前段时间公司因业务需要,需在WLS91 下使用CA认证,经过查询大量资料后,终于将其配置成功了,现将详细配置步骤贴出来,
希望对有此需求的同仁有所帮助.
2a�D6c3y�R2X!o0步骤如下:
�o�R�s�~7I�y�N4U01. 成对的生成私钥(private key)和公钥(public certificate)
"s�A,y
B"K%r)t�a�R0在cmd下进入jdk/bin目录下执行:
*n�\�u�d�b5J-j)?4n0keytool –genkey –alias mykey–keyalg RSA –keysize 1024 –dname “CN=10.8.2.236, ōU=soft, O=whty, L=hubei, S=E, C=CN” –keypass 111111 –keystore ./mykey.jks –storepass 111111
2m�]�z�e8I%n�x!~�B0此时产生的密钥对有效期为180天,如果要更改其有效期,可在上述命令中加入:
�s
P#j ]�}�]0“-validity365”(一年)
�V2q�X;U�[�\�P�_0
�?�v�V�u�c$n�|�w"~0说明:alias是别名;keyalg指算法,keytool允许2种算法DSA和RSA,但这里WLS需要RSA;keysize的范围可以是512到1024,WLS licenses的可导出长度是512;dname指可区别的名字用于标识,必须按照一定的格式和顺序,其中(CN,域名或IP,不能有空格,OU:组织中部门的名字,O:组织名,L:城市名,S:省名,C:国家简写);keypass私钥的密码;keystore创建的文件的名字,以及地址(./放在当前目录);storepass是keystore的密码
/Q�]�t�i�U2v"J4@0 51Testing软件测试网!y4a�A�]*D ]�o)O�T�@ \
2. 证书请求的生成,它用于到CA机构获得证书
�u�x�O
W�L�]
~�a0keytool –certreq –alias mykey –sigalg “MD5withRSA” –file ./certreq.pem –keypass 111111 –keystore ./mykey.jks –storepass 111111
)k7|�S�H�G�U�N�f0 51Testing软件测试网�z�Q.? _0_�~�}
说明:sigalg是签名算法,对于RSA类型的私钥,需要的默认签名算法是MD5withRSA;file是提供CRS文件的位置和名字;keypass是私钥的密码;keystore是指定keystore文件;storepass是keystore的密码51Testing软件测试网�X�^�q�U6Y/K#|�e#w�^
51Testing软件测试网�j�a&H4E�m%s6w
3. 登陆CA服务器,申请CA
-~-k�H6`#O0 51Testing软件测试网#L�u:t"x�W�@�Z
�F7T'D�h1N�q/R"?0将第二步生成的”certreq.pem”用记事本打开,用里面的内容到CA服务器上申请CA,申请成功后,将获得两个文件,“server.cer”,certnew.p7b。51Testing软件测试网�k,J�a'N�~�F&v/h�V
4. 写CA到token.(注:token为usb key).51Testing软件测试网�h+t�@8R�i(f,F
5将“server.cer”,用记事本打开,另存为”serv.er.pem”,双击“certnew.p7b”,如下图:51Testing软件测试网�S9q(z;_4u�H�l�z5X4j
2k)P%[8I*f7W0两次双击右面区域文件夹,右键“IFCP Root CA”->所有任务->导出,保存为“rootca.cer”,51Testing软件测试网(`5X�v"O:I�u,A�u�f�]+P
右键“IFCP Web Logon CA”->所有任务->导出,保存为“subrootca.cer”51Testing软件测试网(S5r�r�m,h
将所生成的“mykey.pem,rootca.cer,subrootca.cer”copy到jdk/bin/下51Testing软件测试网�B)J/\ n
]
6.导入到custom trust keystore,使用keytool的标记import,命令如下:51Testing软件测试网�h�M�T�J�W�D�]
keytool -import -alias rootca -trustcacerts -file ./rootca.cer -keystore ./mykeytrust.jks -storepass 111111
!l&p!H)m�`�Q0遇到是否信任该证书提示时,输入y51Testing软件测试网�r�C2x�T%Y*n8S
keytool -import -alias subrootca -trustcacerts -file ./subrootca.cer -keystore ./ mykeytrust.jks -storepass 111111
�M�U�\:U�R'G�k�X�z0最后将从CA机构获得签名证书mykey.pem导入到custom identity keystore,命令如下:
�E
L9I�O�|�c1`/m�Q0keytool -import -alias server -file ./server.pem -keypass 111111 -keystore ./mykey.jks -storepass 11111151Testing软件测试网�L'O1g3[4L�}-e
此时共生成6个文件,它们分别是“mykey.jks, mykeytrust.jks,certreq.pem,mykey.pem,rootca.cer,subrootca.cer”,将它们copy到weblogic安装目录下
