weblogic-使用keytool工具配置SSl加密

简介:

写在前面:weblogic配置ssl加密,使用JDK提供的命令工具keytool生成公钥和私钥

主要原因是因为openssl生成的数字证书不能在java环境中直接使用,至于为什么,大家应该能想到,weblogic,java等都是属于Oracle公司所有。


keytool相关知识:


Keytool 是一个Java数据证书的管理工具 ,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里,包含两种数据:密钥实体(Key entity)-密钥(secret key)或者是私钥和配对公钥(采用非对称加密)可信任的证书实体(trusted certificate entries)-只包含公钥.
JDK中keytool常用参数说明:

-genkey 在用户主目录中创建一个默认文件”.keystore”,还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书(在没有指定生成位置的情况下,keystore会存在用户系统默认目录)

-alias 产生别名 每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写

-keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中)

-keyalg 指定密钥的算法 (如 RSA DSA,默认值为:DSA)

-validity 指定创建的证书有效期多少天(默认 90)

-keysize 指定密钥长度 (默认 1024)

-storepass 指定密钥库的密码(获取keystore信息所需的密码)

-keypass 指定别名条目的密码(私钥的密码)

-dname 指定证书发行者信息 其中: “CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名 称,ST=州或省份名称,C=单位的两字母国家代码”

-list 显示密钥库中的证书信息 keytool -list -v -keystore 指定keystore -storepass 密码

-v 显示密钥库中的证书详细信息

-export 将别名指定的证书导出到文件 keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码

-file 参数指定导出到文件的文件名

-delete 删除密钥库中某条目 keytool -delete -alias 指定需删除的别 -keystore 指定keystore – storepass 密码

-printcert 查看导出的证书信息 keytool -printcert -file g:\sso\michael.crt

-keypasswd 修改密钥库中指定条目口令 keytool -keypasswd -alias 需修改的别名 -keypass 旧密码 -new 新密码 -storepass keystore密码 -keystore sage

-storepasswd 修改keystore口令 keytool -storepasswd -keystore g:\sso\michael.keystore(需修改口令的keystore) -storepass pwdold(原始密码) -new pwdnew(新密码)

-import 将已签名数字证书导入密钥库 keytool -import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书


keytool 将密钥和证书储存在一个所谓的密钥仓库中。缺省的密钥仓库实现将密钥仓库实现为一个文件。它用口令来保护私钥。


我们使用查看密钥库命令:keytool -list -v -keystore trust.jks,之后可以看到信息。

从输出中可见其差别,一个是PrivateKeyEntry(私钥),另一个是trustedCertEntry(公钥)。

其实,密钥库里保存了两类信息,一类是私钥,另一类是证书。而证书里只有公钥。


下面导出的root.cert文件为证书文件,里面没有私钥。因此当我们再导入到trust.jks时,导进去的只有证书、没有对应的私钥。


https的SSL证书分服务器端证书(站点证书)和客户端证书

验证方式分为单向验证(不需要客户端证书也能访问该https站点),双向验证(客户端必须有匹配的证书才能访问该https站点)


查看密钥库命令:keytool -list -v -keystore trust.jks

查看证书命令:keytool -printcert -file root.cer




1、weblogicssl配置准备

1)生成identity.jks密钥库【这个文件中包含公钥和私钥以及证书(包含公钥),在后续配置中,这个文件充当私钥

weblogic@ydckmap-test:~/domains/mcpinterf_domain>keytool -genkey -alias picckey -keyalg RSA -keysize 1024 -keypass 111111 -keystore identity.jks -storepass 111111 -validity 3650

您的名字与姓氏是什么?

  [Unknown]:  30.1.32.108

您的组织单位名称是什么?

  [Unknown]:  picc

您的组织名称是什么?

  [Unknown]:  picc

您所在的城市或区域名称是什么?

  [Unknown]:  beijing

您所在的省/市/自治区名称是什么?

