3.导入证书到keystore
3.1导入CA
导入CA内容到Custom Trust Keystore
命令:
keytool -import -alias rootca -trustcacerts -file rootca.cer -keystore ciktrust.jks -storepass weblogic
此处密码我设为weblogic,可以自己更改.
3.2导入WEB证书
导入certificate info 到 Custom Identity Keystore
3.2.1. 导入之前必须将根证书导入到%JAVA_HOME%/jre/lib/security/cacerts中,导入到cacerts:
keytool -import -v -alias "CMS-CA" -file rootca.cer -keystore c:/bea/jdk142_08/jre/lib/security/cacerts
此时命令行会提示你输入cacerts证书库的密码,你敲入changeit就行了,这是java中cacerts证书库的默认密码
3.2.2. 导入Custom Identity Keystore
keytool -import -trustcacerts -alias cik -file newcert.cer -keypass weblogic -keystore cik.jks -storepass weblogic
4.配置wls中的SSL
到此,我们C:/GetCA/拥有的文件有
1 cik.jks
2 rootca.cer
3 careq.pem
4 ciktrust.jks
5 certnew.cer
最终需要使用的是其中的两个jks文件 (Custom Identity Keystore ,Custom Trust Keystore)将上述文件拷贝到自己domain的目录下 例如:C:/bea/user_projects/domains/MyDomain
4.1.打开weblogic
1、在IE浏览器地址栏中输入http://localhost:7001/console进入登录界面
进入WLS配置界面,在Server配置页面中选择“Keystore&SSL”,点击[change],如没有则General SSL Listen Port Enabled 输入端口号7002;
2、出现keystore配置画面,如图中选择“Custom Identity And Custom Trust”
3.Custom Identity Keystore: 中输入:
C:/bea/user_projects/domains/MyDomain/cik.jks
Passphrase输入对应密码:weblogic (输入开始设置的密码)
Type:JKS
Custom Trust Keystore中输入:
C:/bea/user_projects/domains/MyDomain/ciktrust.jks
Passphrase输入对应密码:weblogic (输入开始设置的密码)
Type:JKS
4. 回到WLS配置界面,在Server配置页面中选择“Keystore&SSL”,在页面最下方找到Advanced Options,点击“show”进入高级选项配置.
5、 在“Two Way Client Cert Behavior”中选择
Client Certs Requested And Enforced, 就配置成双向SSL了,如需单向SSL,
这一项就不需修改了。
最后,重启weblogic,进入页面https://localhost:7002/,即可使用新的证书了。