组织所在国家/地区的双字母代码。

有关使用keytool命令的详细信息,请参阅JDK文档中的keytool.html文件。

创建自定义标识和信任密钥库

  1. 在命令提示符下,导航到​[appserverdomain]/adobe/[服务器名称]

  2. 输入以下命令:

    [JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass store_password -keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name, L=City Name, S=State,C=Country Code

    注意

    将​[JAVA_HOME]替换为安装JDK的目录,并将斜体文本替换为与您的环境对应的值。

    例如:

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91
    

    在[appserverdomain]/adobe/[服务器名称]目录中创建名为“ads-credentials.jks”的自定义标识密钥库文件。

  3. 输入以下命令,从ads-credentials密钥库提取证书:

    [JAVA_HOME]/bin/keytool -export -v -alias ads-credentials

    -file "ads-ca.cer" -keystore "ads-credentials.jks"

    -storepass *store**_​password

    注意

    [JAVA_HOME]替换为安装JDK的目录,将​store_ password替换为自定义标识密钥库的口令。

    例如:

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd
    

    在[appserverdomain]/adobe/[服务器名称]​目录中创建名为“ads-ca.cer”的证书文件。

  4. 将ads-ca.cer文件复制到需要与应用程序服务器进行安全通信的任何主机。

  5. 通过输入以下命令将证书插入新密钥库文件(自定义信任密钥库):

    [JAVA_HOME] /bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password -keypass key_password

    注意

    [JAVA_HOME]替换为安装JDK的目录,并将​store_ password和​key_ password 替换为您自己的密码。

    例如:

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1
    

在[appserverdomain]/adobe/[server]目录中创建名为“ads-ca.jks”的自定义信任密钥库文件。

配置WebLogic,以使其使用您创建的自定义标识密钥库和自定义信任密钥库。 另外,禁用WebLogic主机名验证功能,因为用于创建密钥库文件的可分辨名称不包括承载WebLogic服务器的计算机的名称。

将WebLogic配置为使用SSL

  1. 开始WebLogic服务器管理控制台,方法是在Web浏览器的URL行中键入https://[主机名​]:7001/console

  2. 在“环境”下的“域配置”中,选择“服务器> [服务器]”>“配置>常规”。

  3. 在“配置”的“常规”下,确保选择“启用​监听端口”和“启用​SSL监听端口”。 如果未启用,请执行以下操作:

    1. 在“更改中心”下,单击​锁定并编辑​以修改选择和值。
    2. 选中​已启用监听端口​和​已启用SSL监听端口​复选框。
  4. 如果此服务器是受控服务器,请将“侦听端口”更改为未使用的端口值(如8001),将“SSL侦听端口”更改为未使用的端口值(如8002)。 在独立服务器上,默认SSL端口为7002。

  5. 单击​释放配置

  6. 在“环境”下,在“域配置”中,单击​服务器> [受控服务器] >配置>常规

  7. 在“常规”下,在“配置”中,选择​密钥库

  8. 在“更改中心”下,单击​锁定并编辑​以修改选择和值。

  9. 单击​更改​以将密钥库列表作为下拉列表,然后选择​自定义标识和自定义信任

  10. 在“标识”下,指定以下值:

    自定义标识密钥库: [appserverdomain]/adobe/[server name]/ads-credentials.jks,其中​*[appserverdomain] *是实际路径, [服] 务器名是应用程序服务器的名称。

    自定义标识密钥库类型:JKS

    自定义标识密钥库密码: mypassword (自定义标识密钥库密码)

  11. 在“信任”下,指定以下值:

    自定义信任密钥库文件名: *[appserverdomain]*/adobe/*[server]*/ads-ca.jks,其中 *[appserverdomain]* 是实际路径

    自定义信任密钥库类型:JKS

    自定义信任密钥库密码短语: mypassword (自定义信任密钥密码)

  12. 在“常规”下的“配置”中,选择​SSL

  13. 默认情况下,为“标识和信任位置”选择“密钥库”。 否则,将其更改为密钥库。

  14. 在“标识”下,指定以下值:

    私钥别名:ads-credentials

    密码: mypassword

  15. 单击​释放配置

禁用主机名验证功能

  1. 在“配置”选项卡上,单击“SSL”。

  2. 在“高级”下,从“主机名验证”列表中选择“无”。

    如果未禁用主机名验证,则公用名称(CN)必须包含服务器主机名。

  3. 在“更改中心”下,单击“锁定并编辑”以修改选择和值。

  4. 重新启动应用程序服务器。

On this page

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now