Weblogic安裝SSL證書指南

1、  生成證書請求

1.    安裝JDK（可選）

Weblogic安裝後自帶JDK安裝。若是您直接在服務器上生成證書請求，請進入Weblogic安裝目錄下JDK所在路徑的bin目錄，運行keytool命令。
若是您須要在其餘環境下生成證書請求文件，則您能夠選擇安裝JDK，並稍後上傳生成的密鑰庫文件keystore.jks到服務器上進行配置。
Java SE Development Kit (JDK) 下載。下載地址： http://www.oracle.com/technetwork/java/javase/downloads/index.html

2.    生成keystore文件

生成密鑰庫文件keystore.jks須要使用JDK的keytool工具。命令行進入JDK或JRE下的bin目錄，運行keytool命令（示例中粗體部分爲可自定義部分，請根據實際配置狀況做相應調整）。
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore C:\keystore.jks -storepass password -keypass password
   
 以上命令中，server爲私鑰別名(-alias)，生成的keystore.jks文件默認放在命令行當前路徑下。

3.    生成證書請求文件(CSR)

SHA1請使用： keytool -certreq -alias server -sigalg SHA1withRSA -file C:\certreq.csr -keystore C:\keystore.jks -keypass password -storepass password
 SHA256請使用： keytool -certreq -alias server -sigalg SHA1withRSA -file C:\certreq.csr -keystore C:\keystore.jks -keypass password -storepass password

 備份密鑰庫文件keystore.jks，並稍後提交證書請求文件certreq.csr，等待證書籤發。密鑰庫文件keystore.jks丟失將致使證書不可用。

2、  導入服務器證書

1.    獲取服務器證書中級CA證書 

爲保障服務器證書在客戶端的兼容性，服務器證書須要安裝兩張中級CA證書(不一樣品牌證書，可能會有一張中級證書)。
從郵件中獲取中級CA證書：
將證書籤發郵件中的從BEGIN到 END結束的兩張中級CA證書內容（包括「-----BEGIN CERTIFICATE-----」和「-----END CERTIFICATE-----」）分別粘貼到記事本等文本編輯器中，並修改文件擴展名，保存爲intermediate1.cer和intermediate2.cer文件。

2.    獲取服務器證書 

將證書籤發郵件中的從BEGIN到 END結束的服務器證書內容（包括「-----BEGIN CERTIFICATE-----」和「-----END CERTIFICATE-----」）粘貼到記事本等文本編輯器中，並修改文件擴展名，保存爲server.cer文件 

3.    查看Keystore文件內容

進入JDK安裝目錄下的bin目錄，運行keytool命令。
keytool -list -keystore C:\keystore.jks -storepass password

   查詢到PrivateKeyEntry屬性的私鑰別名(alias)爲server。記住該別名，在稍後導入服務器證書時須要用到。（示例中粗體部分爲可自定義部分，請根據實際配置狀況做相應調整。）
 注意，導入證書時，必定要使用生成證書請求文件時生成的keystore.jks文件。keystore.jks文件丟失或生成新的keystore.jks文件，都將沒法正確導入您的服務器證書。

4.    導入證書 (若是隻有一張中級證書，則只需導入一張中級證書便可)

導入第一張中級CA證書
keytool -import -alias intermediate1 -keystore C:\keystore.jks -trustcacerts -storepass password -file C:\intermediate1.cer
 導入第二張中級CA證書
keytool -import -alias intermediate2 -keystore C:\keystore.jks -trustcacerts -storepass password -file C:\intermediate2.cer

   導入服務器證書
keytool -import -alias server -keystore C:\keystore.jks -trustcacerts -storepass password -file C:\server.cer

導入服務器證書時，服務器證書的別名必須和私鑰別名一致。請留意導入中級CA證書和導入服務器證書時的提示信息，若是您在導入服務器證書時使用的別名與私鑰別名不一致，將提示「認證已添加至keystore中」而不是應有的「認證回覆已安裝在keystore中」。
 證書導入完成，運行keystool命令，再次查看keystore文件內容
keytool -list -keystore C:\keystore.jks -storepass password

3、  安裝服務器證書

1.    導入keysotre密鑰庫

登錄Weblogic控制檯

選擇「Lock & Edit」解鎖配置，並進入「Servers」

選擇您須要配置服務器證書的Server

在「General」下，能夠配置您的http和https是否啓用，以及訪問端口號。https默認端口號爲443，請在選項啓用SSL並相應修改端口號。

在「Keystores」下配置認證方式。服務器身份認證請選擇「Custom identity and Java Standard Trust」，雙向認證請選擇「Custom Identity and Custom Trust」。

將您的密鑰庫文件keystore.jks保存到服務器上相應目錄，並配置其路徑和密鑰庫文件保護密碼。

單向認證中，須要配置JRE默認信任庫文件cacerts。Cacerts默認密碼爲changeit。

在「SSL」下配置密鑰庫中的私鑰別名信息。私鑰別名可使用keystool -list 命令查看。一般私鑰保護密碼和keystore文件保護密碼相同。

設置完成後，選擇「Active Changes」，保存全部修改。若是系統提示須要重啓Weblogic，則您須要重啓後才能使配置生效。

2.    訪問測試

訪問https://youdomain:port，測試證書的安裝。

4、  服務器證書的備份及恢復

在您成功的安裝和配置了服務器證書以後，請務必依據下面的操做流程，備份好您的服務器證書，以防證書丟失給您帶來不便。

1.    服務器證書的備份

備份服務器證書密鑰庫文件keystore.jks文件便可完成服務器證書的備份操做。

2.   服務器證書的恢復

請參照服務器證書安裝部分，將服務器證書密鑰庫keystore.jks文件恢復到您的服務器上，並修改配置，恢復服務器證書的應用。