SSL原理以及Linux下WebLogic Server 8配置SSL的经验总结

问题描述：生成证书之后，需要把证书加入KeyStore，以供WebLogic使用。生成过程中，需要相应的步骤，不然生成的证书的证书链是错误的。这个可以在KeyStore生成后，用WebLogic提供的工具检验（utils.ValidateCertChain类）。

解决方案：使用提供的脚本（见附录3说明），自动把证书导入KeyStore。WebLogic提供的检验工具，检验不出来错误的extension，只能检查出证书链的错误。所以以前的步骤要小心。

（四）Admin Server的配置

这个阶段，是配置Server阶段，通常没有什么大问题。 1．如何配置

问题描述：如果生成domain的时候，没有把表1的内容输入，那么我们可以从Console Panel中进行配置。 1.1配置Servers

1.1.1在Servers下，新建1个Server，名字是Fiancee

1.1.1.1输入名字后，修改监听地址为Fiancee.CJW.com 1.1.1.2选中SSL Listen Port Enabled，然后Port填入7002 1.1.1.3点击Apply

1.1.1.4重复1.1.1中的几个步骤，把Circle也加入

1.2配置KeyStore

1.2.1点击Fiancee，右边Configuration下边的Keystores & SSL中，点击Change，选

择Custom Identity and Custom Trust，然后Continue

1.2.2 Custom Identity中，

Custom Identity Key Store File Name: Fiancee.jks

Custom Identity Key Store Type: JKS

Custom Identity Key Store Pass Phrase: password

Confirm Custom Identity Key Store Pass Phrase: password

1.2.3 Custom Trust中

Custom Trust Key Store File Name: Fiancee.jks Custom Trust Key Store Type: JKS

Custom Trust Key Store Pass Phrase: password

Confirm Custom Trust Key Store Pass Phrase: password

1.2.4点击Continue

1.2.5 Review SSL Private Key Settings 中

Private Key Alias: FianceePK (就是IdentityName后边跟一个PK) Passphrase :password

Confirm Passphrase: password

1.2.6点击Contiune 1.2.7点击Finish

1.2.8点击左边Servers中的Circle，重复步骤2－5，把Fiancee改成Circle就OK了

1.3配置Cluster（本步骤可忽略，除非你想建立一个Cluster。）

1.3.1点击左边Clusters，然后Configure a new Cluster...，名字中填入MyCluster，

点击确定

1.3.2在Cluster Address中，填入“Fiancee.CJW.com,Circle.CJW.com”。

1.3.3在Server tab中，把Fiancee和 Circle都放在右边，点击Apply，就完成Cluster

设置

1.4配置Machine

1.4.1点击左边的Machines，添加1个新的Machine，名字为Laptop 1.4.2 Node Manager栏中，

Listen Address: nodeLaptop.cjw.com Listen Port: 5555

这里的Listen Address，就是hosts文件中紧跟IP地址后边那个DNS，不然会出

现Hostname Verfication失败。当然，你可以在这里输入IP，这样就不会有以上问题出现。

1.4.3点击Apply

1.4.4 Server栏中，把Fiancee放入右边 1.4.5重复以上步骤，把CircleM也加入Machine

1.5重启Admin Server，完成配置

（五）配置Node Manager

NodeManager，不是一个Server实例，而是一个服务。它掌管的是一台机器。所以一台机器只需要一个NodeManager，她可以掌管所在该机器的Managed Server。NodeManager的配置和Admin/Managed Server有所不同，其配置文件是weblogic81/common/nodemanager下

nodemanager.properties和nodemanager.hosts。前者配置 NodeManager的运行属性，后者是配

置NodeManager允许监听的Admin Server。要查看NodeManager的运行情况，在Admin Panel中加入Machine，并且设定好监听地址等。

nodemanager.properties文件带有详细的说明，这里就不再复述了。 1．ListenAddress，DnsReverseEnabled属性的设定

问题描述：配置SSL的时候，很多时候都会碰到ListenAddress, DnsReverseEnabled选项。究竟如何选择。

解决方案：网络中表示地址有2种方法，她们是DNS名字和IP地址。在配置ListenAddress的时候，如果用的是DNS 名字，那么DnsReverseEnabled就要开启。如果是IP地址，那么就关闭。如果两者都存在，那么请开启DnsReverseEnabled。ListenAddres大小写不敏感。

注意：文件nodemanager.hosts中，如果用DNS名字，那么大小写一定符合和DNS中的DNS，当然，也要和相应的NodeManager的证书中的CN相同， 这个是和普通规矩有所不同的。 在设定系统hosts文件的时候，记得要把NodeManager的DNS放在第一位，然后就是相应机器上的Managed Server的证书中指定的CN。也就是如果是DNS查询，第一个查询到的是NodeManager的地址，而不是其他的那些有效但无关紧要的地址，这个可以通过ping语句验证，ping Fiancee.CJW.com，应该返回的是nodeFiancee.CJW.com。

最终结果： 如果设定不正确，Hostname Verification会失败。测试中，可以在启动命令中加入 -Dweblogic.security.SSL.ignoreHostnameVerification=true 来暂时屏蔽Hostname Verification。

（六）Managed Server的设置

Managed Server设置最简单，只需要在Panel中的Servers中加一个Server，前边已经有详细说明。

如果要手动启动的话：首先先在另一台机器装上WebLogic Server，建立一个空目录，然后把startManagedWebLogic.cmd/sh 从Admin Server上拷贝过去，设定好启动参数，就可以运行了。一