WebLogic Server实现双向SSL(转)

本文主要是描述如何使用WebLogic Server实现双向的SSL。
　　目前网络上很多描述实现SSL的文章，但是要么是局限于理论，要么是配置单向SSL的，要么是基于Tomcat的，即便是和WebLogic Server相关的，也没有为读者提供一个可依照实现的操作。本文参考其它文档，主要描述了在Windows下如何实现WebLogic Server的双向SSL配置，并且客户端和服务器端采用了不同的证书来源，希望能够为读者提供一个具有可操作性的参考。
　　文中的操作在笔者计算机上完全测试通过。
前期准备

　　笔者的操作系统是Windows XP SP2，安装的软件有
　　Microsoft Visual Studio 6.0（主要是VC++），安装目录MVS_HOME
　　BEA的WebLogic Server 8.1.5，安装目录BEA_HOME
　　JDK1.4.2.8，安装WebLogic Server后带有，目录为%BEA_HOME%\jdk142_08
　　在实现过程中需要的软件有：
　　Perl for win32
　　下载地址http://www.activestate.com/ActivePerl
　　Openssl
　　下载地址http://www.openssl.org
　　在生成证书和私钥时，我们使用了openssl软件，由于openssl软件在windows上安装需要perl环境，因此我们需要下载Active Perl相关软件，并且需要安装VC++或者Delphi，以便编译安装openssl。
　　对于各个软件的初始化设置，主要是设置环境变量，通过“我的电脑”右键，“属性”－“高级”－“环境变量”，添加如下：
　　Classpath =%BEA_HOME%\weblogic81\server\lib\weblogic.jar
　　INCLUDE =%MVS_HOME%\VC98\Include
　　LIB =%MVS_HOME%\VC98\Lib
　　在Path环境变量中增加（编译openssl使用）
　　%MVS_HOME%\VC98\Bin;%MVS_HOME%\Common\MSDev98\Bin
　　在Path环境变量中增加（java相关命令使用）
　　%BEA_HOME%\jdk142_08\bin;
安装openssl

1. 安装ActivePerl　　ActivePerl下载的是.msi文件，点击后可以安装，安装后，在path环境变量中增加
   　　%PERL_HOME%\bin
2. 安装openssl　　下载openssl的压缩源文件以后，解开压缩到目录openssl-xxxd目录，通过DOS窗口，进入到openssl-xxxs目录后，执行
   　　perl Configure VC-WIN32 --prefix=c:/openssl
   　　其中c:/openssl为准备安装openssl的目录，笔者安装在C:\openssl目录下，注意\要写作/，否则会在编译cversion.c文件时出现错误信息。
   　　执行ms\do_ms
   　　如果上述执行没有错误，则创建相应的安装目录，然后执行
   　　nmake -f ms\ntdll.mak install
   　　安装openssl，编译的时间比较长，请耐心等待，并且确认没有错误。
3. 环境变量

　　Openssl安装成功以后，需要在path中增加如下的环境变量
　　%OPENSSL_HOME%\bin
　　增加环境变量OPENSSL_CONF=%OPENSSL_HOME%\openssl.cnf
建立自己的CA证书

1. 在BEA_HOME下建立目录ca，重新启动DOS窗口，进入到BEA_HOME目录下。
2. 生成CA密钥　　openssl genrsa -out ca/ca-key.pem 1024
3. 生成待签名的证书　　openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem
   　　在生成待签名的证书时，会询问个人或者单位的信息，依次会询问国家，省，地区，组织，部门，名称和邮件信息，并且会询问一些附加信息，作为测试，读者可以依据下面的图片填写，也可以输入自己有关的信息。
   
   　　
4. 用CA私钥自签名

　　openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 365
　　生成WebLogic Server证书
　　在WebLogic Server这边，我们会使用它提供的用于demo的私钥和数字证书，在%BEA_HOME%下创建目录server，拷贝%BEA_HOME%\ weblogic81\server\lib下的CertGenCA.der和CertGenCAKey.der文件到%BEA_HOME%\ server下。

1. 生成证书，DOS窗口下进入目录%BEA_HOME%执行命令：　　java utils.CertGen password server\CertGenCA.der server\CertGenCAKey.der export
   　　将会生成CertGenCA.der.pem和CertGenCAKey.der.pem文件
2. 建 立keystore，并且将证书和私钥装入keystore　　java utils.ImportPrivateKey server\mykeystore password myserver password server\CertGenCA.der.pem server\CertGenCAKey.der.pem
3. 将CA证书导入到验证keystore中　　keytool -import -v -trustcacerts -storepass password -alias my_ca_root -file ca/ca-cert.pem -keystore server/cacerts
   　　此处如果提示找不到keytool，要看一下JDK\bin的目录是否在path变量中设置正确。
   　　如果询问是否“信任这个认证”，输入y回车，可以看到信息说明认证已经添加到keystore中。
4. 显示验证keystore内容　　keytool -list -keystore server/cacerts
   　　输入密码password（我们前面建立keystore是设置的），显示的内容应该类似如下：
   C:\bea>keytool -list -keystore server/cacerts
   输入keystore密码： password
   
