Weblogic 10.3的SSL的配置.docx

博客地址：/ Email:mailto: 天边有一道彩，是为我升起的虹WebLogic Server SSL配置及SSL协议传输WebSevice的调用作 者: 風 絮2010-7-24Version : 1.0博客地址：/ Email： 目录1.1文档介绍21.1.1文档目的21.1.2文档范围21.2环境说明31.3通过keytool 工具生成建立密钥对（标识密钥库）31.4生成证书签发请求*.pem文件（私有密钥）31.5拷贝密匙库和私密文件到域目录31.6启动weblogic，进入管理控制台41.7配置密匙库信息41.8配置SSL信息51.9启用SSL监听61.10SSL协议测试71.11客户调用WebService程序71.12导出服务段的证书文件81.13给服务端证书，创建客户端密匙库121.14可能发生的警告131.1 文档介绍1.1.1 文档目的介绍WebLogic Server 的SSL配置，单向配置，即客户端验证服务端。以及WebService在SSL安全协议的传输下，客户端是怎样调用的。1.1.2 文档范围相关技术:keytool工具的使用，Weblogic常见配置与管理，WebService通过Xfire框架技术进行调用，SSL协议通信传输流程，非对称信加密，数字签名等概念。读者对象:想掌握WeblogicServer SSL配置的人员。本文默认读者已经了解以上相关技术。1.2 环境说明本文测试的环境：Weblogic Server版本： WebLogic Server 操作系统 ：WindowXP SP2 JDK版本：1.6.客户端IE版本： IE8.01.3 通过keytool 工具生成密钥对（标识密钥库） Dos command ：keytool -genkey -v -alias weblogictest -keyalg RSA -keysize 512 -keypass xiejin -dname CN=,OU=潇洒倜傥,O=风絮国际,L=完美City,ST=北京,C=CN -validity 365 -keystore D:/SSL/weblogic/weblogic_identity.jks -storepass xiejin在命令提示符界面输入上面命令，存放路径自选（我选择的是D:/SSL/weblogic/）,jks文件名称、alias名称、keypass、storepass、validity time 自选。 即在D:/SSL/weblogic/ 中生成weblogic_identity.jks 文件1.4 生成证书签发请求*.pem文件（私有密钥）Dos command:keytool -certreq -v -alias weblogictest -file D:/SSL/weblogic/cert_request.pem -keypass xiejin -storepass xiejin -keystore D:/SSL/weblogic/weblogic_identity.jks在D:/SSL/weblogic/目录中生成 了cert_request.pem 文件.(证书中的密钥对的私有密钥文件) 1.5 拷贝密匙库和私密文件到域目录将生成的 weblogic_identity.jks 和 cert_request.pem 文件拷贝到weblogic domain文件夹下（我的是：C:OracleMiddlewareuser_projectsdomainslcjptdomain）。1.6 启动weblogic，进入管理控制台1.7 配置密匙库信息选择一个需要使用的server，点击进入，选择 密匙库(keystores) ，填写相应的信息。密匙库:选择 定制标识和定制信任定制标识密匙库:weblogic_identity.jks定制标识密钥库类型:jks定制标识密钥库密码短语:xiejin确认定制标识密钥库密码短语:xiejin定制信任密钥库:weblogic_identity.jks定制信任密钥库类型:jks定制信任密钥库密码短语:xiejin确认定制信任密钥库密码短语:xiejin 密匙库选项卡.图一:1.8 配置SSL信息选择SSL选项卡，输入相应的信息。SSL选项卡图二:标识和信任位置:选择 密匙库私有密钥别名:weblogictest 第二个步骤中生成*.pem文件中的别名aliasPrivate Key Passphrase:xiejin 第二个步骤中的keypass1.9 启用SSL监听Select General tab，Enable SSL port and set a port value. 点击”一般信息”选项卡, 勾选 已启用 SSL 监听端口，并且设置访问端口号一般信息选项卡:图三:1.10 SSL协议测试然后在浏览器中输入 :7002/console ，进行测试。1.11 客户调用WebService程序客户端浏览器版本:IE8访问服务器WebService的WSDL文件. (本文默认已经部署好了一个WebService到Weblogic):7002/Xfire_1.1/services/HelloWorldSimple?wsdl 1.12 导出服务段的证书文件单击浏览器输入框右边的小锁图标:点击查看证书选择选项卡:详细信息点击按钮 复制到文件点击 下一步:选择 Base64编码，其他格式也可以.点击下一步保存文件:保存文件:下一步,完成 ，确定。测试就在D:SSLweblogic 文件夹下面生成了myclient.cer 文件 (服务端的证书文件)1.13 给服务端证书，创建客户端密匙库Dos command:keytool -import -noprompt -trustcacerts -alias myclient -file D:/SSL/weblogic/myclient.cer -keystore D:/SSL/weblogic/myclient.jks -storepass 123456生成的密匙库文件保存在: D:/SSL/weblogic/myclient.jks Xfire客户端调用Https传输的WebService代码片段:public static void ssl_weblogic () String url = :7002/Xfire_1.1/services/HelloWorldSimple; System.setProperty ( .ssl.trustStore, D:/SSL/weblogic/myclient.jks ); System.setProperty ( .ssl.trustStorePassword, 123456 ); Service serviceModel = new ObjectServiceFactory ().create ( IHelloWorld.class ); try IHelloWorld service = (IHelloWorld) new XFireProxyFactory ().create ( serviceModel, url ); String result = service.hello ( 恭喜发财 ); System.out.println ( result = + result ); System.out.println ( = ); Float returnValue = service.add ( new Float ( 3.2 ), new Float ( 2.8 ) ); System.out.println ( returnValue = + returnValue ); catch (MalformedURLException e) e.printStackTrace (); 红色标注部分，为关键代码。1.14 可能发生的警告 当Weblogic配置好SSL后，在浏览器中输入:7002/console 此时浏览器输入框右边，可能没有显示的一把小锁，而是一个“证书错误”红色警告。警告说：证书不受信任，没有像CA机构提供申请。我是这样做的：点击查看证书，点击安装证书按钮，接下来就按照它的提示操作进行。这步骤完了之后，我发现还是会有那个警告信息，但是经过我客户端程序测试,并不影响程序的调用。接着，我重启一下Weblogic服务，但是那个警告信息还是出现了，依然没有出现小锁的图标，但有意思的是：过了几分钟后，再重新去访问:7002/console 到时候，那个小锁不知道什么时候出现了，红色警告也没了。对此不是很理解，希望看到本文的人，如果知道原因，可以帮我解惑，我猜可能有个延迟的问题。另一个需要注意的地方是：在第一个命令中：keytool -genkey -v -alias weblogictest -keyalg RSA -keysize 512 -keypass xiejin -dname CN=,OU=潇洒倜傥,O=风絮国际,L=完美City,ST=北京,C=CN -validity 365 -keystore D:/SSL/weblogic/weblogic_identity.jks -storepass xiejin其中因为配置的