SSL下Apache代理Weblogic集群配置手册-V10

1、远光软件股份有限公司远光软件股份有限公司ERP 软件部软件部 SSL 下下 Apache 代理代理 Weblogic 集群配置手册集群配置手册版本版本 ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 2 of 27修订历史记录修订历史记录日期日期版本版本说明说明作者作者2010-7-23V1.0SSL 下 Apache 代理 Weblogic 集群配置孙鹏ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date:

2、 2010-7-23远光软件股份有限公司, 2010Page 3 of 27目录目录1.简介简介.41.1目的.41.2范围.41.3定义、首字母缩写词和缩略语.41.4参考资料.41.5概述.42.配置配置 WEBLOGIC 集群集群.43.构建证书和证书库构建证书和证书库.43.1下载安装必须软件.43.2构建 CA 体系.43.3构建 JAVA证书库.174.部署证书库和配置部署证书库和配置 SSL .225.配置配置 APACHE HTTP SERVER .245.1下载安装 APACHE HTTP SERVER.245.2配置 HTTP SERVER.245.3启动 HTTP SER

3、VER.276.补充补充.27ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 4 of 27SSL 下下 Apache 代理代理 Weblogic 集群配置手册集群配置手册1.1.简介简介本文档包括了 SSL 下 Apache 代理 Weblogic 集群配置方法。1.11.1目的目的1.21.2范围范围Weblogic 集群、Apache HTTP Server1.31.3定义、首字母缩写词和缩略语定义、首字母缩写词和缩略语1.41.4参考资料参考资料1.51.5概

4、述概述2.2.配置配置 WeblogicWeblogic 集群集群集群配置环境节点名称节点名称IPIP端口端口说明说明AdminServer307001管理节点server1307011（8008）集群节点server237012（8008）集群节点Apache HTTP Server38002代理节点 本文档应用的集群环境如上所示，其中 Weblogic9.2 的安装、Weblogic 域的创建与配置、集群节点的创建、安装 FMIS 服务端这些操作请参考“Weblogic92 安装配置手册-初级”

5、和“Weblogic92 安装配置手册-中级”，在此不再赘述。集群节点 server1 和 server2 对 Http 请求的监听端口为 7011 和7012，对于 Https 请求的监听端口都为 8008。3.3.构建证书和证书库构建证书和证书库3.13.1下载安装必须软件下载安装必须软件本文中用 XCA 构建 CA 体系，用 KeytoolGUI 生成证书库（也可以用 SecureX 的 Eclipse 插件），本文附件中提供了相应的安装程序，也可以去网上搜索下载最新版本。本节要用到软件如下图：根据安装向导的提示完成安装即可，对于 SecureX 的 Eclipse 插件的安装，可使用

6、link 的方式。3.23.2构建构建 CACA 体系体系1、 打开 XCA，点击菜单“File”-“New DataBase”，选择要生成 DB 的路径并填写名称，如下：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 5 of 27点击“保存”后，弹出对话框要求你输入并确认 DB 的密码，在此输入你的 DB 密码并确认。如下：点击“OK”后完成 DB 的创建，下面在 XCA 中生成的 Key 和证书都保存在这个 DB 中。ERP 软件部 Version: 1.0SS

7、L 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 6 of 272、 创建根创建根 CACA，点击软件界面左上方的“New Key”按钮，弹出 New Key 对话框，输入Name：Root_Key,选择 Keytype 为“RSA”，Keysize 为“2048 bit”，如下图所示：点击“Create”后生成一个新的 Private Key。如下：选择“Certificate signing requests”选项卡，点击“New Request”按钮，弹出“Create Certificate signin

8、g request”对话框，选择“Subject”选项卡，输入相应的信息，如下：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 7 of 27其中PrivatePrivate keykey要选择刚才生成的“Root_Key（RSA）”，点击“OK”按钮后，我们可以看到 CSR 区多了一项“root_request”，如下：接下来，为该 CSR 签名，生成 CA 的根证书。右键点击“root_request”,选择“sign”，弹出“Create x509 Certif

9、icate”对话框，“Source”选项卡如下图：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 8 of 27SignSign thisthis CertificateCertificate signingsigning requestrequest选择刚才生成的“root_request”,SigningSigning部分点选“Create a self signed certificate with the serial”,SignatureSignature

10、algorithmalgorithm选择“MD 5”，TemplateTemplate选择“default CA”,操作完毕后点选“Extensions”选项卡，如下图：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 9 of 27BasicBasic constraintsconstraints中TypeType选择“Certification Authority”，点选“Critical”；KeyKey identifieridentifier中点选“Subjec

11、t Key Identifier”和“Authority Key Identifier”；TimeTime rangerange中输入“10”，选择“Years”，点击“Apply”按钮，选择“Key Usage”选项卡，如下图：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 10 of 27KeyKey usageusage中选择“Certificate Sign”和“CRL Sign”,点击“OK”完成证书的创建，这时在“Certificate”选项卡中有一个“r