   Keystore 类型： jks
   Keystore 提供者： SUN
   
   您的 keystore 包含 2 输入
   
   my_ca_root, 2006-11-21, trustedCertEntry,
   认证指纹 (MD5)：
   
   代码:

     38:32:AC:05:D9:4B:80:ED:43:43:9D:C5:2C:58:72:63

5. 显示服务器keystore内容

　　keytool -list -keystore server/mykeystore
　　输入密码password（我们前面建立keystore是设置的），显示的内容应该类似如下：
C:\bea>keytool -list -keystore server/mykeystore
输入keystore密码： password

Keystore 类型： jks
Keystore 提供者： SUN

您的 keystore 包含 1 输入

myserver, 2006-11-21, keyEntry,
认证指纹 (MD5)：

代码:

 3D:1E:C1:67:FF:82:5A:4F:AE:18:63:18:97:3C:8E:0D

配置WebLogic Server

　　建立一个新的WebLogic Server的Domain。
　　启动WebLogic Server，通过console登录进管理界面，进入“myserver”－“Configuration”－“General”，选中“SSL Listen Port Enabled”复选框，并且设定https的端口为7002，进入“myserver”－“Configuration-Keystores & SSL”，点击“Keystore Configuration”后面的“Change”，选择“Custom Identity and Custom Trust”，如下图设置：

　　

　　其中目录可根据自己安装的BEA_HOME进行修改，Pass Phrase部分都输入“password”。
　　点击“Continue”，在“Private Key Alias”中输入myserver，Pass Phrase部分依然输入“password”，最后点击“finish”结束。
　　回到“myserver”－“Configuration”-“Keystores & SSL”配置页面，点击“Advanced Options”后面的“change”，将“Two Way Client Cert Behavior:”部分修改为“Client certs requested and enforced”。
　　应用后重新启动WebLogic Server。
　　观察WebLogic Server启动时候的控制台，正确配置后应该有如下类似的信息：

　　

生成客户端IE证书

1. 建立自己的Client目录，例如：client
2. 生成Client密钥对　　openssl genrsa -out client/client-key.pem 1024
3. 生成待签名的证书　　openssl req -new -out client/client-req.csr -key client/client-key.pem
   　　同样在询问中输入个人证书的一些信息，确定后生成。
4. 用 CA私钥签名　　openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 365
5. 生成Client端可以导入的个人证书

　　openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12
　　询问设置导出密码时可以不填写，直接回车。
将client证书导入IE

　　在资源管理器中选择文件client.p12，鼠标右键，选择“安装PFX”，在密码页，密码部分可以不输入，选择“标志此密钥为可导出的”的复选框，将证书存储于“个人”区域，成功导入后，在IE窗口显示类似如下：

　　

访问WebLogic Server

　　通过 https://serverip:7002/console/ 访问WebLogic Server，虽然服务器设置为需要客户端认证，但是由于我们导入了证书，因此可以访问。
<2006-11-21 下午10时49分27秒 CST><Warning> <Security> <BEA-090481>
<NO_CERTIFICATE alert was received from localhost - 127.0.0.1. Verify the SSL configurationhas a proper SSL certificate chain and private key specified.>
<2006-11-21 下午10时49分27秒 CST> <Warning> <Security> <BEA-090508>
<Certificate chain received from localhost - 127.0.0.1 was incomplete.>
　　查看WebLogic Server控制台，可以看到如下信息：
　　删除导入的证书，重新使用 https://serverip:7002/console/ 访问服务器，则页面无法打开，控制台显示信息如下，说明客户端证书验证失败：
<2006-11-21 下午10时54分53秒 CST> <Warning> <Security> <BEA-090481>
<NO_CERTIFICATE alert was received from hbwindcn8899 - 192.168.253.50. Verify the SSL configuration has a proper SSL certificate chain and private key specified.>
<2006-11-21 下午10时54分53秒 CST> <Warning> <Security> <BEA-090508>
<Certificate chain received from hbwindcn8899 - 192.168.253.50 was incomplete.>
作者简介
刘群策是（dev2dev ID: hbwind ） BEA系统（中国）有限公司 大企业客户部技术顾问

 

评论

1 楼 tatonlto 2008-05-20  

你好
看完文章後有幾個問題


1)
client 同 server 要用同一張 CA cert 去生成証書嗎?

2)
如果client 和 server  是用不同的 CA 去生成証書,
那麼 兩張 CA 証書 也要放進 Weblogic 嗎?
還是只放一張Root CA 証書 ?

謝謝!


Eddie Lau
tatonlto@yahoo.com.hk