方法一:用weblogic带的CertGen工具+keytool生成密钥库和信任库
一:生成密钥库和信任库
1,将weblogic.jar加入classpath。
2,建立一个临时目录,将 BEA\WebLogic\server\lib下的CertGenCA.der和CertGenCAKey.der拷贝到该目录。
3,运行以下命令,将生成密钥库myKeyStore.jks。
java utils.der2pem CertGenCAKey.der 生成CertGenCAKey.pem
java utils.der2pem CertGenCA.der 生成CertGenCA.pem
keytool -noprompt -import -trustcacerts -alias CA -file CertGenCA.der -keystore myKeyStore.jks -storepass password
这句话可以改为:
keytool -import -alias CA -file CertGenCA.pem -keypass password -keystore myKeyStore.jks -storepass password
意思是把根证书放入密钥库中。
java utils.CertGen password CakeCert CakeKey export Cake
生成 CakeCert.der CakeCert.pem(Certfile)和 CakeKey.der CakeKey.pem(Keyfile)
copy /b CakeCert.pem + CertGenCA.pem CakeCertChain.pem
生成CakeCertChain.pem,证书链
keytool -import -alias CakeCert -file CakeCert.pem -keypass password -keystore myKeyStore.jks -storepass password
把CertGenCA授予的Cake证书放入密钥库中。
java utils.ImportPrivateKey myKeyStore.jks password CakeKey password CakeCertChain.pem CakeKey.pem
把生成的证书链和密钥文件放入私钥中
java utils.ValidateCertChain -jks CakeKey myKeyStore.jks password
是检验Certificate的。其中输出应该是:
Cert[0]: CN=Cake,OU=FOR TESTING ONLY,O=MyOrganization,L=MyTown,ST=MyState,C=US
Cert[1]: CN=CertGenCAB,OU=FOR TESTING ONLY,O=MyOrganization,L=MyTown,ST=MyState,C=US
Certificate chain appears valid
最后一句话最重要,代表了证书链是正确的!
二:在weblogic console上的配置
1,启动Admin Server,进入Console。展开Servers,单击服务器名,在右边的配置栏中(Configuration Tab),选择Keystores & SSL。
2,单击Change,选择Custom Identity and Custom Trust,单击Continue,填入以下值。
Custom Identity:
Custom Identity Key Store File Name: myKeyStore.jks //配置服务器的密钥库
Custom Identity Key Store Type: JKS
Custom Identity Key Store Pass Phrase: password
Confirm Custom Identity Key Store Pass Phrase: password
Custom Trust
Custom Trust Key Store File Name: myKeyStore.jks //配置服务器的信任库
Custom Trust Key Store Type: JKS
Custom Identity Key Store Pass Phrase: (空)
Confirm Custom Identity Key Store Pass Phrase: (空)
3,单击Continue,准备对 Review SSL Private Key Settings 进行设置。
Private Key Alias: CakeKey //配置服务器的私钥
Passphrase: password //输入Private Key的密码
Confirm Passphrase: password
4,启动SSL
1)回到单击服务器名-“Configuration”-“Keystores & SSL”配置页面,点击Advanced Options的show;
2)在Server Attributes的Two Way Client Cert Behavior下拉框中,你可以选择单向或者双向SSL认证方式,三个选项分别是:
Client Certs Not Requested 单向,即浏览器不需要证书认证
Client Certs Requested But Not Enforced 弱双向,不做强制要求
Client Certs Requested And Enforced 强双向,要求浏览器必须有服务器端认可的证书
3)选好之后,重新启动服务器就OK了。值得注意的是,如果选择强双向,那么需要在客户端例如IE浏览器中导入服务器认可的客户端证书。具体方法就是生成服务器信任认证的客户端证书,然后把客户端证书导入IE浏览器或其它客户端即可(详情容后再续)。
方法二:用keytool+win2000认证服务器生成密钥库和信任库(再续)
