weblogic高级进阶之ssl配置证书

1、首先需要明白ssl的原理

 这里我们使用keytool的方式为AdminServer配置ssl证书

配置证书的方式如下所示：

C:\Users\Administrator\Desktop\mykey>keytool -genkey -alias mykey -keyalg RSA -keysize 512 -sigalg MD5withRSA -validity 365 -keypass 123456 -keystore mykey.jks

这这个地方需要强调下面几点：

生成密钥库的时候需要填写你当前服务器的名字：这里一定要填写的是服务器的域名

我这里因为是自己的电脑当服务器我填写的CN的域名是127.0.0.1

C:\Users\Administrator\Desktop\mykey>keytool -certreq -v -alias mykey -sigalg MD5withRSA -file mycertreq.pem -keypass 123456 -keystore mykey.jks

执行上面的操作之后会在当前的文件夹下面生成两个文件

把这两个文件拷贝到当前域的根目录下D:\Oracle\Middleware\user_projects\domains\base_domain

当前域的名称是base_domain

接下来类配置AdminServer

在控制后台

这里主要配置密钥库和SSL两个地方

标识密钥库：填写生成的mykey.jks

密钥库类型是：jks

密钥库短语是：上面生成mykey.jks填写的123456

信任密钥库使用weblogic自带的，密码是changeit

也可以使用定制标识和定制信任设置如下：

 

接下来我们要设置ssl

别名：设置我们生成jks时指定的别名

密码就是生成jks的时候指定的密码123456

在ssl高级设置里面有一个参数

主机名验证这里设置成无，不校验客户端访问的url的主机名

最后启动服务访问ssl的端口

 

这里就配置好了

 这样就可以通过浏览器https://127.0.0.1:7002/console/console.portal?_nfpb=true&_pageLabel=HomePage1进行访问了

在有的博客中按照其对于的方法生成jks的时候，启动weblogic的时候报错，错误的异常信息是https://127.0.0.1:7002/console/console.portal?_nfpb=true&_pageLabel=HomePage1

SSL configuration error: Cannot convert identity certificate

说明weblogic不支持OID为1.2.840.113549.1.1.11的算法，即SHA256withRSA算法； 就是因为CA链中有SHA256withRSA算法的证书

 

因此，我们需要把使用SHA256withRSA算法的证书统统删掉，好在使用JDK1.6以上版本的keytools命令可以列出各个证书的算法。
我们列出所有的证书，把结果保存到文本文件里，然后通过查找工具，找出所有包含SHA256withRSA算法的证书别名。
有了别名，我们就可以使用如下命令逐个删除之：

不支持SHA256withRSA，那么我们在生成jks的时候指定签名算法-sigalg MD5withRSA  ，这样就不会报错了，相当的经典。