服务器证书安装配置指南（Weblogic9）

转自http://hi.baidu.com/itrus_china/blog/item/1ebcad0ea1feb31294ca6b2e.html

一、 生成证书请求

1.    安装JDK（可选）
Weblogic安装后自带JDK安装。如果您直接在服务器上生成证书请求，请进入Weblogic安装目录下JDK所在路径的bin目录，运行keytool命令。
如果您需要在其他环境下生成证书请求文件，则您可以选择安装JDK，并稍后上传生成的密钥库文件keystore.jks到服务器上进行配置。
Java SE Development Kit (JDK) 下载。下载地址：
http://java.sun.com/javase/downloads/index.jsp

2.     生成keystore文件
生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK下的bin目录，运行keytool命令。（示例中粗体部分为可自定义部分，请根据实际配置情况作相应调整）
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password



以上命令中，server为私钥别名(-alias)，生成的keystore.jks文件默认放在命令行当前路径下。

3.     生成证书请求文件(CSR)
Keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password



备份密钥库文件keystore.jks，并稍后提交证书请求文件certreq.csr，等待证书签发。

二、   导入服务器证书

1.     获取服务器证书中级CA证书
从邮件中获取中级CA证书：
将证书签发邮件中从BEGIN到 END结束的中级CA证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘贴到记事本等文本编辑器中，并修改文件名，保存为intermediate.cer文件。

下载中级CA证书：http://www.itrus.com.cn/verisignchina/Service/download/

2.     获取服务器证书
将证书签发邮件中的从BEGIN到 END结束的服务器证书内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为server.cer文件。

3.     查看Keystore文件内容
进入JDK安装目录下的bin目录，运行keytool命令。
keytool -list -keystore C:/keystore.jks -storepass password



查询到PrivateKeyEntry属性的私钥别名(alias)为server。记住该别名，在稍后导入服务器证书时需要用到。（示例中粗体部分为可自定义部分，请根据实际配置情况作相应调整。）
注意，导入证书时，一定要使用生成证书请求文件时生成的keystore.jks文件。keystore.jks文件丢失或生成新的keystore.jks文件，都将无法正确导入您的服务器证书。

4.     导入证书
导入中级CA证书
keytool -import -alias intermediate -keystore C:/keystore.jks -trustcacerts -storepass password -file C:/intermediate.cer



私钥的别名
导入服务器证书
keytool -import -alias server -keystore C:/keystore.jks -trustcacerts -storepass password -file C:/server.cer



导入服务器证书时，服务器证书的别名必须和私钥别名一致。请留意导入中级CA证书和导入服务器证书时的提示信息，如果您在导入服务器证书时使用的别名与私钥别名不一致，将提示“认证已添加至keystore中”而不是应有的“认证回复已安装在keystore中”。
证书导入完成，运行keystool命令，再次查看keystore文件内容
keytool -list -keystore C:/keystore.jks -storepass password


三、   安装服务器证书

1.     导入keysotre密钥库
登陆Weblogic控制台



选择“Lock & Edit”解锁配置，并进入“Servers”



选择您需要配置服务器证书的Server



在“General”下，可以配置您的http和https是否启用，以及访问端口号。https默认端口号为443，请在选项启用SSL并相应修改端口号。



在“Keystores”下配置认证方式。服务器身份认证请选择“Custom identity and Java Standard Trust”，双向认证请选择“Custom Identity and Custom Trust”。



将您的密钥库文件keystore.jks保存到服务器上相应目录，并配置其路径和密钥库文件保护密码。



单向认证中，需要配置JRE默认信任库文件cacerts。Cacerts默认密码为changeit。



在“SSL”下配置密钥库中的私钥别名信息。私钥别名可以使用keystool -list 命令查看。通常私钥保护密码和keystore文件保护密码相同。



设置完成后，选择“Active Changes”，保存所有修改。如果系统提示需要重启Weblogic，则您需要重启后才能使配置生效。



2.     访问测试
访问https://youdomain:port，测试证书的安装。
四、   服务器证书的备份及恢复

在您成功的安装和配置了服务器证书之后，请务必依据下面的操作流程，备份好您的服务器证书，以防证书丢失给您带来不便。

1.     服务器证书的备份
备份服务器证书密钥库文件keystore.jks文件即可完成服务器证书的备份操作。

2.     服务器证书的恢复
请参照服务器证书安装部分，将服务器证书密钥库keystore.jks文件恢复到您的服务器上，并修改配置，恢复服务器证书的应用。

 

天威诚信为全球最大的电子服务认证机构美国VeriSign在中国的首席合作伙伴，全面代理 VeriSign旗下包括 GeoTrust，Thawte在内的 SSL证书、代码签名证书等全线产品。

 

隋校宇 国际认证中心
北京天威诚信电子商务服务有限公司
电话：13520606004
QQ：1078920792
MSN：sui_sentimental@hotmail.com
Email：sui_xiaoyu@itrus.com.cn

 

服务器证书|SSL证书|EV SSL证书|代码签名证书|SSL数字证书|微软徽标认证|SSL数字签名|数字签名证书|微软代码签名证书-天威诚信权威代理VeriSign全线品牌数字证书--VeriSign

 

 

VeriSign 128位EV SSL强制型证书(VeriSign Secure Site Pro with EV )

VeriSign 128位EV SSL支持型证书(VeriSign Secure Site with EV)

VeriSign 128位SSL强制型证书(VeriSign Secure Site Pro)

VeriSign 128位SSL支持型证书(VeriSign Secure Site)

Verisign通配型服务器证书

VeriSign微软移动代码签名证书(Code Signing Certificate for Microsoft Authenticode)

VeriSign代码签名证书(VeriSign Code Signing Certificates)

如何选购代码签名证书

证书配置常见问题

服务器证书常见问题

如何选购数字证书

VeriSign EV SSL证书电子商务解决方案

欺诈钓鱼网站难逃火眼，绿色地址栏安全升级

让信任一目了然，绿色地址栏反欺诈钓鱼在行动

网上银行“反欺诈钓鱼网站”---绿色地址栏安全解决方案

移动运营商门户网站--SSL证书安全解决方案

网站实名认证，欺诈钓鱼网站绕道而行

网上银行的安全性分析