為WebLogic伺服器配置SSL

若要在WebLogic伺服器上設定SSL,您需要SSL憑證才能進行驗證。 您可以使用Java鍵工具執行下列任務以建立憑據:

  • 建立公開/私密金鑰組,將公開金鑰包裝在X.509 v1自行簽署的憑證中(以單一元素憑證鏈形儲存),然後將憑證鏈和私密金鑰儲存在新金鑰存放區中。 此金鑰存放區是應用程式伺服器的自訂身分金鑰存放區。
  • 擷取憑證並將其插入新的金鑰存放區。 此密鑰庫是應用程式伺服器的自定義信任密鑰庫。

然後,配置WebLogic,使其使用您建立的自訂身分金鑰存放區和自訂信任金鑰存放區。 另外,禁用WebLogic主機名驗證功能,因為用於建立密鑰庫檔案的可分辨名稱不包含承載WebLogic的電腦的名稱。

建立SSL憑據以在WebLogic伺服器上使用

keytool命令通常位於Java jre/bin目錄中,並且必須包括下表中列出的多個選項和選項值。

鍵工具選項

說明

選項值

-alias

金鑰存放區的別名。

  • 自訂身分金鑰存放區: ads-credentials

  • 自定義信任密鑰庫: bedrock

-keyalg

用來產生索引鍵對的演算法。

RSA

您可以根據公司的原則使用不同的演算法。

-keystore

金鑰存放區檔案的位置和名稱。

位置可包含檔案的絕對路徑。 或者,它可以與輸入keytool命令的命令提示符的當前目錄相對。

  • 自訂身分金鑰存放區:[appserverdomain]/adobe/[伺服器名稱]/ads-ssl.jks

  • 自定義信任密鑰庫:[appserverdomain]/adobe/[伺服器名稱]/ads-ca.jks

-file

憑證檔案的位置和名稱。

  ads-ca.cer

-validity

認為證書有效的天數。

3650

您可以根據公司的原則使用不同的值。

-storepass

保護金鑰存放區內容的密碼。

  • 自訂身分金鑰存放區:金鑰存放區密碼必須與為管理控制台的信任存放區元件指定的SSL憑據密碼相對應。

  • 自定義信任密鑰庫:使用與自訂身分金鑰存放區所用的相同密碼。

-keypass

保護密鑰對的私鑰的密碼。

使用與-storepass選項所用的密碼相同。 密鑰密碼必須至少為6個字元。

-dname

標識擁有密鑰庫的人員的可分辨名稱。

"CN=[User name],OU=[Group Name], O=[Company Name], L=[City Name], S=[State or province], C=[Country Code]"

  • [User name] 是擁有金鑰存放區之使用者的身分識別。

  • [Group Name] 是金鑰存放區擁有者所屬之公司群組的識別碼。

  • [Company Name] 是貴組織的名稱。

  • [City Name] 是您的組織所在的城市。

  • [State or province] 是您的組織所在的州或省。

  • [Country Code] 是貴組織所在國家/地區的雙字母代碼。

有關使用keytool命令的詳細資訊,請參閱JDK文檔中的keytool.html檔案。

建立自定義標識和信任密鑰庫

  1. 從命令提示字元,導覽至​[appserverdomain]/adobe/[伺服器名稱]

  2. 輸入以下命令:

    [JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass store_password -keypass key_password -dname "CN=Hostname, OU=Group Name, O=Company Name, L=City Name, S=State,C=Country Code

    注意

    將​[JAVA_HOME]替換為安裝JDK的目錄,並將斜體文本替換為與您的環境相對應的值。

    例如:

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91

    名為「ads-credentials.jks」的自訂身分金鑰存放區檔案會建立在[appserverdomain]/adobe/[伺服器名稱]目錄中。

  3. 輸入下列命令,從ads-credentials金鑰存放區中擷取憑證:

    [JAVA_HOME]/bin/keytool -export -v -alias ads-credentials

    -file "ads-ca.cer" -keystore "ads-credentials.jks"

