weblogic10.3.6配置ssl

1、準備工做

    一、獲取SSL證書

           1.一、雲平臺申請

                    騰訊雲、阿里雲等雲平臺，能夠爲已註冊的域名免費申請爲期一年的SSL證書

cmd到jdk的bin下

keytool -importkeystore -srckeystore  pfx文件名 -srcstoretype pkcs12 -destkeystore jks文件名 -deststoretype JKS

             備註：阿里雲下載的證書類型爲pfx

            1.二、自簽名

一、openssl工具用來製做密鑰、CA根證書。網上直接搜索openssl下載便可。

二、建立ca文件夾 
mkdir ca 
三、建立私鑰 
openssl genrsa -out ca/ca-key.pem 1024 
四、建立證書請求 
openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem 
五、生成CA自簽名證書 
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650 
六、用keytool工具生成密鑰 
keytool -genkey -alias sso -validity 365 -keyalg RSA -keysize 1024 -keypass 123456 -storepass 123456 -keystore sso.jks 
（您的名字與姓氏是什麼？ 
[Unknown]： 你的域名 
您的組織單位名稱是什麼？ 
[Unknown]： CAROOT 
您的組織名稱是什麼？ 
[Unknown]： CA 
您所在的城市或區域名稱是什麼？ 
[Unknown]： HD 
您所在的州或省份名稱是什麼？ 
[Unknown]： BJ 
該單位的兩字母國家代碼是什麼 
[Unknown]： CN 
CN=Trigl, OU=CAROOT, O=CA, L=HD, ST=BJ, C=CN 正確嗎？ 
[否]： y） 
七、用keytool工具生成證書請求 
keytool -certreq -alias sso -sigalg MD5withRSA -file sso.csr -keypass 123456 -keystore sso.jks -storepass 123456 
八、根據證書請求，生成服務器證書 
openssl x509 -req -in sso.csr -out sso.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -days 3650 -set_serial 1 
九、導入CA證書 
keytool -import -v -trustcacerts -keypass 123456 -storepass 123456 -alias root -file ca/ca-cert.pem -keystore sso.jks 
十、導入服務器證書 
keytool -import -v -trustcacerts -storepass 123456 -alias sso -file sso.pem -keystore sso.jks 
十一、導入CA驗籤信息 
keytool -import -alias sso-ca -trustcacerts -file ca/ca-cert.pem -keystore ssotrust.jks 
十二、 sso.jks和ssotrust.jks，在weblogic中ssl的配置中用到。首先將這兩個文件複製到weblogci域的根目錄下面，即： 
D:\Weblogic\Middleware\user_projects\domains\base_domain下面

單向證書生成完成

雙向證書
1三、產生客戶端對應的私鑰 
openssl genrsa -out user-key.pem 1024 
1四、根據私鑰產生證書請求csr文件 
openssl req -new -out user-req.csr -key user-key.pem

（**Country Name (2 letter code) [AU]:CN
1
State or Province Name (full name) [Some-State]:BJ 
Locality Name (eg, city) []:HD 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:CAROOT 
Organizational Unit Name (eg, section) []:CA 
Common Name (eg, YOUR name) []:admin//登錄賬戶名 
Email Address []: 
Please enter the following ‘extra’ attributes 
to be sent with your certificate request 
A challenge password []: 
An optional company name []:）

1五、使用openssl以前製做的ca根證書對證書請求文件進行簽證 
openssl x509 -req -in user-req.csr -out user-cert.pem -signkey user-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650 
1六、將簽證以後的證書文件user-cert.pem導出爲p12格式文件（p12格式能夠被瀏覽器識別並安裝到證書庫中） 
openssl pkcs12 -export -clcerts -in user-cert.pem -inkey user-key.pem -out user.p12 
1七、將簽證以後的證書文件user-cert.pem導入至信任祕鑰庫中（這裏因爲沒有去ca認證中心購買我的證書，因此只有導入信任庫纔可進行雙向ssl交互） 
keytool -import -alias user -trustcacerts -file user-cert.pem -keystore ssotrust.jks 
18，導出.cer 
keytool -export -alias sso-ca -keystore ssotrust.jks -storepass 123456 -file scert.cer

2、配置步驟

        一、登錄Weblogic控制檯

        二、找到服務器，打開「AdminServer」

        三、選中「通常信息」，配置、打開監聽端口並保存

        四、選中「密鑰庫」，根據實際狀況選擇對應的密鑰庫類型；完成對應的配置並保存；

        五、選中「SSL」，根據實際狀況配置「私有密鑰別名、私有密鑰密碼短語、確認私有密鑰密碼短語」並保存；點擊底部「高級」，勾選「使用JSSE SSL」並保存；

注意事項：

一、終端報以下錯誤，解決方法見連接

<07-Aug-2013 13:52:53 o'clock UTC> <Notice> <Security> <BEA-090171> <Loading the identity certificate and private key stored under the alias soa from the JKS keystore file /u01/app/avitek/admin/domain/dev/config/fmwconfig/soa.jks.> 
<07-Aug-2013 13:52:53 o'clock UTC> <Error> <WebLogicServer> <BEA-000297> <Inconsistent security configuration, java.lang.RuntimeException: Cannot convert identity certificate>
<07-Aug-2013 13:52:53 o'clock UTC> <Error> <Server> <BEA-002618> <An invalid attempt was made to configure a channel for unconfigured protocol 」Cannot convert identity certificate」.>