前提條件

• “證書狀態”為 “已簽發”。

• 已下載SSL證書，具體操作請參見下載證書。

• 已安裝JDK。

  Weblogic安裝後自帶JDK安裝。如果未安裝，則請安裝Java SE Development Kit (JDK)。

約束條件

• 證書安裝前，務必在安裝SSL證書的服務器上開啟 “443”端口，同時在組增加 “443”端口，避免安裝後仍然無法啟用HTTPS。
• 如果一個域名有多個服務器，則每一個服務器上都要部署。
• 待安裝證書的服務器上需要運行的域名，必須與證書的域名一一對應，即購買的是哪個域名的證書，則用於哪個域名。否則安裝部署後，瀏覽器將提示不。

操作步驟

在Weblogic服務器上安裝SSL證書的流程如下所示：

①獲取文件 → ②配置Weblogic → ③效果驗證

步驟一：獲取文件

安裝證書前，需要獲取證書文件和密碼文件，請根據申請證書時選擇的 “證書請求文件”生成方式來選擇操作步驟：

• 如果申請證書時， “證書請求文件”選擇 “係統生成CSR”。
• 如果申請證書時， “證書請求文件”選擇 “自己生成CSR”。

具體操作如下：

• 係統生成CSR
  1. 在本地解壓已下載的證書文件。
     下載的文件包含了 “Apache”、 “IIS”、 “Nginx”、 “Tomcat”4個文件夾和1個 “domain.csr”文件，如 圖1所示。

     圖1本地解壓SSL證書
     
  2. 從 “ 證書ID_ 證書綁定的域名_Tomcat”文件夾內獲得證書文件 “ 證書ID_ 證書綁定的域名_server.jks”和密碼文件 “ 證書ID_ 證書綁定的域名_keystorePass.txt”。
     須知：

     密碼文件 “keystorePass.txt”中的密碼為服務默認生成的初始密碼，為了您的係統，建議您及時修改該密碼。轉換證書格式時可修改密碼

• 申請證書時，如果 “證書請求文件”選擇 “自己生成CSR”，請參考以下步驟進行配置。
  1. 解壓已下載的證書壓縮包，獲得 “ 證書ID_ 證書綁定的域名_server.pem”文件。

     “ 證書ID_ 證書綁定的域名_server.pem”文件包括兩段證書代碼 “-----BEGIN CERTIFICATE-----”和 “-----END CERTIFICATE-----”，分別為服務器證書和中級CA證書。

  2. 使用OpenSSL工具，將pem格式證書轉換為PFX格式證書，得到 “server.pfx”文件。
     1. “pem”文件和生成CSR時的私鑰 “server.key”放在OpenSSL工具安裝目錄的bin目錄下。
     2. 在OpenSSL工具安裝目錄的bin目錄下，執行以下命令將pem格式證書轉換為PFX格式證書，按“Enter”。

        openssl pkcs12 -export -out server.pfx -inkey server.key -in 證書ID_ 證書綁定的域名_ server.pem

        回顯信息如下：

        Enter Export Password:

     3. 輸入PFX證書密碼，按“Enter”。

        此處輸入的密碼為用戶自定義密碼，請根據自己的需求進行設置並輸入密碼。

        回顯信息如下：

        Verifying - Enter Export Password:

        說明：

        請牢記此處輸入的PFX證書密碼。後續設置JKS密碼需要與此處設置的PFX密碼保持一致，否則可能會導致Weblogic啟動失敗。

        為提高用戶密碼性，建議按以下複雜度要求設置密碼：

        • 密碼長度為8～32個字符。
        • 少需要包含大寫字母、小寫字母、數字、空格、特殊字符~`!@#$%^&*()_+|{}:"<>?-=\[];',./中的3種類型字符。
     4. 再次輸入PFX證書密碼，按“Enter”。

        當係統沒有回顯任何錯誤信息，表示已在OpenSSL工具安裝目錄下成功生成 “server.pfx”文件。

  3. 使用Keytool工具，將PFX格式證書文件轉換成JKS格式，得到 “server.jks”文件。
     1. 將 2中生成的 “server.pfx”文件拷貝到 “%J**A_HOME%/jdk/bin”目錄下。
     2. 在 “%J**A_HOME%/jdk/bin”目錄下，執行以下命令，按“Enter”。

        keytool -importkeystore -srckeystore server.pfx -destkeystore server.jks -srcstoretype PKCS12 -deststoretype JKS