12、oot_request”项，将其重命名为“root_cer”。如下图所示： 至此完成了根 CA 的创建。ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 11 of 273、 创建创建 2 2 级级 CACA（server1server1），使用 1024 bit 的 RSA key 作为 CA Key，如下图所示：点击“Create”按钮后如下图：选择“Certificate signing requests”选项卡，点击“New Request”按钮，弹出“Crea

13、te Certificate signing request”对话框，选择“Subject”选项卡，输入相应的信息，如下：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 12 of 27其中PrivatePrivate keykey要选择刚才生成的“server1_key（RSA）”，CommonCommon namename 要填入该证书文件对应的地址或域名，由于此处是为 server1 创建证书，所以填入“30”点击“OK”按钮后，我们可以

14、看到 CSR 区多了一项“server1”，如下：接下来，为该 CSR 签名，生成对于 server1 的 2 级证书。右键点击“server1”,选择“sign”，ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 13 of 27弹出“Create x509 Certificate”对话框，“Source”选项卡如下图：SignSign thisthis CertificateCertificate signingsigning requestrequest选择刚才生

15、成的“server1”,SigningSigning部分点选“Used this Certificate for for signing”选择刚才生成好的根证书“root_cer”,SignatureSignature algorithmalgorithm选择“MD 5”，TemplateTemplate选择“default HTTPS_server”,操作完毕后点选“Extensions”选项卡，如下图：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 14 of 2

16、7BasicBasic constraintsconstraints中TypeType选择“Certification Authority”，点选“Critical”；KeyKey identifieridentifier中点选“Subject Key Identifier”和“Authority Key Identifier”；TimeTime rangerange中输入“1”，选择“Years”，点击“Apply”按钮，选择“Key Usage”选项卡，如下图：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-

17、23远光软件股份有限公司, 2010Page 15 of 27KeyKey UsageUsage中选择“Digital Signature”、“Non Repudiation”、“Key Encipherment”，点击“Netscape”选项卡，如下图所示：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 16 of 27选择“SSL Server”，点击“OK”按钮完成 server1 证书的创建，在“Certificate”选项卡中如下图所示：4、 创建创建 2

18、2 级级 CACA（server2server2），），创建过程参照 server1，要修改的地方就是生成 CSR 请求时的Common name 要设置为 server2 的地址，为“3”。ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 17 of 27至此构建完成的 CA 体系如下图：3.33.3构建构建 JavaJava 证书库证书库 在 XCA 中，右键点击上图中的 server1，选择“Export”-“File”，如下图所示： Ex

19、portExport FormatFormat选为“PKCS #12 with Certificate chain”，点击“OK”导出证书链，此时会要求输入和确认加密 PKCS#12 文件的密码，如下图所示：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 18 of 27点击“OK”按钮导出文件。对 server2 进行相同的操作，ExportExport FormatFormat也相同。对 root_cer 操作也相同，但是ExportExport FormatFo

20、rmat应选为“PKCS #12”，如下图所示：对 root_cer 再进行一次相同的操作，此时 Export Format 选为“PEM”，如下图所示：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 19 of 27至此一共导出了四个文件，如下图所示：打开 KeyToolsGUI，点击“File”-“New KeyStore”，弹出对话框如下图所示：点选“JKS”，点击“OK”按钮。接下来点击菜单栏“Tools”-“Import Key Pair”，选择刚才导出的

21、server1.p12 文件，此时会要求你输入刚才导出文件时的密码,如下图所示：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 20 of 27输入密码后点击“OK”，弹出如下图所示对话框：点选“server1”后，点击“Import”按钮，转到输入别名对话框，如下图所示：输入别名后，点击“OK”，会提示输入和确认 Key Pair Entry Password，如下图所示：输入和确认密码后点击“OK”，弹出“Key Pair Import Successful”信息

22、，点击“确定”。按 Ctrl+S 保存证书库，会弹出“Set KeyStore Password”对话框，如下图所示：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 21 of 27输入和确认密码后，点击“OK”，弹出选择保存证书库对话框，在文件名处要输入完整名称，如下图所示：至此完成了 server1 证书库的创建，对于 server2.p12 和 root_cer.p12 也按照上面的操作导入到KeyToolGUI 中，创建相应的证书库。注：1、上述步骤中多次要求

23、输入和确认各种密码，为了便于记忆和操作可以全部设为同一密码，以免记混了。2、root_cer.crt 要在下一章配置 Apache HTTP Server 的时候用到。 通过上面的操作又获得了三个证书库文件,如下图所示： ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 22 of 274.4.部署证书库和配置部署证书库和配置 SSLSSL Weblogic 中配置 KeyStores、配置 SSL 和启动 SSL 可参考文档“Weblogic SSL 安全配置手册”，

