• WebLogic Server实现双向SSL


    本文主要是描述如何使用WebLogic Server实现双向的SSL。
      目前网络上很多描述实现SSL的文章,但是要么是局限于理论,要么是配置单向SSL的,要么是基于Tomcat的,即便是和WebLogic Server相关的,也没有为读者提供一个可依照实现的操作。本文参考其它文档,主要描述了在Windows下如何实现WebLogic Server的双向SSL配置,并且客户端和服务器端采用了不同的证书来源,希望能够为读者提供一个具有可操作性的参考。
      文中的操作在笔者计算机上完全测试通过。
    前期准备

      笔者的操作系统是Windows XP SP2,安装的软件有
      Microsoft Visual Studio 6.0(主要是VC++),安装目录MVS_HOME
      BEA的WebLogic Server 8.1.5,安装目录BEA_HOME
      JDK1.4.2.8,安装WebLogic Server后带有,目录为%BEA_HOME%\jdk142_08
      在实现过程中需要的软件有:
      Perl for win32
      下载地址http://www.activestate.com/ActivePerl
      Openssl
      下载地址http://www.openssl.org/
      在生成证书和私钥时,我们使用了openssl软件,由于openssl软件在windows上安装需要perl环境,因此我们需要下载Active Perl相关软件,并且需要安装VC++或者Delphi,以便编译安装openssl。
      对于各个软件的初始化设置,主要是设置环境变量,通过“我的电脑”右键,“属性”-“高级”-“环境变量”,添加如下:
      Classpath =%BEA_HOME%\weblogic81\server\lib\weblogic.jar
      INCLUDE =%MVS_HOME%\VC98\Include
      LIB =%MVS_HOME%\VC98\Lib
      在Path环境变量中增加(编译openssl使用)
      %MVS_HOME%\VC98\Bin;%MVS_HOME%\Common\MSDev98\Bin
      在Path环境变量中增加(java相关命令使用)
      %BEA_HOME%\jdk142_08\bin;
    安装openssl
    1. 安装ActivePerl  ActivePerl下载的是.msi文件,点击后可以安装,安装后,在path环境变量中增加
        %PERL_HOME%\bin
    2. 安装openssl  下载openssl的压缩源文件以后,解开压缩到目录openssl-xxxd目录,通过DOS窗口,进入到openssl-xxxs目录后,执行
        perl Configure VC-WIN32 --prefix=c:/openssl
        其中c:/openssl为准备安装openssl的目录,笔者安装在C:\openssl目录下,注意\要写作/,否则会在编译cversion.c文件时出现错误信息。
        执行ms\do_ms
        如果上述执行没有错误,则创建相应的安装目录,然后执行
        nmake -f ms\ntdll.mak install
        安装openssl,编译的时间比较长,请耐心等待,并且确认没有错误。
    3. 环境变量
      Openssl安装成功以后,需要在path中增加如下的环境变量
      %OPENSSL_HOME%\bin
      增加环境变量OPENSSL_CONF=%OPENSSL_HOME%\openssl.cnf
    建立自己的CA证书
    1. 在BEA_HOME下建立目录ca,重新启动DOS窗口,进入到BEA_HOME目录下。
    2. 生成CA密钥  openssl genrsa -out ca/ca-key.pem 1024
    3. 生成待签名的证书  openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem
        在生成待签名的证书时,会询问个人或者单位的信息,依次会询问国家,省,地区,组织,部门,名称和邮件信息,并且会询问一些附加信息,作为测试,读者可以依据下面的图片填写,也可以输入自己有关的信息。
        
    4. 用CA私钥自签名
      openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 365
      生成WebLogic Server证书
      在WebLogic Server这边,我们会使用它提供的用于demo的私钥和数字证书,在%BEA_HOME%下创建目录server,拷贝%BEA_HOME%\ weblogic81\server\lib下的CertGenCA.der和CertGenCAKey.der文件到%BEA_HOME%\ server下。
    1. 生成证书,DOS窗口下进入目录%BEA_HOME%执行命令:  java utils.CertGen password server\CertGenCA.der server\CertGenCAKey.der export
        将会生成CertGenCA.der.pem和CertGenCAKey.der.pem文件
    2. 建立keystore,并且将证书和私钥装入keystore  java utils.ImportPrivateKey server\mykeystore password myserver password server\CertGenCA.der.pem server\CertGenCAKey.der.pem
    3. 将CA证书导入到验证keystore中  keytool -import -v -trustcacerts -storepass password -alias my_ca_root -file ca/ca-cert.pem -keystore server/cacerts
        此处如果提示找不到keytool,要看一下JDK\bin的目录是否在path变量中设置正确。
        如果询问是否“信任这个认证”,输入y回车,可以看到信息说明认证已经添加到keystore中。
    4. 显示验证keystore内容  keytool -list -keystore server/cacerts
        输入密码password(我们前面建立keystore是设置的),显示的内容应该类似如下:
      C:\bea>keytool -list -keystore server/cacerts
      输入keystore密码: password

