Upload
vannhan
View
272
Download
0
Embed Size (px)
Citation preview
\\\\\\\\\\\\
“网证通”服务器证书安装配置指南系列之
WebLogic8.1服务器证书安装配置指南
www.cnca.net
广东省电子商务认证中心
Guangdong Electronic Certification Authority
最后更新时间:2005年 6月 17日
软件版本号:Windows 2000 Server;
WebLogic server 8.1(SP2);JDK1.4.2; IE 5.0
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 1 页
目录 1 概述 ...........................................................................................................................4
2 应用环境 ....................................................................................................................5
3 申请服务器证书 ..........................................................................................................5
3.1 简要 ..................................................................................................................5
3.2 产生 keyStore文件 weblogic.jks ...........................................................................5
3.3 产生证书请求 certreq.pem文件 ...........................................................................6
3.4 向 CA提交证书请求 ............................................................................................6
3.4.1 在 www.cnca.net的网站上申请服务器证书,提交证书请求 ............................6
4 下载服务器证书 server.cer............................................................................................8
5 下载服务器证书的证书链 .............................................................................................8
6 服务器证书安装 ..........................................................................................................9
6.1 把 4和 5产生的证书统一放在与 3.2同一目录 ..................................................... 10
6.2 导入服务器证书的证书链证书到 weblogic.jks ...................................................... 10
6.3 导入 server.cer入 weblogic.jks 命令 ................................................................... 10
6.4 显示确认已导入 weblogic.jks文件的证书 ............................................................ 11
6.5 产生 weblogic的 cacerts文件 ............................................................................ 11
6.6 导入服务器证书链的证书入 cacerts文件 ............................................................. 12
6.7 把 weblogic.jks文件另存为 weblogictrust.jks....................................................... 13
6.8 把以下三个文件复制到指定目录 ......................................................................... 13
7 weblogic的 SSL配置 ................................................................................................. 14
7.1 启动myserver的 weblogic................................................................................. 14
7.2 再选择下图中的 SSL Listen Port Enabled............................................................. 14
7.3 选择 Keystores & SSL项 .................................................................................... 15
7.4 点击上图中的"change",选择 custom Truest ....................................................... 15
7.5 配置 keystores&SSL .......................................................................................... 16
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 2 页
8 应用启用使用 SSL..................................................................................................... 20
9 配置服务器实现客户端提交数字证书 ........................................................................... 20
9.1 申请客户端数字证书 ......................................................................................... 20
9.2 安装数字证书 ................................................................................................... 22
9.3 安装数字证书证书链 ......................................................................................... 23
9.4 查看数字证书 ................................................................................................... 24
9.5 导出数字证书的根证书 ...................................................................................... 25
9.6 把 9.5导出的根证书都复制到 weblogic服务器 .................................................... 29
9.7 添加客户端的证书的证书链到 weblogictrust.jks文件............................................ 29
9.8 把产生的新 weblogictrust.jks文件复制到指定目录 ............................................... 29
9.9 在 weblogic里配置客户端数字证书相关 .............................................................. 29
9.10 重新启动服务 ................................................................................................ 32
9.11 有效的证书登录 ............................................................................................. 33
10 结束语................................................................................................................ 34
图表目录 图表 1产生 keystore命令行里 DName的域含义 ...........................................................6