$I�z�`�I y0如:bea\weblogic91\samples\domains\wl_server51Testing软件测试网�H�M�i�u.O�w�u�j,Y
7.配置weblogic ssl,将weblogic默认http端口7001禁用,启用SSL端口7002(将SSL Listen Port Enabled,勾选)51Testing软件测试网�l�W�h,v%X�q
8.进入keystores选项,如下图:51Testing软件测试网�_;F9Z�l7T"m�m-w
�?�h8W�O S051Testing软件测试网3t�g�O�U'i�g
将Keystores:选择为:,
�C�_-}�O�D6Z&L
`0在Identity区域
t
J3E�O�H+I'Z�\�H0Custom Identity Keystore:输入bea/weblogic91/samples/domains/wl_server/mykey.jks51Testing软件测试网*t�o/b R
`3@
Custom Identity Keystore Type:输入JKS51Testing软件测试网"^�|�D.x$k
Custom Identity Keystore Passphrase:输入密码前几步所设为111111
�G:y9m)N7r�l0在Trust区域51Testing软件测试网�v#m�Z�?�e+v
Custom Trust Keystore:输入bea/weblogic91/samples/domains/wl_server/ mykeytrust.jks
�N#T(k,b.[�V�h0Custom Trust Keystore Type:输入JKS51Testing软件测试网�z�K�[�N�y
Custom Trust Keystore Passphrase:输入密码前几步所设为11111151Testing软件测试网
Z�^-F;w�z&m�Z3D G;|
然后点击“save”按钮,
�W1l-p�[�\�E�K09.切换到“SSL”选项,如下图:
}�U;i/|4f&~,S�^051Testing软件测试网�p�R9L+_ ]�f
在Identity and Trust Locations:选择,51Testing软件测试网)g�`�q�t*U$K�K�[
Private Key Alias:输入mykey
�L0k!n�T�O�z�u0Private Key Passphrase:输入密码前几步所设为111111
�N!{�D�g�R�d.g3v3|0然后点击“Advanced”,进入下一页面,如下图:51Testing软件测试网#q(~6W+a1t�n+a6o%D
0_ h%L1P�`�K!?3I4S0Two Way Client Cert behavīor:选择为,51Testing软件测试网�U�t�X�k�o�k�X�r�M�M
然后点击“save”,至此webloigc sever keystores&SSL已经配置完毕,重启服务器51Testing软件测试网 N�a�~�i6e
10.测试51Testing软件测试网�x�L�\�\�b9l
https://10.8.2.236:7002/csc/login_csc.jsp,如果已经插入token,会提示选择CA ,而后会提示输入PIN,如果pin码正确,会进入login_csc.jsp
�q�R�a b*N�J8}6A7J%z�s0注:1.此配置在IE6 ,IE7上测试成功
�{�B�A�l;]�X�V�F�y�[0(此后访问系统是要用https协议,登录地址:https://10.8.2.236:7002/csc/login_csc.jsp)
�g'z�D�A�R
Q3s
M�_'r02.如果改成token直接登录,不用进入login_csc.jsp,而是直接进入业务页面,可作如下更改51Testing软件测试网�O�z�C#w�j�s�y
在登录的时候,直接读取token中的用户名,无需密码51Testing软件测试网#o�A�a:o
Z0p7B+S�Z�N�H
在登记模块中,添加如下代码:
.~$c�['k�e z-d+^0try{
�p�u�b u
M:g�p8U0 51Testing软件测试网�i,c!T�I�Q�z
String certKey="javax.servlet.request.X509Certificate";51Testing软件测试网�w7v
p*U#C�` v8H
Object o = request.getAttribute(certKey);
%b�j�V�|+w9D3s�~0 java.security.cert.X509Certificate[] cert =null;51Testing软件测试网�@�H�K7c;K&[+{�^!^�X
if( o instanceof java.security.cert.X509Certificate[] ){ 51Testing软件测试网5D&?�q�A P�`8e�W
cert = ( java.security.cert.X509Certificate[] )o;
�w�[�b�X�n&j0 }
�E�l4D7C�Z�w3f�\0Principal p1= cert[0].getSubjectDN();
)k�X3[�m6q5\1s0String userId = p1.getName();//登录用户名
�t(_�l$t8|�N�v0}51Testing软件测试网8d#N9r2z%y-J�S;r�[
注:因CA服务器不同,第4步有所变化.51Testing软件测试网%G8A�l
o8V#T�N�D.W'X$S
