一、步骤:
1、安装OPENVPN软件生成带签名的证书
2、将证书导入Weblogic服务器并配置使用新证书
3、将证书导入ISA服务器并建立发布规则发布内部网站
二、准备工作:
去openVPN.net下载安装openVPN
三、现在开始制作证书:
开始-程序-附件-命令提示符,进到openvpn的easy-rsa目录,比如:
c:\program files\openvpn\easy-rsa>;_
输入:
init-config 回车
会
产生几个文件,切换出来,用UltraEdit打开vars.bat文件,修改其中的KEY_COUNTRY(国家2位字母),
KEY_PROVINCE(省2位字母), KEY_CITY(城市), KEY_ORG(组织),
KEY_EMAIL(电子邮箱)这几个参数,免去后面制证时反复输入的麻烦。保存退出,返回使用命令提示符界面。
依次输入以下两个命令,当然是分别回车喽:
vars
clean-all (这两个是准备工作)
1)建立CA根证书
接着输入build-ca 回车(这个就是建立CA根证书啦)
然后显示:
ai:/usr/share/openvpn/easy-rsa # ./build-ca
Generating a 1024 bit RSA private key
............++++++
...........++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]: 国家名2位字母,默认的参数就是我们刚才修改过的。
State or Province Name (full name) [GD]: 省、州名2位字母
Locality Name (eg, city) [Shenzhen]: 城市名
Organization Name (eg, company) []: 组织名,我填LTD
Organizational Unit Name (eg, section) []: 组织里的单位名,我填ISD
Common Name (eg, your name or your server's hostname) []:这个是关键,应该输入颁发根证书单位的域名,不过因为是根证书,所以怎么填都无所谓。只有服务器证书才需要认真填。我填RootCA
Email Address [me@myhost.mydomain
]: 电子邮箱
好了,CA根证书制作完成!在keys目录下,它的名字就叫ca.crt,CA的私钥是ca.key
2)现在制作服务器证书:
在命令提示符下,输入
build-key-server server 回车
你会看到和上面很相似的东西
但要注意这里的Common Name (eg, your name or your server's hostname) []:这个才是真正的关键。这里应该输入服务器的域名比如
www.xxx.com
如果没有域名,就应该填ip,
接下来看到:
a challenge password []:填不填随便,我填test
an optional company name []: 填不填随便,我填test
sign the certificate? [y/n] 敲y回车。用CA根证书对服务器证书签字认证。
1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。
好了,建好了在keys目录下的server.crt(证书)和server.key(私钥)
3)现在制作客户端证书:
在命令提示符下,输入
build-key client 回车
又是一通国家省市组织等等,comman name我填192.168.1.3
然后
a challenge password []:填不填随便,我填test
an optional company name []: 填不填随便,我填test
sign the certificate? [y/n] 敲y回车。用CA根证书对客户端证书签字认证。
1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。
好了,建好了在keys目录下的client.crt(客户端证书)和client.key(私钥)等等, .crt的客户端证书是不能使用的,必须把它转化为.pfx格式的文件!!所以,还是在命令提示符下,输入
openssl 回车
看到openssl>;
再输入
pkcs12 -export –in keys/client.crt -inkey keys/client.key -out keys/client.pfx
回车,
看到Enter export password:会要求你建立客户端证书的输出密码,我填test,
verifying-Enter export password再确认一遍test
四、证书生成完毕,现在要将证书生成并导入Weblogic使用的JKS证书格式
1、用UltraEdit打开client.key,将其另存为clientpk.pem
2、用UltraEdit打开client.crt,删除-----BEGIN CERTIFICATE-----以上所有行,另存为clientca.pem
3、用UltraEdit打开clientca.pem,再打开clientpk.pem,将clientpk.pem内容复制到下面,将其另存为clientcrt.pem,记住中间不要有空行,最后要有一空行
4、相同办法生成serverpk.pem,serverca.pem,servercrt.pem
5、
将此六个文件
clientpk.pem,clientca.pem,clientcrt.pem,serverpk.pem,serverca.pem,servercrt.pem
用FTP传到/home/weblogic/bea/jdk142_05/bin下,并修改所属权限为Weblogic用户 命令: chown
weblogic 文件名
6、用Weblogic用户登陆linux,进入/home/weblogic/bea/jdk142_05