图表 2申请服务器证书...............................................................................................8
图表 3下载服务器证书...............................................................................................8
图表 4打开证书链 p7b文件........................................................................................9
图表 5导出服务器证书(1) ......................................................................................9
图表 6导出服务器证书(2) ......................................................................................9
图表 7启动myserer的 weblogic服务 ........................................................................ 14
图表 8选择 SSL Listen Port Enabled .......................................................................... 15
图表 9选择 keystores&SSL ....................................................................................... 15
图表 10 CHANGE keystores....................................................................................... 15
图表 11填写 keystores&SSL的配置 ........................................................................... 18
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 3 页
图表 12private key alias配置 .................................................................................... 18
图表 13SSL标志 ...................................................................................................... 20
图表 14申请个人证书 .............................................................................................. 22
图表 15安装个人数字证书(1) ............................................................................... 22
图表 16安装个人数字证书(2) ............................................................................... 23
图表 17安装个人数字证书(3) ............................................................................... 23
图表 18安装证书证书链 ........................................................................................... 24
图表 19查看证书 ..................................................................................................... 24
图表 20证书路径(可查看知道该证书的证书链路径) ................................................ 25
图表 21导出 NETCA Test Individual CA(1)双击 .................................................... 26
图表 22导出 NETCA Test Individual CA(2) ........................................................... 27
图表 23NETCA Test Individual CA(3)详细信息 ...................................................... 28
图表 24选择 Base64 ................................................................................................ 29
图表 25weblogic客户端配置(1)............................................................................. 30
图表 26weblogic客户端配置(2)选择 advanced Option的 Show ................................ 30
图表 27 weblogic客户端配置(3)............................................................................ 31
图表 28 weblogic客户端配置(4) 点击 Change 保存修改 ....................................... 32
图表 29 weblogic客户端配置(5)成功保存配置 ........................................................ 32
图表 30重新启动服务 .............................................................................................. 33
图表 31弹出客户身份验证的证书(点击确定就可以登录你的系统了) ......................... 34
图表 32查看 客户身份验证证书内容 ......................................................................... 34
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 4 页
1 概述
数字证书又称为数字标识(Digital Certificate,Digital ID)。它提供了一种在 Internet上身份
验证的方式,是用来标志和证明网络通信双方身份的数字信息文件,与司机驾照或日常生活中的
身份证相似。在网上进行电子商务活动时,交易双方需要使用数字证书来表明自己的身份,并使
用数字证书来进行有关的交易操作。通俗地讲,数字证书就是个人或单位在 Internet的身份证。
数字证书主要包括三方面的内容:证书所有者的信息、证书所有者的公开密钥和证书颁发机构的
签名。
服务器数字证书与 SSL协议、数字签名等技术结合,可以方便的满足网上商厦、网上招标系统、
办公自动化系统、网管系统等各种应用的安全需求:
实现安全登录,有效控制客户身份与权限
使用这种新型的用户登录及身份确认技术,按证书分配权限,解决密码登录方式繁琐、不
安全的弊端,有效防止他人冒充登录、防止用户抵赖等。
建立安全WEB站点,保证网站真实性
防止黑客克隆真正网站的网页,然后通过一些黑客技术,冒充您想访问的真正网站,从而
获得用户的登录密码和网上的支付账号。服务器证书利用数字签名技术,使用户能够以可
靠的方式确认网站的真实性与唯一性,解决网上交易可能存在的诈骗。
保证信息的保密性
通过 SSL协议,建立加密的安全通道,实现信息的加密传递,保护机密数据。
保证信息的完整性
通过数字摘要、数字签名等技术,发送方发送的信息在传递过程中即使仅仅被改动了一个
标点符号,接收方也会收到警告信息,从而保证收发信息的完整性。此技术可应用于网上
交易表单签名、网上炒股的数字签单、代码签名等。
本文主要解决在 WebLogic8.1 的环境下如何安装服务器证书,从而实现安全 WEB 站点、安全登
录等功能的问题。
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 5 页
2 应用环境
系统环境 Windows2000; WebLogic8.1 server 8.1(sp2);IE5.5 ,JDK1.4.2或 JDK1.4.*
证书类型 网证通服务器证书,申请地址:http://www.cnca.net (申请网证通试用型数字证书,请访
问链接:http://testca.netca.net )。
注:以下的 WebLogic8.1 的服务器证书选择了试用型服务器证书(三个月证书有效使用日期)。
如果正式的用户,请申请正式的服务器证书。并下载正式服务器证书的证书链
3 申请服务器证书
以下安装必须是已安装WebLogic8.1 及 JDK后进行
3.1 简要
以下的命令行,请使用 开始->运行 输入 cmd 进入 DOS环境 进行
3.2 产生 keyStore文件weblogic.jks
产生 keystore文件的命令 keytool -genkey -alias weblogic -keyalg RSA -keysize 512 -dname "CN=192.168.0.32,OU=技术与
运维部,O=广东省电子商务认证中心,L=广州市广州大道北 138 号 7-8 楼,S=Guangdong,C=CN" -keypass 123456 -keystore ./weblogic.jks -storepass 123456
说明:1)本来-keysize 的值应为 1024,但 weblogic8.1的 license只允许 512.