  [Unknown]:  beijing

该单位的双字母国家/地区代码是什么?

  [Unknown]:  cn

CN=30.1.32.108OU=piccO=piccL=beijingST=beijingC=cn是否正确?

  [否]:  y

2)生成自签名公钥证书【将上述文件中的证书的内容单独导出成一个数字证书文件root.cer

weblogic@ydckmap-test:~/domains/mcpinterf_domain>keytool -export -alias picckey -file root.cer -keystore identity.jks

输入密钥库口令:                             #这里输入密码111111

存储在文件 <root.cer> 中的证书

3)生成trust.jks密钥库【将证书内容导入进去,因此里面包含的是公钥信息,在后续配置中,充当公钥使用

weblogic@ydckmap-test:~/domains/mcpinterf_domain>keytool -import -alias picckey -trustcacerts -file root.cer -keystore trust.jks

输入密钥库口令:             #这里输入密码111111

再次输入新口令:             #这里输入密码111111

所有者: CN=30.1.32.108OU=piccO=piccL=beijingST=beijingC=cn

发布者: CN=30.1.32.108OU=piccO=piccL=beijingST=beijingC=cn

序列号: 123fd22c

有效期开始日期: FriJul1510:34:11CST2016, 截止日期: MonJul1310:34:11CST2026

证书指纹:

     MD5D3:AB:9E:82:75:C5:BD:8B:61:86:78:3D:2E:5C:B9:14

     SHA1B2:0A:20:68:85:60:29:5D:D0:CD:6C:CF:6D:3D:E7:32:E7:DA:97:8E

     SHA256C3:BA:43:CC:55:3D:F2:9B:92:6A:E5:91:23:09:15:9B:39:E4:72:AA:20:76:CC:C1:C3:AC:29:FC:F0:22:18:7A

     签名算法名称: SHA256withRSA

     版本:3

 

扩展:

 

#1ObjectId2.5.29.14Criticality=false

SubjectKeyIdentifier [

KeyIdentifier [

0000D15E1E05E59D3424   08450E110E22203C  .^....4$.E..." <

0010F7E2607D                                        ..`.

]

]

 

是否信任此证书? [否]:  y

证书已添加到密钥库中

2、weblogic配置ssl功能

1)浏览器中输入http://30.1.32.108:7001/console访问weblogic控制台。在“环境-服务器-ManagedServer7002-配置-般信息”下开启SSL,并设定SSL端口为8888。如下图:

wKioL1kJka3TPDkRAACQoVdwd9U355.png

2)配置密钥库

选择“环境-服务器-ManagedServer7002-配置-密钥库(keystores)”选项卡,按顺序填写相应的配置信息

密钥库:

自定义标识和自定义信任

自定义标识密钥库:  

identity.jks

自定义标识密钥库类型:  

KS

自定义标识密钥库密码:  

111111

确认自定义标识密钥库密码:  

111111

自定义信任密钥库:

trust.jks

自定义信任密钥库类型

JKS

自定义信任密钥库密码:

111111

确认自定义信任密钥库密码

111111

如图所示:

wKiom1kJkdSArw_fAACn6AE83BQ797.png

3)配置ssl信息

选择“环境-服务器-ManagedServer7002-配置-SSL”选项卡,按顺序填写相应的配置信息

私钥别名:

picckey

私钥密码:

111111

确认私钥密码

111111

主机名认证 

选择“无”