/bin目录,由于要用到Java命令,所以先定义下环境变量:$export
CLASSPATH=/home/weblogic/bea/weblogic81/server/lib/weblogic.jar
7、生成客户端使用的JKS证书并将之前生成的证书导入进JKS文件中:
./keytool -import -trustcacerts -file clientca.pem -alias clienttrust -keystore testtrust.jks -storepass test
8、将服务器证书也导进JKS文件:
./keytool -import -trustcacerts -file serverca.pem -alias servertrust -keystore testtrust.jks -storepass test
9、生成服务器使用的JKS证书并将之前生成的证书导入进JKS文件中:
./java
utils.ImportPrivateKey -keystore test.jks -storepass test -storetype
JKS -keypass test -alias TESTSERVER -certfile clientcrt.pem -keyfile
clientpk.pem -keyfilepass test
10、将服务器证书也导进JKS文件:
./java
utils.ImportPrivateKey -keystore test.jks -storepass test -storetype
JKS -keypass test -alias 192.168.1.3 -certfile servercrt.pem -keyfile
serverpk.pem -keyfilepass test
五、设置weblogic服务器SSL设置
1、启动weblogic,用IE进入Console(
http://testserver:7001/console/
)。展开Servers,单击myserver,在右边的配置栏中(Configuration Tab)
,选择Keystores & SSL
2、单击Change,选择Custom Identity and Custom Trust,单击Continue,填入以下值。
1)Custom Identity:
Custom Identity Key Store File Name:/home/weblogic/bea/jdk142_05/bin/test.jks
Custom Identity Key Store Type: JKS
Custom Identity Key Store Pass Phrase: test
Confirm Custom Identity Key Store Pass Phrase: test
2)Custom Trust
Custom Trust Key Store File Name: /home/weblogic/bea/jdk142_05/bin/testtrust.jks
Custom Trust Key Store Type: JKS
Custom Identity Key Store Pass Phrase: test
Confirm Custom Identity Key Store Pass Phrase: test
3、单击Continue,准备对 Review SSL Private Key Settings 进行设置。
Private Key Alias: 192.168.1.3
Passphrase: test
Confirm Passphrase: test
最后重新启动weblogic完成。可以用IE打开试试看:https://testserver
六、在ISA上发布SSL网站
1、将客户端证书及根证书导入ISA2004服务器
1)将第三部生成的ca.crt及client.pfx拷贝进ISA服务器
2)在ISA服务器上执行:开始>运行>mmc打开mmc管理控制台,文件>添加/删除管理单元>添加> 选择"证书" >添加> 计算机帐户>下一步>完成。关闭。确定
3)控制台根节点>证书(本地计算机)>证书>右键选"所有任务">导入>下一步>浏览到client.pfx>下一步>输入密码test>下一步>完成。
4)控制台根节点>证书(本地计算机)>受信任的根证书颁发机构>证书>右键选"所有任务">导入>下一步>浏览到ca.crt>下一步>下一步>完成。
2、建立SSL发布规则
1)
防火墙策略右键>新建>安全web发布规则>输入testserver(ssl)>ssl桥>下一步>允许>
下一步>加密到客户端和web服务器的连接>下一步>计算机名或IP地址:192.168.1.3>下一步>输入你网站的
域名
www.xxx.com
>下一步>新建>
输入80/443>侦听来自这些网络的请求选择"外部">下一步>勾选启用HTTP跟启用SSL>选择>选择刚才导入的证书>确定>下一步>完成>下一步>下一步>完成
分享到:
相关推荐
标题中的“找不到资源string.Advanced_EnableSSL3Fallback.7z”可能是指在尝试访问或操作一个特定的系统资源时遇到了问题。这个问题可能是由于多种原因引起的,例如文件丢失、路径错误或者系统配置不正确等。在IT...
在“qca-ossl-2.0.0-beta3.rar”这个压缩包中,包含的是QCA的一个扩展模块,专门针对OpenSSL进行了集成,以便支持SSL2、SSL3和TLS协议。这些协议是网络安全传输的基础,广泛应用于HTTPS、SMTPS、IMAPS等加密通信场景...
3. **libeay32.dll和ssleay32.dll**: 这两个动态库是OpenSSL库的核心组件。libeay32.dll包含了OpenSSL的加密算法实现,如RSA、DSA、DH、ECC等,以及哈希函数(MD5、SHA1等)。ssleay32.dll则包含了SSL/TLS协议的实现...
