如何在weblogic中布署ssl完整教程.doc

如何在weblogic中布署ssl完整教程1.产生证书请求1.1概念：产生用户自己的请求，一般需要有一个密钥对，用户使用密钥对中的密钥去产生一个certificaterequirement（证书请求）我们在此将它称作“csr”文件。一般产生请求的方式有两种： openssl与keytool两种工具： openssl的特点：先产生密钥对，再通过密钥对产生csr文件。 keytool的特点：产生csr文件的同时产生密钥对。当csr文件产生后，我们打开csr文件，可以看到这样的一段内容：-begin certificate request-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-end certificate request-将这堆内容提交给ca中书，ca中书会根据这堆内容签出证书。下面我们分边来看用openssl和keytool是如何产生请求的。1.2详细指令：openssl:openssl genrsa -des3 -out server.key 1024-以上为产生密钥对，使用rsa算法，密钥长度为1024openssl req -new -key server.key -out server.csr-根据密钥对产生csr文件keytool:keytool genkey alias testkey keyalg rsa keysize 1024 dname “cn=1, ou=support, o=sge, l=shanghai, s=sh, c=cn” keypass 888888 keystore testkey.jks storepass 888888-可以看到用keytool产生csr文件的同时还产生了密钥对keytool certreq alias support sigalg “md5withrsa” file server.csr keypass 888888 keystore testkey.jks storepass 8888882.通过ca中心得到证书2.1概念 ca中心一般位于网上如“verisign”或企业内部有ca中心，ca中心打开的页面中一般有一些企业或个人信息注册信息等的填写表单，填完这些表单后还有一堆是要你提交你的证书请求，请用文本编辑器把我们产生的“csr”文件打开，看到如下内容：-begin certificate request-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-end certificate request-将所有的内容包括“begin certificate request”和“end certificate request”都复制进去，然后提交给ca中心，这时ca中心通常会给你一封email或直接打开一个网页，网页中或email内有如下内容：-begin certificate-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-end certificate-这就是根据我们提交的请求生成的证书，把该内容用文本编辑器全部复制下来，用文本编辑器存成一个叫“server.crt”的证书文件（即crt文件）。2.2重要信息此时我们申请的证书有了，但还不够，因为我们要把证书装到weblogic里，这个证书只能起到“标明（identity）的作用”，它还需要有一张“根（root）证书”去告诉weblogic，这个identity是得到了谁的信任（trust）。因此，我们仔细在ca中心的网站上找一下，我们可以发觉一个类似于叫“root ca/trust ca”的选项，通过这个选项，我们又可以打开一个网页，看到如下的内容：-begin certificate-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-end certificate-把这段东西全部复制下来用文本编辑器存存成一个叫“ca.crt”的crt文件，这就是我们ca中心的trust证书。注： ca中心对于rootca的内容是不需要任何请求与认证就可以随意获取得，这个信息是对一切人员公开的。3.将证书信息导入jks文件3.1概念现在我们手头有了这些文件：证书请求秘钥对：testkey.jks文件证书请求：server.csr 文件根据请求被认证的证书：server.crt文件 ca公开的rootca：ca.crt文件。（如果使用openssl的话我们还会有server.key密钥文件）？何为将证书信息导入我们的jks呢 weblogic中实现ssl需要有两个jks文件而不是crt文件，这两个jks文件一个用于identity(server.crt中的内容），一个用于对identity进行trust（ca.crt)，但是weblogic中只认jks格式，而不认crt格式。3.2重要信息我们是用testkey这个jks文件产生证书请求server.csr的文件，然后再根据server.csr文件得到server.crt文件的，因此,testkey.jks文件里面已经含有证书请求信息了，我们现在要将得到认证的证书作为信任域导入到server.crt中就可以了，那么我们马上就开始导吧！根据keytool教程，我们用keytool import trustcacert就可以导了？可以直接这样吗？回答是：错误。？错在什么地方了呢根据“ssl证书申请流程图.jpg”中的指示，我们的server.crt文件是来自ca中心对我们的请求的认证，换句话说，server.crt中主要含有下面两样东西：ca中心用自己的公钥对我们请求的认证ca中心用自己的私钥对这张证书进行的数字签名（签名盖章/合格猪肉）那么，除了证书中的信息是来自于我们的server.csr(请求）文件外，还有什么能证书这张证书是来自于我们的请求的呢？难道只凭肉眼看到的信息来证书，这张证书是来自于某个特定的请求吗？计算机可不这么认为，一切对计算机而言都是数字的，因此当我们直接把server.crt导入testkey.jks文件对我们的请求进行“信任”操作时，计算机屏幕就会报以下这个错误：unable to eastablish chain from reply“无法从回复中建立起证书链”，ok，问题出现了，根据“ssl证书申请流程图.jpg”图中，我们看到，申请证书的请求与证书之间的“链”断了，那么现在的问题就是我们要去“补”这个“链”。？如何补链答案就在“rootca”证书中，rootca证书ca.crt文件中的内容就是用于认证我们刚才提交请求的公钥内容。 ok，把这条公钥导入我们的testkey.jks中，再把server.crt证书内容导入我们的testkey.jks文件中，这样server.crt通过ca.crt中的公钥不就能建立起一条“从请求到-认证”的链了吗？下面我们开始导入，使用keytool命令。3.3详细指令keytool import alias rootca trustcacerts file ca.crt keystore testkey.jks storepass 888888-按回车后根据提示键入y导入rooca的信息至我们产生请求时用的jks文件“testkey.jks”。