2)以上的 DN信息里不允许有 E项,否则会抛出 keytool错误: java.io.IOException: Invalid keyword "E"
3)如果在 c:>下不能识别 keytool,请进入 C:\bea\jrockit81sp2_141_05\jre\bin>目录下输入(或者进入
keytool.exe所在的目录下)
4)命令行里 DName信息注解
DN信息域 含义
CN 域名或 IP
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 6 页
OU 部门,没有部门的可不要此项
O 单位名称
L 单位地址
S 省份的拼音(第一个字母大写)
C 国家的简写 (CN代表中国)
图表 1产生 keystore命令行里 DName的域含义
3.3 产生证书请求 certreq.pem文件
产生 certreq.pem的命令 keytool -certreq -alias weblogic -sigalg "MD5withRSA" -file ./certreq.pem -keypass 123456 -keystore ./weblogic.jks -storepass 123456
3.4 向 CA提交证书请求
3.4.1 在www.cnca.net的网站上申请服务器证书,提交证书请求
访问 www.cnca.net,进入证书申请的页面,按照页面提示填写申请资料,并在相应的地方粘
贴上以上 3.3所生成的证书请求文件(如:certreq.pem)的内容。具体的网上申请表填写办法请参考本中心服务器证书申请的实例(见下图)。这里需要注意的是,对于正式证书,为了兼容多种浏
览器,建议使用英文填写如下的信息:
域名
单位名称
部门名称
单位地址
如果正式的用户请申请正式型的服务器证书,以下以申请试用型服务器证书为例:
注意,申请时看到请把证书请求复制到下面的文本框 ,需把以上 3.3产生的 certreq.pem证书请求用记事本打开(用 CTRL + A全选)复制粘贴到此框中,切记
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 7 页
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 8 页
图表 2申请服务器证书
4 下载服务器证书 server.cer
按步骤完成证书申请后,系统会自动将证书业务受理号和密码发送到用户电子邮箱中。然后
用户如实填写书面申请表,并提交给 RA点进行身份审核、交费,身份审核通过后用户将会 收到一封通知已经签发证书的电子邮件,请在 1个工作日后下载证书(申请者利用第一封电子邮件中的证书业务受理号和密码,在证书下载页相应位置填入证书业务受理号和密码,下载证书文件,
并在本地计算机上保存为 server.cer,
图表 3下载服务器证书
5 下载服务器证书的证书链
以下以试用型服务器证书为例,正式的服务器证书链的方法参照可。 目的为导出服务器证书链 p7b 文件里的每一个证书到文件里备用(在安装服务器证书到
weblogic时要用到) 1) 访问服务器证书申请页面的首页,下载证书链文件存为 ServerRoot.p7b。 2) 打开 ServerRoot.p7b,可以看到有二个证书。先选择 NETCA Test Root,点击鼠标右键选择导出
文件 TESTROOT.cer,在导出过程中,注意选择导出文件格式为 Base64编码 X.509(.cer)。然后,用同样的方法导出 NETCA Test Server CA ,导出文件为 TESTCA.cer
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 9 页
图表 4打开证书链 p7b文件
图表 5导出服务器证书(1)
图表 6导出服务器证书(2)
6 服务器证书安装
参考目录:C:\bea\jrockit81sp2_141_05\jre\bin>
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 10 页
6.1 把 4和 5产生的证书统一放在与 3.2同一目录
如以上的 3.2产生 keystore的 weblogic.jks文件放在 C:\bea\jrockit81sp2_141_05\jre\bin; 则 把 4 产 生 的 server.cer 和 5 产 生 的 TESTROOT.cer 和 TESTCA.cer 都 放 在
C:\bea\jrockit81sp2_141_05\jre\bin目录 注:需把 TESTROOT.cer 和 TESTCA.cer 放在与 weblogic.jks 同一目录,便于以下导入证
书入 weblogic
6.2 导入服务器证书的证书链证书到weblogic.jks
由于试用型服务器证书的证书链在 5已导出 TESTROOT.cer 和 TESTCA.cer
故只需把此二个文件导入到 weblogic.jks就可以了;如果是正式的证书,其证书链 p7b文件有几
个证书就需把几个文件导入到 weblogic.jks.
