WebLogic配置SSL
WebLogic Server 10配置SSL V1.0WebLogic Server 10配置SSL(版本号:V1.0) ,WebLogic Server 10配置SSL
WebLogic Server 10配置SSL V1.0
WebLogic Server 10配置SSL
(版本号:V1.0)
,
WebLogic Server 10配置SSL V1.0
修改记录:
WebLogic Server 10配置SSL V1.0
目 录
1.预备知识 ................................................................................................................... 4
1.1 SSL(Server Socket Layer)简介 ............................................................................... 4
1.2 SSL工作原理 ...................................................................................................... 4
2. 配置WebLogic Server的SSL ....................................................................................... 5
2.1使用weblogic 自带的Demo 版本的证书................................................................ 5
2.2使用自己的CA 签名的证书.................................................................................... 6
2.2.1所需软件 ......................................................................................................... 6
2.2.2创建服务器证书,客户端证书与keystore . ...................................................... 6
2.2.3配置Weblogic . ................................................................................................. 7
,
WebLogic Server 10配置SSL V1.0
1.预备知识
1.1 SSL(Server Socket Layer)简介
在网络上信息在源-宿的传递过程中会经过其它的计算机。一般情况下,中间的计算机不会监听路过的信息。但在使用网上银行或者进行信用卡交易的时候有可能被监视,从而导致个人隐私的泄露。由于Internet 和Intranet 体系结构的原因,总有某些人能够读取并替换用户发出的信息。随着网上支付的不断发展,人们对信息安全的要求越来越高。因此Netscape 公司提出了SSL 协议,旨在达到在开放网络(Internet)上安全保密地传输信息的目的,这种协议在WEB 上获得了广泛的应用。 之后IETF(www.ietf.org)对SSL 作了标准化,即RFC2246,并将其称为TLS (Transport Layer Security),从技术上讲,TLS1.0与SSL3.0的差别非常微小。。
1.2 SSL工作原理
SSL 协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性,并且会话双方能鉴别对方身份。不同于常用的http 协议,我们在与网站建立SSL 安全连接时使用https 协议,即采用https://ip:port/的方式来访问。
当我们与一个网站建立https 连接时,我们的浏览器与Web Server之间要经过一个握手的过程来完成身份鉴定与密钥交换,从而建立安全连接。具体过程如下:
用户浏览器将其SSL 版本号、加密设置参数、与session 有关的数据以及其它一些必要信息发送到服务器。
服务器将其SSL 版本号、加密设置参数、与session 有关的数据以及其它一些必要信息发送给浏览器,同时发给浏览器的还有服务器的证书。如果配置服务器的SSL 需要验证用户身份,还要发出请求要求浏览器提供用户证书。
客户端检查服务器证书,如果检查失败,提示不能建立SSL 连接。如果成功,那么继续。 客户端浏览器为本次会话生成pre-master secret ,并将其用服务器公钥加密后发送给服务器。
如果服务器要求鉴别客户身份,客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。
如果服务器要求鉴别客户身份,则检查签署客户证书的CA 是否可信。如果不在信任列表中,结束本次会话。如果检查通过,服务器用自己的私钥解密收到的pre-master secret ,并用它通过某些算法生成本次会话的master secret。
客户端与服务器均使用此master secret生成本次会话的会话密钥(对称密钥) 。在双方SSL 握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上,能够显著提高双方会话时的运算速度。
客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端已经完成本次SSL 握手。
服务器通知客户端此后发送的消息都使用这个会话密钥进行加密。并通知客户端服务器
,
WebLogic Server 10配置SSL V1.0
已经完成本次SSL 握手。
本次握手过程结束,会话已经建立。双方使用同一个会话密钥分别对发送以及接受的信息进行加、解密。。