24、 需要说明的是 server1.jks 和 server2.jks 分别为集群节点 server1 和 server2 的身份证书库，root.jks 为 server1 和 server2 的信任证书库，下图为 server1 的 Keystores 配置： 对应的 SSL 配置如下：ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 23 of 27 server1 启动 SSL 的配置如下： server2 的配置可仿照 server1 进行。 ERP 软件部 Ve

25、rsion: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 24 of 275.5.配置配置 ApacheApache HTTPHTTP ServerServer5.15.1下载安装下载安装 ApacheApache HTTPHTTP ServerServer可以去 Apache 官方网站查找需要下载安装程序，要下载包含 OpenSSL 的 Apache HTTP Server，同 时为了于 Weblogic9.2 相对应，需要 Apache HTTP Server 的 2.0 版本，不同的操作系统

26、下安装文件和安装的方式不同，本文仅以 window xp 操作系统为例，介绍 apache Http Server 的安装配置。下载到的安装文件如下图所示：根据安装向导的提示，完成 Apache HTTP Server 的安装，最好装在磁盘的根目录下，例如D:Apache2。本文档所使用的集群环境，需在 3 机器安装 Apache HTTP Server。5.25.2配置配置 HTTPHTTP ServerServer 1、复制“WL_HOMEweblogic92serverpluginwin32mod_wl_20.so”至“APACHE_HOMEApache2modu

27、les”。 2、打开“APACHE_HOMEApache2confhttpd.conf”，在 LoadModule 部分找到#LoadModule ssl_module modules/mod_ssl.so,去掉前面的注释，并在该句下面加入一行：LoadModule weblogic_module modules/mod_wl_20.so 形成如下图所示的配置： 在文件最后一行增加如下图所示的信息： 注：上图的配置是针对 Http 请求的，通过于下面对于 Https 请求的配置进行结合，使 Apache HTTP Server 能同时分发两种请求。3、点击“开始”-“运行”，输入“cmd”进入

28、命令提示符切换到“APACHE_HOMEApache2bin“ 目录，运行下面三条命令：(1) openssl req -new -out server.csr -config f(2) openssl rsa -in privkey.pem -out server.key(3) openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 3650ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2

29、010Page 25 of 27 注：上面三条命令是生成 Apache HTTP Server 要用到的证书文件和私钥文件。在执行第一条命在执行第一条命令时，会被问到很多问题，最重要的是令时，会被问到很多问题，最重要的是 CommonCommon NameName 的值要和你以后访问的值要和你以后访问 ApacheApache HTTPHTTP ServerServer 用到的地址或域名相同用到的地址或域名相同，本例中输入 3.如下图所示： 第三条命令中-days 指定证书的有效天数，可根据实际需求情况输入相应的天数。 Apache HTTP Server 附带的 Op

30、enSSL 只提供了基本的功能，如果想使用完整功能的OpenSSL 可以到 下载源文件，具体编译、安装方法可以参考随本文档一起打包的“第 14 章 OpenSSL 编译和安装.pdf”。 生成证书文件等还可以选择 XCA，具体使用方法请参考随本文档一起打包的“Weblogic+Security+In+Action(2).swf”，图形化操作比 OpenSSL 的命令行方式方便了许多。但是本例中用 XCA 生成的证书和密钥用于 Apache HTTP Server 时无效，原因不明。 4、创建目录“APACHE_HOMEApache2confssl.crt”和“A

31、PACHE_HOMEApache2confssl.key”, 如下图所示： 把在“APACHE_HOMEApache2bin”目录中生成的 server.crt 移动到“APACHE_HOMEApache2confssl.crt”，把 server.key 移动到“APACHE_HOMEApache2confssl.key”。ERP 软件部 Version: 1.0SSL 下 Apache 代理 Weblogic 集群配置手册 Date: 2010-7-23远光软件股份有限公司, 2010Page 26 of 275、 打开文件“APACHE_HOMEApache2confssl.conf”,

32、增加一台虚拟主机的配置： DocumentRoot D:/Apache2/htdocs ServerName 3:443 ServerAdmin ErrorLog logs/error_log TransferLog logs/access_log SSLEngine on SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLCertificateFile conf/ssl.crt/server.crt SSLCertificateKeyFile conf/

33、ssl.key/server.key MatchExpression *WebLogicCluster 30:8008,3:8008SecureProxy ONTrustedCAFile E:root_cer.crt Debug OFF DebugConfigInfo OFF KeepAliveEnabled ON KeepAliveSecs 30 HungServerRecoverSecs 3600 SSLOptions +StdEnvVars SSLOptions +StdEnvVars SetEnvIf User-Agent .*MSIE.* nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0 CustomLog logs/ssl_request_log %t %h %SSL_PROTOCOLx %SSL_CIP