导入 TESTROOT.cer 入 weblogic.jks命令 keytool -import -alias testroot -trustcacerts -file ./TESTROOT.cer -keystore ./weblogic.jks -storepass 123456 显示
Owner: CN=NETCA Test Root, O=NETCA Test Certificate Authority, C=CN 发照者: CN=NETCA Test Root, O=NETCA Test Certificate Authority, C=CN 序号: 1 有效期间: Tue May 08 08:00:00 CST 2001 至: Thu May 08 08:00:00 CST 2031 认证指纹: MD5: CC:22:5F:FE:62:EF:92:D3:5C:2F:0F:85:48:94:71:49 SHA1: 05:94:68:E9:E1:7E:EE:00:71:99:A9:D6:CC:09:90:D7:71:24:A7:FE
信任这个认证? [否]: y 认证已添加至 keystore中
导入 TESTCA.cer入 weblogic.jks命令 keytool -import -trustcacerts -alias TESTCA -file ./TESTCA.cer -keypass 123456
-keystore ./weblogic.jks -storepass 123456
显示
认证已添加至 keystore中
6.3 导入 server.cer入weblogic.jks 命令
命令 keytool -import -trustcacerts -alias WebLogic -file ./Server.cer -keypass 123456
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 11 页
-keystore ./weblogic.jks -storepass 123456
显示:
认证回复已安装在 keystore中
6.4 显示确认已导入weblogic.jks文件的证书
命令 keytool -list -v -keystore ./weblogic.jks -storepass 123456
显示该文件的已有的证书: Keystore 类型: jks Keystore 提供者: SUN 您的 keystore 包含 3 输入 别名名称: testroot 创建日期: 2005-5-17 输入类型: trustedCertEntry 。。。。。。。。。。
Owner: [email protected], CN=192.168.0.32, L=广州市广州大道北 138号 7-8
楼, ST=Guangdong, C=CN
发照者: CN=NETCA Test Server CA, OU=Test Server CA, O=NETCA Test Certificate Au
thority, C=CN
序号: 1d6b
有效期间: Tue May 17 11:35:50 CST 2005 至: Mon Aug 15 11:35:50 CST 2005
认证指纹:
MD5: 6B:D6:66:D7:6D:F4:90:52:63:C1:BE:E0:B3:97:3B:6F
SHA1: 0A:52:BC:90:A0:B2:52:0F:41:72:1F:DD:9F:49:6C:EE:53:ED:3F:E8
6.5 产生weblogic的 cacerts文件
如 weblogic还没有 cacerts文件,则产生它 产生 cacerts文件命令
keytool -genkey -keystore "cacerts" -storepass 123456 -keyalg RSA
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 12 页
显示:(所有请按回车可) 您的名字与姓氏是什么? [Unknown]: 您的组织单位名称是什么? [Unknown]: 您的组织名称是什么? [Unknown]: 您所在的城市或区域名称是什么? [Unknown]: 您所在的州或省份名称是什么? [Unknown]: 该单位的两字母国家代码是什么 [Unknown]: CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown 正
确吗? [否]: 您的名字与姓氏是什么? [Unknown]: 您的组织单位名称是什么? [Unknown]: 您所在的城市或区域名称是什么? [Unknown]: 您所在的州或省份名称是什么? [Unknown]: 该单位的两字母国家代码是什么 [Unknown]: CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown 正
确吗? [否]: y 输入<mykey>的主密码 (如果和 keystore 密码相同,按回车):
6.6 导入服务器证书链的证书入 cacerts文件
由于试用型服务器证书的证书链在 5已导出 TESTROOT.cer 和 TESTCA.cer
故只需把此二个文件导入到 cacerts就可以了;如果是正式的证书,其证书链 p7b文件有几个证书
就需把几个文件导入到 cacerts.