3. **自定义请求方式**: 这个工具类允许开发者根据需求自定义请求方法,比如在某些API接口中可能需要用到HEAD、OPTIONS或CONNECT等非标准请求。 4. **Java HTTPS工具类**: 工具类封装了HTTPS请求的实现细节,包括...
PowerTCP SSL Tool集成了Microsoft CryptoAPI、Security SupportProvider Interface和Winsock API,通过SSL2、SSL3、PCT和TLS安全协议确保TCP/IP数据的安全。它所包含的功能可用于安全的web访问、FTP客户端和服务器...
以下是一个简单的示例,展示如何使用SharpPop3库实现POP3 SSL登录: ```csharp using SharpPop3; // 创建POP3客户端 var client = new Pop3Client(); // 配置SSL连接和服务器信息 client.Connect("pop3.example....
BoringSSL是一个由Google维护的SSL/TLS实现,它是OpenSSL的一个分支,旨在提供更简洁的代码库,更严格的审核,以及对现代硬件优化的支持。这个win-x86_64包显然为Windows 64位平台设计,包含了三个关键组件:`bssl....
3. **密钥库与信任库**:`keystore`包含服务器的私钥和证书,而`truststore`用于存储客户端证书(如果需要客户端验证)。`truststoreFile`和`truststorePass`属性分别指定信任库文件和密码。 4. **启用Client ...
在Kubernetes(K8S)集群环境中,安全套接字层(SSL)证书的监控是确保服务安全和稳定的重要环节。SSL证书用于加密网络通信,确保数据传输的安全性。`ssl-exporter`是一款专为监控SSL/TLS证书状态设计的Prometheus ...
3. **预共享密钥(PSK)**:mod_ssl也支持预共享密钥模式,这种模式下,客户端和服务器之间使用预先约定的密钥进行通信,适用于内部网络或特定场景。 **四、性能优化** 1. **OCSP stapling**:通过`SSLUseStapling...
3. 使用CA私钥创建CA证书: ```bash openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem ``` 在此过程中,系统会提示你输入一些信息,你可以根据实际需求填写,或者留空。 4. 创建...
3. **修改Python源码**: 如果Python已经安装并且仍然无法导入SSL模块,你可能需要重新编译Python。首先,找到Python的源代码,通常位于`/src/Python-X.Y.Z/`目录下,然后打开`Modules/Setup`文件,找到与SSL相关的...
3. 使用OpenSSL生成本地SSL证书步骤: - 安装OpenSSL:根据你的操作系统下载并安装OpenSSL。 - 创建私钥:使用`openssl genpkey`命令生成RSA或ECDSA私钥。 - 创建证书请求:使用`openssl req`命令创建证书请求,...
3. 重启 MySQL после配置完成,我们需要重启 MySQL,以使配置生效。我们可以使用以下命令重启 MySQL: `service mysql restart` 或者,在 Windows 平台上,我们可以使用以下命令: `net stop mysql` `...
这里,代码通过`SSL_CTX_new(SSLv23_server_method())`创建了一个新的SSL上下文,这里采用的是SSLv23_server_method()方法,这使得服务器可以和SSLv2、SSLv3以及TLSv1等客户端进行兼容。在SSLv23_server_method()...
3. 服务器发送其数字证书,通常包含服务器的公钥。 4. 如果需要,服务器会发送“ServerKeyExchange”消息,提供额外的密钥交换信息。 5. 服务器发送“CertificateRequest”,请求客户端证明其身份(如果支持客户端...
3. 加载证书和私钥:通过`SSL_CTX_use_certificate_file()`和`SSL_CTX_use_PrivateKey_file()`加载服务器的证书和私钥,确保服务器的身份可验证。 4. 配置SSL上下文:设置必要的选项,如`SSL_CTX_set_cipher_list()`...
3. 验证模块:对接CA,完成域名所有权验证和组织合法性验证。 4. 证书签发模块:验证通过后,请求CA签发证书。 5. 证书管理模块:用户查看、下载、续期、撤销已签发证书。 6. 安装指导模块:提供不同平台和服务器的...
【H3C iNode(SSL) for macOS】是一款专为苹果 macOS 操作系统设计的管理软件,由知名网络设备制造商H3C(Huawei-3Com)开发。这款软件是针对SSL(Secure Socket Layer,安全套接层)技术的客户端应用,主要功能是...