SSL原理以及Linux下WebLogic Server 8配置SSL的经验总结

在openssl.cnf（附件中带详细版本）中按照上边的提示修改[ca_v3]部分，生成出来的CA就符合WebLogic条件了。通过-Dweblogic.security.SSL.enforceConstraints=[strong|true|strict|off] 可以定义weblogic对证书的条件严格程度，strong和 true都是要求 证书中有“CA:true” 的存在。Strict除了前边提到的条件，还需要“critical”也存在。

CA证书的extension确定了，接下来要确定用户证书的extension。幸运的是，用户证书不需要任何extension。也别画蛇添足加上去，反而会弄巧成拙的。直接在openssl.cnf最后加上一句[wls_cert]就可以了，后边别加任何东西。

最终结果：可以自己随意生成WebLogic支持的证书。研究一次，受益终身。 4．说了那么多，如何生成需要的CA和证书呢？

问题描述：好了，原理明白了（或者我不想看原理），给我一点能直接执行的指令。

解决方案：本例中我将会建立CA证书以及Fantasy证书来做示范。其余的4张证书，请读者自己按照Fantasy证书的做法生成。

首先，确保当前目录有misc这个目录存在，这个目录应该是在/etc/ssl下，如果找不到，可以通过locate/find命令搜索。如果仍然找不到，附件中带有相应的文件。详细的输入细节，请参考附件中的misc.doc文档。 1．生成CA。

a)./misc/CA.pl ?newca

2．生成证书。此步骤中，Fantasy就是 Identity Name。

a)确保当前目录有demoCA目录。不然执行上边的语句生成CA。 b)生成CSR（证书签名请求）

i.$ ./req Fantasy

c)用CA签名CSR

i.$ ./sign Fantasy

d)生成Keystore

i.$ ./ksgen Fantasy

3．用Fantasy.jks拷贝到相应目录中。下列表格中，列出了不同证书应该存放的地点。 表3

证书 Fantasy NMFiancee Fiancee NMCircle Circle 存放目录 bea8/user_projects/domain/LovelyBunny/Fantasy.jks /bea8/weblogic/common/nodemanager/NMFiancee.jks /bea8/weblogic/common/nodemanager/Fiancee.jks /bea8/weblogic/common/nodemanager/NMCircle.jks /bea8/weblogic/common/nodemanager/Circle.jks 所在机器 Fantasy Fantasy Fantasy Fiancee Fiancee 4．以上问题都解决了，不同机器上证书还是不能用。

问题描述：已经按照要求生成证书了，还是不能SSL通讯。2台机器。 解决提议：

1．确定2台机器的防火墙已经关闭。

2．确定2台机器的时间是一样的。这个问题困扰了笔者1天，希望大家注意。尤其用

Linux系统，要设置好时区。

（三）KeyStore的生成

本步骤是整个配置过程中最为重要的一个步骤之一，请仔细阅读。

1．WebLogic中，证书应该如何分配？

问题描述：我知道如何生成证书了，但是究竟应该如何安排他们才合适？

解决方案：在同一个WebLogic Domain中，有且只有一个Admin Server。其他如Node Manager或者Managed Server等，是可选的。

首先，Admin Server需要一个证书证明自己。每一个NodeManager也需要一个证书，这个是用来和Admin Server连接用的，但是这个证书和Managed Server的证书是不一样的，别混淆。虽然NodeManager可以启动Managed Server，但是他们的之间的证书没有什么关联，不过他们一定要是同一个CA发出来的。还有，Managed Server可以在任何一台机器上运行，这个是不固定的。不过记得，证书要跟着一起移动。

要说明的一点是，如果一台机器上有一个NodeManager和一个Managed Server, 他们可以是同一个证书，不过这样不符合体系。之所以可以是同一证书，是因为他们的使用是分开的，NodeManager的证书是用来和Admin Server通讯用的。Managed Server证书的作用是给客户以及和Admin Server通讯用的，NodeManager和 Managed Server之间，除了前者启动后者外，没有任何联系。

在本文中，NodeManager 和 Managed Server的证书是分开的。Admin Server拥有一个证书，两个NodeManager和两个Managed Server各自有各自的证书，如果觉得过于繁琐，可以先配置成功其中一台机器的NodeManager和Managed Server，然后再配第二台。以下列出5个证书的重要属性。 表2

Name Admin Server Fantasy NodeManager Fiancee NodeManager Circle Managed Server Fiancee Managed Server Circle Identity Name Fantasy NMFiancee NMCircle Fiancee Circle Common Name(CN) Fantasy.CJW.com nodeFiancee.CJW.com nodeCircle.CJW.com Fiancee.CJW.com Circle.CJW.com 以下这些是相同的内容，不重复了。 Country Name: CN

State or Province Name: GuangDong Locality Name: GuangZhou

Organization Name: ChinaJavaWorld Organization Unit Name: WebLogic Email Address: 自己想一个就可以了

表格中，Common Name是最重要的属性，千万别弄错。Identity Name是用在脚本工具上的，可以随便叫都可以。不过请注意，提供的脚本中，KeyStore的PrivateKey Alias是以Identity Name为基础的。

2．如何安排KeyStore。

问题描述：WebLogic支持Identity和Trust分开在不同的KeyStore中，如何安排才更容易配置。

Identity指的是用户，或者身份。简单来说，就是一个证书所要证明的东西。 Trust指的是信任。就是说只有通过了这个Trust验证的证书才是受信任的。

解决方案：个人认为，测试的时候Trust和Identity放在一起，传输和配置起来方便。Admin的KeyStore不用包含NodeManager的Certificate。其他的Node Manager和Managed Server只包含自己需要的Certificate。如果是企业应用，考虑分开Trust 和 Identity，主要原因是Trust的Keystore不需要设置密码比较方便使用；或者多台机器可以通过网络映射，使用同一个Trust，而不需要一个Trust 多次拷贝，省去版本控制。 3．生成的KeyStore不符合规格。