导入 TESTCA.cer入 cacerts文件命令
keytool -import -alias rootca -trustcacerts -file ./TESTCA.cer -keystore ./cacerts -storepass 123456
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 13 页
显示: Owner: CN=NETCA Test Server CA, OU=Test Server CA, O=NETCA Test Certificate Au ority, C=CN 发照者: CN=NETCA Test Root, O=NETCA Test Certificate Authority, C=CN 序号: 3 有效期间: Fri May 18 08:00:00 CST 2001 至: Mon May 18 08:00:00 CST 2026 认证指纹: MD5: D1:B5:ED:4B:86:CC:36:70:A3:F6:62:5E:50:70:75:AE SHA1: F0:6E:CE:66:03:0A:A3:17:9F:9C:57:74:07:B7:DB:B2:EA:1E:57:FA 信任这个认证? [否]: y 认证已添加至 keystore中
导入 TESTROOT.cer入 cacerts文件命令 keytool -import -alias rootroot -trustcacerts -file ./TESTROOT.cer -keystore ./cacerts -storepass 123456 显示:
Owner: CN=NETCA Test Root, O=NETCA Test Certificate Authority, C=CN 发照者: CN=NETCA Test Root, O=NETCA Test Certificate Authority, C=CN 序号: 1 有效期间: Tue May 08 08:00:00 CST 2001 至: Thu May 08 08:00:00 CST 2031 认证指纹: MD5: CC:22:5F:FE:62:EF:92:D3:5C:2F:0F:85:48:94:71:49 SHA1: 05:94:68:E9:E1:7E:EE:00:71:99:A9:D6:CC:09:90:D7:71:24:A7:FE 信任这个认证? [否]: y 认证已添加至 keystore中
显示 cacerts文件内容命令 keytool -list -v -keystore ./weblogic.jks -storepass 123456
6.7 把weblogic.jks文件另存为weblogictrust.jks
把 weblogic.jks文件另存为 weblogictrust.jks
6.8 把以下三个文件复制到指定目录
把 weblogic.jks、weblogictrust.jks、cacerts 复制到 C:\bea\weblogic81\jks 注:如果你的 weblogic81的目录有差别,请把这三个文件复制到你实际的 weblogic目录下的
jks目录。此目录在 weblogic的 SSL配置 里需用到它。
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 14 页
7 weblogic的 SSL配置
7.1 启动myserver的weblogic
如:http://192.168.0.32:7001/console (URL以你实际的机器 URL为准),登录到 myserver 如图:
图表 7启动myserer的 weblogic服务
7.2 再选择下图中的 SSL Listen Port Enabled
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 15 页
图表 8选择 SSL Listen Port Enabled
7.3 选择 Keystores & SSL项
从菜单中选择 Keystores & SSL,如下图
图表 9选择 keystores&SSL
7.4 点击上图中的"change",选择 custom Truest
图表 10 CHANGE keystores
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 16 页
7.5 配置 keystores&SSL
在第一项 Custom Identity Keystore:输入的目录为以上 6.8的目录
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 17 页
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 18 页
图表 11填写 keystores&SSL的配置
Custom Identity 填写具体如下:
Custom Identity Key Store File Name:C:\bea\weblogic81\jks\weblogic.jks
Custom Identity Key Store Type:jks
Custom Identity Key Store Pass Phrase(第三个参数为密码):123456
Confirm Custom Identity Key Store Pass Phrase:123456
Custom Trust
Custom Trust Keystore:C:\bea\weblogic81\jks\weblogictrust.jks
Custom Identity Key Store Type:jks
Custom Identity Key Store Passphrase:123456
Confirm Custom Trust Key Store Pass Phrase:123456
点击上图的"continue"进入下图
图表 12private key alias配置
Private Key Alias: weblogic
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 19 页
Passphrase: 123456
Confirm Passphrase:123456
8 应用启用使用 SSL
当服务器配置好 SSL后,就可以通过 https的方式进行安全访问Web网站了,登录系统时 IE窗口的右下角会出现一个锁的标记,如下图。,系统中的 weblogic的服务器证书已成功配置成功。
图表 13SSL标志
当客户端需登录你的系统时,需在在浏览器 IE的 URL栏输入 https://域名或 IP(你的网站)。
9 配置服务器实现客户端提交数字证书
9.1 申请客户端数字证书
找一台能上网的机器进行 9.1~9.5小节的操作 如您申请的为正式个人证书或单位员工或其它证书,就到 www.cnca.net去下载相应的
证书的证书链 以下为申请的试用型个人证书做为测试登录 weblogic8.1 服务器系统,下载试用型个
人证书链
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 21 页
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 22 页
图表 14申请个人证书
9.2 安装数字证书
按步骤完成证书申请后,系统会自动将证书业务受理号和密码发送到用户电子邮箱