        回顯信息如下：

        輸入目標密鑰庫口令：

     3. 輸入JKS證書密碼，按“Enter”。
        須知：

        請將JKS密碼設置為與PFX證書密碼相同的密碼，否則可能會導致Weblogic啟動失敗。

        回顯信息如下：

        再次輸入新口令：

     4. 再次輸入JKS證書密碼，按“Enter”。

        回顯信息如下：

        輸入源密鑰庫口令：

     5. 輸入 2.c中設置PFX證書密碼，按“Enter”。

        回顯類似如下信息時，則表示轉換成功，已在OpenSSL工具安裝目錄下成功生成 “server.jks”文件。

        已成功導入別名
                            1的條目。 已完成導入命令：1個條目成功導入，0個條目失敗或取消

     6. 在 “%J**A_HOME%/jdk/bin”目錄下新建一個 “keystorePass.txt”文件，將JKS的密碼保存在該文件中。
  4. 將轉換後的證書文件 “server.jks”和新建的密碼文件 “keystorePass.txt”放在同一目錄下。

步驟二：配置Weblogic

1. 登錄Weblogic服務器管理控製台。
2. 單擊頁麵左上方 “Lock & Edit”，解鎖配置。
3. 在 “Domain Configurations”中，單擊 “Servers”。
   圖2服務器
   
4. 在服務器列表中，選擇您需要配置服務器證書的Server，進入服務器的設置頁麵。
   圖3目標服務器
   
5. 修改HTTPS端口。

   在服務器的配置頁麵，選擇 “General”頁簽，配置是否啟用HTTP和HTTPS，以及訪問端口號。

   請勾選 “Listen SSL Port Enabled”，並修改端口號為 “443”。

   圖4端口
   
6. 配置認證方式和密鑰。
   1. 在服務器的配置頁麵，選擇 “Keystores”頁簽，配置認證方式。
      圖5認證方式
      
      • 服務器身份認證請選擇 “Custom identity and Java Standard Trust”。
      • 雙向認證請選擇 “Custom Identity and Custom Trust”。
   2. 在 “Identity”區域中，配置密鑰。
      配置密鑰庫文件server.jks所保存的服務器上的路徑，並填寫密鑰庫文件密碼。

      圖6密鑰
      

      • Custom Identity Keystore：請填寫jks文件保存路徑。示例：C:\bea\server.jks
      • Custom Identity Keystore Type：文件格式請填寫 “jks”。
      • Custom Identity Keystore Passphrase：請填在證書密碼，即 “keystorePass.txt”中的密碼。
      • Confirm Custom Identity Keystore Passphrase：請再次填寫證書密碼。
   3. 在單向認證中，需要配置JRE默認信任庫文件cacerts。
      Cacerts默認密碼為changeit。

      圖7信任庫文件
      

      • Java Standard Trust Keystore Passphrase：輸入默認密碼changeit。
      • Confirm Java Standard Trust Keystore Passphrase：再次輸入默認密碼。
7. 配置服務器證書私鑰別名。
   在服務器的配置頁麵，選擇 “SSL”頁簽，配置以下參數：

   圖8私鑰
   

   • Identity and Trust locationss：請選擇為 “Keystores”。
   • Private KeyAlias：配置私鑰庫中的私鑰別名信息。私鑰別名可以使用 keystool -list命令查看。
   • Private Key Passphrase：輸入私鑰保護密碼。通常私鑰保護密碼和keystore文件保護密碼相同。
   • Confirm Private Key Passphrase：再次輸入私鑰保護密碼。
8. 設置完成後，單擊 “Active Changes”，保存所有修改。
   圖9保存配置
   
9. （可選）如果係統提示需要重啟Weblogic，則需要重啟後才能使配置生效。如 圖10所示，則無需重啟。
   圖10提示信息
   

效果驗證

部署成功後，可在瀏覽器的地址欄中輸入 “http://域名”，按 “Enter”。

如果瀏覽器地址欄顯示鎖標識，則說明證書安裝成功。