如何制作cas服务器的证书.doc

如何制作cas服务器的证书Windows版本（for weblogic）1. 准备工作：下载openssl-0.9.8h-1-bin.zip 本文示例的安装版本下载的地址是：/projects/gnuwin32/files/openssl/0.9.8h-1/openssl-0.9.8h-1-bin.zip/download 下载后解压到不包含中文字符的文件夹内或者根目录下。第一步，在解压的根目录下建立“usrlocalssl”(例如:e:usrlocalssl)的目录，用来放所谓配置文件。定义:OPENSSL_HOME是指解压openssl的根目录，例如：E:toolsopenssl-0.9.8h-1-bin第二步，从%OPENSSL_HOME%share目录下拷贝“f”到 解压的根目录 下的“usrlocalssl”(本例:e:usrlocalssl)的文件夹下；第三步，配置环境变量，我的电脑（计算机）-右键高级-环境变量-path添加 openssl的bin目录：例如本例解压在tools下，则需要在path变量对应的值中添加“E:toolsopenssl-0.9.8h-1-binbin;”（注意分号分割）。加入环境变量的目的是为了能够在cmd中任意目录均可访问。【图例为windows7的操作示意】至此准备工作做完。第四步，将jre/bin同第三步一样加入到path环境变量中（为了能够使用keytool这个工具）特别注意：下面操作为了避免报“找不到文件”的错误，建议使用全路径，例如keytool -import -v -alias cas_server -file d:/oracle/wls/server/servercert.pem -storepass changeit -keystore d:/oracle/wls/server/cas_server.jks2. 制作证书2.1. 根证书 BEA_HOME下建立目录ca 启动cmd到BEA_HOME下 生成根私匙cakey.pem:openssl genrsa -out ca/cakey.pem 512 生成根证书请求careq.csr:openssl req -new -out ca/careq.csr -key ca/cakey.pem其中的Common Name应当填入域名或ip,最好填入域名.（开发建议填写本机的ip）注意“please enter the following extra attributes 下面的选项全部 直接回车即可！” 签名请求生成根证书cacert.pem:openssl x509 -req -in ca/careq.csr -out ca/cacert.pem -signkey ca/cakey.pem -days 3650有效期大约10年 新建一个文本文件命名为cacert.srl,文件内容为01.这个文件用于根证书签名证书请求时指定证书的序列号. 将根证书导入Java Standard Trust Keystore(Keystores:Custom Identity and Java Standard Trust):keytool -import -v -trustcacerts -storepass changeit -alias cas_ca_root -file ca/cacert.pem -keystore D:beajrockit_160_05jrelibsecuritycacerts碰到提问时输入y 回车 查看:keytool -list -storepass changeit -alias cas_ca_root -keystore D:beajrockit_160_05jrelibsecuritycacertsJava Standard Trust Keystore的位置可以在Weblogic console中查看，版本不同略有差异。2.2. 服务器证书 BEA_HOME下建立目录server 生成服务器密匙库cas_server.jks和服务器证书私匙:keytool -genkey -alias cas_server -validity 3650 -keyalg RSA -keysize 512 -keystore server/cas_server.jks这里密码用changeit,如果采用其他密码下面的-storepass changeit需要修改名字与姓氏同样要填域名或IP查看:keytool -list -keystore server/cas_server.jks -storepass changeit 生成服务器证书请求server.csr:keytool -certreq -alias cas_server -file server/server.csr -keypass changeit -keystore server/cas_server.jks -storepass changeit 签名请求生成服务器证书servercert.pem:openssl x509 -req -in server/server.csr -out server/servercert.pem -CA ca/cacert.pem -CAkey ca/cakey.pem -days 3650 将根证书导入密匙库:keytool -import -v -trustcacerts -storepass changeit -alias cas_ca_root -file ca/cacert.pem -keystore server/cas_server.jks碰到提问时输入y 回车 将服务器证书导入密匙库:keytool -import -v -alias cas_server -file server/servercert.pem -storepass changeit -keystore server/cas_server.jks查看:keytool -list -storepass changeit -keystore server/cas_server.jks3. Weblogic 配置casserver_domain - Environment - Servers - AdminServer - Keystores主页服务器概要AdminServer-配置-密钥库Keystores:Custom Identity and Java Standard TrustCustom Identity Keystore:D:beaservercas_server.jksCustom Identity Keystore Type:jks密码均为 changeitcasserver_domain - Environment - Servers - AdminServer - SSLPrivate Key Alias:cas_server密码均为 changeit如果碰到错误.ssl.SSLKeyException: Security:090504Certificate chain received from Hostname - IP failed hostname verifica