中。然后用户如实填写书面申请表,并提交给 RA点进行身份审核、交费,身份审核通过后用户将会 收到一封通知已经签发证书的电子邮件,请在 1 个工作日后下载证书(申请者利用第一封电子邮件中的证书业务受理号和密码,在证书安装页相应位置填入证书业务
受理号和密码,安装数字证书。 如果是试用型个人证书,即会即时签发(证书有效使用日期为三个月)
图表 15安装个人数字证书(1)
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 23 页
图表 16安装个人数字证书(2)
点击安装证书按钮
图表 17安装个人数字证书(3)
9.3 安装数字证书证书链
正式的数字证书可以到 www.cnca.net,安装该证书的证书链,如果个人证书则安装个个证书证书链,如果是单位员工证书则安装单位员工证书证书链
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 24 页
图表 18安装证书证书链
9.4 查看数字证书
图表 19查看证书
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 25 页
图表 20证书路径(可查看知道该证书的证书链路径)
9.5 导出数字证书的根证书
通过以上的 9.3的图表 19,可知道 9.2申请的数字证书的根证书共二级:分别是 NETCA
Test Root 和 NETCA Test Individual CA,注意选择导出文件格式为 Base64 编码 X.509(.cer)。
如果是正式的证书,也可以通过看其证书路径获知其数字证书的根证书
把 NETCA Test Individual CA导为 TestIndividual.cer 双击导出 NETCA Test Individual CA
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 26 页
图表 21导出 NETCA Test Individual CA(1)双击
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 27 页
图表 22导出 NETCA Test Individual CA(2)
点击详细信息
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 28 页
图表 23NETCA Test Individual CA(3)详细信息
点击复到到文件按钮导出 NETCA Test Individual CA
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 29 页
图表 24选择 Base64
点击下一步。。。就可以把 NETCA Test Individual CA证书导出为
TestIndividual.cer
注意 1)注意选择导出文件格式为 Base64编码 X.509(.cer)。 2)如果证书路径有多个证书都需导出。
9.6 把 9.5导出的根证书都复制到weblogic服务器
以上申请的数字证书的根证书有二个:NETCA Test Individual Ca 和 NETCA Test
Individual Root。 因 weblogic服务器已有 NETCA Test Individual Root的证书,故我们把导出的文件
TestIndividual.cer复制到 weblogic服务器 把 TestIndividual.cer复制到 C:\bea\jrockit81sp2_141_05\jre\bin>目录(与 3.2产生 keystore文件 weblogic.jks同一目录)
9.7 添加客户端的证书的证书链到weblogictrust.jks文件
以下操作在服务器在 weblogic服务器进行 把 9,.5导出的所有数字证书都导入 weblogictrust.jks,切记
把 TestIndividual.cer 导入 weblogictrust.jks的命令 keytool -import -alias rootIndividual -trustcacerts -file ./TestIndividual.cer -keystore ./weblogictrust.jks -storepass 123456 显示: 认证已添加至 keystore中
如果其根证书有多个证书,就一一导入可
9.8 把产生的新weblogictrust.jks文件复制到指定目录
把新的weblogictrust..jks文件复制到 C:\bea\weblogic81\jks(目录与 6.8的weblogic目录一致) 该新的 weblogictrust.jks是为 weblogic服务器在配置客户端提交数字证书时用到
9.9 在weblogic里配置客户端数字证书相关
进入 weblogic的 Keystores & SSL,如下图
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 30 页
例: http://你的网址:7001/console
图表 25weblogic客户端配置(1)
在 Keystores & SSL 里向下找到 Advanced Options 点击右边的 SHOW,如下图
图表 26weblogic客户端配置(2)选择 advanced Option的 Show
点击 SHOW,光标向下,找到 Server Attributes看到如下图,
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 31 页
图表 27 weblogic客户端配置(3)
Two Way Client Cert Behavior的选项里 选择 Client Certs Requested But Not
Enforced项 或 Clent Certs Requested And Enforced项都可以,但最好选
择后一项 Clent Certs Requested And Enforced
修改完毕后,要点击 Change 保存配置的修改
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 32 页
图表 28 weblogic客户端配置(4) 点击 Change 保存修改
图表 29 weblogic客户端配置(5)成功保存配置
9.10 重新启动服务
重起WebLogic,使配置生效,如下图
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 33 页
图表 30重新启动服务
9.11 有效的证书登录
浏览器的 URL栏中输入 https://你的网站 就可以看到如下图
服务器证书安装配置之WebLogic8.1_V3.0
2005-6-17 广东省电子商务认证中心 第 34 页
图表 31弹出客户身份验证的证书(点击确定就可以登录你的系统了)
如果点击客户身份验证 的查看证书按钮,就会显示出这张客户证书的内容了
图表 32查看 客户身份验证证书内容
注:如果是正式的证书,可以在我公司的网站,申请个人证书或单位证书或单位员工证书,且正
确安装证书链,然后在浏览器的 URL栏中输入 https://你的网站,浏览器自动显示你的系统的客户端证书,选定你要试用的证书,点击确定,你就可以登录你的网站了
10 结束语
感谢您使用广东省电子商务认证中心的数字证书。我们将不断推出新的服务以满足您在电
子商务中的不同需求。如果您在使用我们的产品过程中有任何疑问,请立即与我们联系,
我们将为您提供完善的售后服务。