      Keystore 类型: jks
      Keystore 提供者: SUN

      您的 keystore 包含 2 输入

      my_ca_root, 2006-11-21, trustedCertEntry,
      认证指纹 (MD5):
      代码:
        38:32:AC:05:D9:4B:80:ED:43:43:9D:C5:2C:58:72:63
    5. 显示服务器keystore内容
      keytool -list -keystore server/mykeystore
      输入密码password(我们前面建立keystore是设置的),显示的内容应该类似如下:
    C:\bea>keytool -list -keystore server/mykeystore
    输入keystore密码: password

    Keystore 类型: jks
    Keystore 提供者: SUN

    您的 keystore 包含 1 输入

    myserver, 2006-11-21, keyEntry,
    认证指纹 (MD5):
    代码:
     3D:1E:C1:67:FF:82:5A:4F:AE:18:63:18:97:3C:8E:0D
    配置WebLogic Server

      建立一个新的WebLogic Server的Domain。
      启动WebLogic Server,通过console登录进管理界面,进入“myserver”-“Configuration”-“General”,选中“SSL Listen Port Enabled”复选框,并且设定https的端口为7002,进入“myserver”-“Configuration-Keystores & SSL”,点击“Keystore Configuration”后面的“Change”,选择“Custom Identity and Custom Trust”,如下图设置:
      
      其中目录可根据自己安装的BEA_HOME进行修改,Pass Phrase部分都输入“password”。
      点击“Continue”,在“Private Key Alias中输入myserver,Pass Phrase部分依然输入“password”,最后点击“finish”结束。
      回到“myserver”-“Configuration”-“Keystores & SSL”配置页面,点击“Advanced Options”后面的“change”,将“Two Way Client Cert Behavior:”部分修改为“Client certs requested and enforced”。
      应用后重新启动WebLogic Server。
      观察WebLogic Server启动时候的控制台,正确配置后应该有如下类似的信息:
      
    生成客户端IE证书
    1. 建立自己的Client目录,例如:client
    2. 生成Client密钥对  openssl genrsa -out client/client-key.pem 1024
    3. 生成待签名的证书  openssl req -new -out client/client-req.csr -key client/client-key.pem
        同样在询问中输入个人证书的一些信息,确定后生成。
    4. 用 CA私钥签名  openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 365
    5. 生成Client端可以导入的个人证书
      openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12
      询问设置导出密码时可以不填写,直接回车。
    将client证书导入IE

      在资源管理器中选择文件client.p12,鼠标右键,选择“安装PFX”,在密码页,密码部分可以不输入,选择“标志此密钥为可导出的”的复选框,将证书存储于“个人”区域,成功导入后,在IE窗口显示类似如下:
      

    访问WebLogic Server

      通过 https://serverip:7002/console/ 访问WebLogic Server,虽然服务器设置为需要客户端认证,但是由于我们导入了证书,因此可以访问。
    <2006-11-21 下午10时49分27秒 CST><Warning> <Security> <BEA-090481>
    <NO_CERTIFICATE alert was received from localhost - 127.0.0.1. Verify the SSL configurationhas a proper SSL certificate chain and private key specified.>
    <2006-11-21 下午10时49分27秒 CST> <Warning> <Security> <BEA-090508>
    <Certificate chain received from localhost - 127.0.0.1 was incomplete.>
      查看WebLogic Server控制台,可以看到如下信息:
      删除导入的证书,重新使用 https://serverip:7002/console/ 访问服务器,则页面无法打开,控制台显示信息如下,说明客户端证书验证失败:
    <2006-11-21 下午10时54分53秒 CST> <Warning> <Security> <BEA-090481>
    <NO_CERTIFICATE alert was received from hbwindcn8899 - 192.168.253.50. Verify the SSL configuration has a proper SSL certificate chain and private key specified.>
    <2006-11-21 下午10时54分53秒 CST> <Warning> <Security> <BEA-090508>
    <Certificate chain received from hbwindcn8899 - 192.168.253.50 was incomplete.>

  • 相关阅读:
    两个有序数组,找第k小的数//未完
    top详解--查看cpu及内存使用情况
    查看IO情况
    hadoop常用的调优参数
    zookeeper 的 javaAPI
    MapReduce优化
    mySQL索引数据数据结构 B+ 树
    P2670 [NOIP2015 普及组] 扫雷游戏
    P1887 乘积最大3
    1299. 五指山
  • 原文地址:https://www.cnblogs.com/jamin/p/1212297.html
Copyright © 2020-2023  润新知