    -storepass *store**_​password

    注意

    [JAVA_HOME]替換為安裝JDK的目錄,並將​store_ password替換為自定義身份密鑰庫的密碼。

    例如:

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd

    名為「ads-ca.cer」的憑證檔案建立在[appserverdomain]/adobe/[伺服器名稱]​目錄中。

  4. 將ads-ca.cer檔案複製到需要與應用程式伺服器進行安全通信的任何主機。

  5. 輸入以下命令,將憑證插入新的金鑰存放區檔案(自訂信任金鑰存放區):

    [JAVA_HOME] /bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password -keypass key_password

    注意

    [JAVA_HOME]替換為安裝JDK的目錄,並將​store_ password和​key_ password 替換為您自己的密碼。

    例如:

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1

名為「ads-ca.jks」的自訂信任金鑰存放區檔案建立在[appserverdomain]/adobe/[server]目錄中。

配置WebLogic,使其使用您建立的自訂身分金鑰存放區和自訂信任金鑰存放區。 另外,禁用WebLogic主機名驗證功能,因為用於建立密鑰庫檔案的可分辨名稱不包含承載WebLogic Server的電腦的名稱。

配置WebLogic以使用SSL

  1. 在Web瀏覽器的URL行中鍵入https://[主機名​]:7001/console ,以啟動WebLogic伺服器管理控制台。

  2. 在「環境」下,在「域配置」中,選擇「伺服器> [伺服器] >配置>常規」。

  3. 在「配置」的「常規」下,確保已選擇​已啟用偵聽埠​和​已啟用SSL偵聽埠。 如果未啟用,請執行下列操作:

    1. 在「更改中心」下,按一下「鎖定和編輯」​以修改選擇和值。
    2. 選中​啟用偵聽埠​和​啟用SSL偵聽埠​複選框。

  4. 如果此伺服器是受管伺服器,請將偵聽埠更改為未使用的埠值(如8001),將SSL偵聽埠更改為未使用的埠值(如8002)。 在獨立伺服器上,預設SSL埠為7002。

  5. 按一下「發行配置」。

  6. 在「環境」下,按一下「域配置」中的「伺服器」>「[受控伺服器」>「配置」>「常規」]

  7. 在「常規」下,在「配置」中,選擇​Keystores

  8. 在「更改中心」下,按一下「鎖定和編輯」​以修改選擇和值。

  9. 按一下​Change​以將金鑰存放區清單作為下拉式清單,然後選取​Custom Identity And Custom Trust

  10. 在「身分」下,指定下列值:

    自訂身分金鑰存放區: [appserverdomain]/adobe/[server name]/ads-credentials.jks,其中*[appserverdomain] *是實際路徑,而 [server] name是應用程式伺服器的名稱。

    自訂身分金鑰存放區類型:JKS

    自訂身分金鑰存放區密碼: mypassword (自訂身分金鑰存放區密碼)

  11. 在「信任」下,指定以下值:

    自定義信任密鑰庫檔案名: *[appserverdomain]*/adobe/*[server]*/ads-ca.jks,其中 *[appserverdomain]* 是實際路徑

    自定義信任密鑰庫類型:JKS

    自訂信任金鑰存放區密碼片語: mypassword (自定義信任密鑰密碼)

  12. 在「常規」下,在「配置」中,選擇​SSL

  13. 預設情況下,為身份和信任位置選擇密鑰庫。 否則,將其變更為金鑰存放區。

  14. 在「身分」下,指定下列值:

    私鑰別名:ads-credentials

    密碼: mypassword

  15. 按一下「發行配置」。

禁用主機名驗證功能

  1. 在「設定」標籤上,按一下「SSL」。

  2. 在「高級」下,從「主機名驗證」清單中選擇「無」。

    如果未禁用主機名驗證,則公用名(CN)必須包含伺服器主機名。

  3. 在「更改中心」(Change Center)下,按一下「鎖定和編輯」(Lock & Edit)以修改選取範圍和值。

  4. 重新啟動應用程式伺服器。

本頁內容