如图所示:

wKiom1kJke3yillsAACPMhEe2sk340.png

4)保存所有信息后,点击控制台激活更改重启域

打开浏览器,使用https://ip:8888/项目名称出现如下提示即配置完成

wKioL1kJkgagmUAzAAEgSofKyok373.png






      本文转自1清风揽月1  51CTO博客,原文链接:http://blog.51cto.com/watchmen/1921639,如需转载请自行联系原作者





相关文章
|
4天前
|
存储 安全 数据安全/隐私保护
打造安全防线!Python AES&RSA加密工具,黑客绕道走的秘籍
【9月更文挑战第9天】随着数字化时代的到来,信息安全问题日益凸显。本文将介绍如何使用Python结合AES与RSA两种加密算法,构建强大的加密工具。AES以其高效性和强安全性著称,适用于大量数据的快速加密;RSA作为非对称加密算法,在加密小量数据及实现数字签名方面表现卓越。通过整合两者,可以构建既安全又灵活的加密系统。首先,需要安装pycryptodome库。接着,实现AES加密与解密功能,最后利用RSA加密AES密钥,确保其安全传输。这种设计不仅提高了数据传输效率,还增强了密钥交换的安全性,为敏感数据提供坚实保护。
131 43
|
4天前
|
安全 Java 数据安全/隐私保护
- 代码加密混淆工具-Java 编程安全性
在Java编程领域,保护代码安全与知识产权至关重要。本文探讨了代码加密混淆工具的重要性,并介绍了五款流行工具:ProGuard、DexGuard、Jscrambler、DashO 和 Ipa Guard。这些工具通过压缩、优化、混淆和加密等手段,提升代码安全性,保护知识产权。ProGuard 是开源工具,用于压缩和混淆Java代码;DexGuard 专为Android应用程序设计,提供强大加密功能;Jscrambler 基于云,保护Web和移动应用的JavaScript及HTML5代码;DashO 支持多种Java平台和
18 1
|
23天前
|
存储 算法 Linux
在Linux中,如何理解加密工具?如GnuPG和OpenSSL。
在Linux中,如何理解加密工具?如GnuPG和OpenSSL。
|
29天前
|
jenkins 应用服务中间件 持续交付
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
50 8
|
29天前
|
负载均衡 前端开发 应用服务中间件
使用Nginx配置SSL以及部署前端项目
本文介绍了如何使用Nginx配置SSL证书以启用HTTPS,并展示了如何通过Nginx部署前端项目,包括配置SSL证书、设置代理和负载均衡的示例。
65 2
|
19天前
|
存储 网络安全 Windows
【Azure 云服务】为Azure云服务配置上自签名的SSL证书步骤
【Azure 云服务】为Azure云服务配置上自签名的SSL证书步骤
|
20天前
|
JSON 算法 API
【Azure API 管理】APIM 配置Validate-JWT策略,验证RS256非对称(公钥/私钥)加密的Token
【Azure API 管理】APIM 配置Validate-JWT策略,验证RS256非对称(公钥/私钥)加密的Token
|
29天前
|
安全 Nacos 数据安全/隐私保护
【技术干货】破解Nacos安全隐患:连接用户名与密码明文传输!掌握HTTPS、JWT与OAuth2.0加密秘籍,打造坚不可摧的微服务注册与配置中心!从原理到实践,全方位解析如何构建安全防护体系,让您从此告别数据泄露风险!
【8月更文挑战第15天】Nacos是一款广受好评的微服务注册与配置中心,但其连接用户名和密码的明文传输成为安全隐患。本文探讨加密策略提升安全性。首先介绍明文传输风险,随后对比三种加密方案:HTTPS简化数据保护;JWT令牌减少凭证传输,适配分布式环境;OAuth2.0增强安全,支持多授权模式。每种方案各有千秋,开发者需根据具体需求选择最佳实践,确保服务安全稳定运行。
69 0
|
29天前
|
缓存 Ubuntu 应用服务中间件
如何在 Ubuntu 14.04 上配置 Varnish Cache 4.0 实现 SSL 终止
如何在 Ubuntu 14.04 上配置 Varnish Cache 4.0 实现 SSL 终止
37 0
|
29天前
|
存储 安全 Linux
如何在 CentOS VPS 上配置 vsftpd 使用 SSL/TLS
如何在 CentOS VPS 上配置 vsftpd 使用 SSL/TLS
19 0