keytool import alias testkey trustcacerts file server.crt keystore testkey.jks storepass 888888-这边的-alias后的别名必须和我们产生请求时用的别名一致将我们的认证证书“server.crt”文件内容导入testkey.jks文件。最后我们要产生对“identity”进行“trust”的rooca，键入如下命令keytool import alias rootca trustcacerts file ca.crt keystore ca.jks storepass 888888系统产生一个新的文件ca.jks文件。我们用以下命令来检查我们的jks文件内容keytool v list keystore testkey.jks我们看到了如下的信息keystore类型： jkskeystore提供者： sun您的 keystore 包含 3 输入别名名称： rootca创建日期： 2007-9-3输入类型： trustedcertentryowner: emailaddress=, cn=research, ou=research, o=topcheer,l=sh, st=sh, c=cn发照者： emailaddress=, cn=research, ou=research, o=topcheer, l=sh, st=sh, c=cn序号： af562c92c9acaf7d有效期间： mon sep 03 13:42:28 cst 2007 至： thu aug 31 13:42:28 cst 2017认证指纹： md5：48:31:ed:ed:dd:e4:5f:91:67:ac:b9:e4:69:47:15:3asha1： df:e2:52:c1:96:e8:b7:6e:bf:74:c4:93:bf:d0:40:b4:3b:55:9a:cf*别名名称： testkey创建日期： 2007-9-3输入类型：keyentry认证链长度： 1认证 1:owner: cn=hp, ou=topcheer, o=research, l=shanghai, st=sh, c=cn发照者： cn=hp, ou=topcheer, o=research, l=shanghai, st=sh, c=cn序号： 46dba98c有效期间： mon sep 03 14:28:28 cst 2007 至： sun dec 02 14:28:28 cst 2007认证指纹： md5：6c:6f:1e:53:c3:90:df:85:21:99:50:c8:1e:45:8d:d6 sha1： 9f:81:ff:86:de:d1:7c:66:4d:5f:fc:2c:f5:a0:80:05:c1:97:7e:52*别名名称： testkey创建日期： 2007-9-3输入类型： trustedcertentryowner: cn=hp, ou=topcheer, o=research, l=shanghai, st=sh, c=cn发照者： emailaddress=, cn=research, ou=research, o=topcheer, l=sh, st=sh, c=cn序号： 948cdbb67ee36665有效期间： mon sep 03 14:29:59 cst 2007 至： thu aug 31 14:29:59 cst 2017认证指纹： md5：58:b5:11:16:1a:ca:bc:80:76:a7:8d:e1:12:aa:0c:ea sha1： 84:df:e5:97:62:30:62:60:99:fd:3f:ad:aa:d5:5c:40:4d:ac:28:52*通过以上的内容我们可以看到三块内容： rootca的公钥 testkey的keyentry用于对请求认证的trustentry内容4.没有ca中心的情况下产生自签来制作ssl1.概念现在有一种情况，对于一些uat的机器我们需要基于ssl的环境去做uat，因此我们不可能花钱（verisign要上百美金一个哦），那么我们就自己创造ca中心来签我们自己产生的请求。 ca中心主要实现下面三件事：对于任何证书请求（必须为x509格式的证书）进行签证产生自己的rootca公开自己的rootca(里面只放私钥）在这边，我们需要用于两种工具。 1）openssl，用于产生ca证书和签证证书请求 2）jdk的keytool，用于产生证书请求和将生成的的证书导入成jks文件。下面我们来看一个完整的过程2.详细指令2.1产生rootca的私钥openssl genrsa -des3 -out ca.key 10242.2产生rootca的请求openssl req -new -key ca.key -out ca.csr2.3产生rootca的证书openssl x509 -req -days 3650 -signkey ca.key-in ca.csr -out ca.crt2.4用keytool产生一个请求keytool genkey alias testkey keyalg rsa keysize 1024 dname “cn=1, ou=support, o=sge, l=shanghai, s=sh, c=cn” keypass 888888 keystore testkey.jks storepass 8888882.5将产生请求时生成的testkey.jks文件导成server.csr（证书请求文件）keytool certreq alias support sigalg “md5withrsa” file server.csr keypass 888888 keystore testkey.jks storepass 8888882.6用rootca去对证书请求进行签证openssl x509 -req -in server.csr -out server.crt -ca ca.crt -cakey ca.key -days 3650 -cacreateserial -sha1 -trustout -ca ca.crt -cakey ca.key -days 3650 -caserial ca.srl -sha1 -trustout2.7将证书导入jks中的信用域keytool import alias rootca trustcacerts file ca.crt keystore testkey.jks storepass 888888keytool import alias testkey trustcacerts file server.crt keystore testkey.jks storepass 888888keytool import alias rootca trustcacerts file ca.crt keystore ca.jks storepass 8888882.8设置weblogic把这两个文件给weblogic用于ssl设置（详细请看verisign权威 ssl+weblogic进阶视频教程.swf文件）。注：该视频文件位于verisign的官方网站上，以下为