2. 配置WebLogic Server的SSL
2.1使用weblogic 自带的Demo 版本的证书
登录WebLogic Console
Servers -> AdminServer -> General -> 选择
SSL Listen Port Enabled
Servers -> AdminServer -> Keystores
选择Demo Identity and Demo Trust
,
WebLogic Server 10配置SSL V1.0
2.2使用自己的CA 签名的证书
2.2.1所需软件
Openssl 0.9.9.6
用途:用来产生CA 证书、签名并生成IE 可导入的PKCS#12格式私钥。
下载: http://www.openssl.org/
2.2.2创建服务器证书,客户端证书与keystore
无特别说明,
OpenSSL 命令运行于$OpenSSLbin
keytool 命令运行于$JAVAbin(一般是$beajrockit_150_11bin)
● 生成公司内部用的根密钥对(相当于CA 根密钥对)
openssl genrsa -out CCS-CA.key 1024
● 导出公钥成证书, 并用私钥自签名, 生成公司内部用的自签名根证书(相当于CA 根证书) openssl req -new -x509 -days 24820 -key CCS-CA.key -out CCS-CA.crt -config openssl.cnf
● 生成某服务器用密钥对
keytool -genkey -alias ccs_server_a -validity 7300 -keyalg RSA -keysize 512 -keystore ccs_server_a.jks
CN(名字与姓氏) 必须填写为服务器域名或者IP 地址
,
WebLogic Server 10配置SSL V1.0
WebLogic 一般只支持512位加密强度
● 生成某服务器用证书请求文件
keytool -certreq -alias ccs_server_a -sigalg "MD5withRSA" -file ccs_server_a.csr -keystore ccs_server_a.jks
● 用公司内部用根私钥和根证书为某服务器证书请求签名
openssl ca -keyfile CCS-CA.key -cert CCS-CA.crt -in ccs_server_a.csr -out ccs_server_a.pem -config openssl.cnf
如果已经为同样的申请签过名, 重新签名需删除$OpenSSLbin�moCAindex.txt中相关记录 生成的pem 文件删除其它内容, 只保留
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
● 导入公司内部用的自签名根证书到cacerts
CCS-CA -file CCS-CA.crt keytool -import -v -alias
-keystore JAVA_HOME/jre/lib/security/cacerts
cacerts 缺省密码为changeit
● 导入公司内部用的自签名根证书到Custom Trust Keystore
keytool -import –alias CCS-CA -trustcacerts -file CCS-CA.crt –keystore serveratrust.jks
● 导入某服务器用证书签名到Custom Identity Keystore
keytool -import -trustcacerts -alias ccs_server_a -file ccs_server_a.pem -keystore ccs_server_a.jks
● 配置IE 客户端
在每台客户端上安装根证书CCS-CA.crt
2.2.3配置Weblogic
将两个jks 文件(serveratrust.jks,ccs_server_a.jks)或者是使用自己创建的证书申请,然后由信任机构签名的证书,拷贝到WebLogic 自己的Domain 的目录下.
登录WebLogic Console
Servers -> AdminServer -> General -> 选择SSL Listen Port Enabled
,
WebLogic Server 10配置SSL V1.0
Servers -> AdminServer -> Keystores
选择Custom Identity and Custom Trust
Custom Identity
Custom Identity Keystore: 填写完整路径的ccs_server_a.jks
Custom Identity Keystore Type: JKS
Custom Identity Keystore Passphrase: ccs_server_a.jks的密码
Confirm Custom Identity Keystore Passphrase: ccs_server_a.jks的密码 Custom Trust
Custom Trust Keystore: 填写完整路径的serveratrust.jks
Custom Trust Keystore Type: JKS
Custom Trust Keystore Passphrase: serveratrust.jks的密码
Confirm Custom Trust Keystore Passphrase: serveratrust.jks的密码
,
WebLogic Server 10配置SSL V1.0
Servers -> AdminServer ->SSL
Private Key Alias:ccs_server_a
Private Key Passphrase: ccs_server_a的密码
Confirm Private Key Passphrase: ccs_server_a的密码
,
WebLogic Server 10配置SSL V1.0
重启WebLogic
并通过https 访问测试