`
caco
  • 浏览: 7906 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
最近访客 更多访客>>
社区版块
存档分类
最新评论
阅读更多

一、步骤:
1、安装OPENVPN软件生成带签名的证书
2、将证书导入Weblogic服务器并配置使用新证书
3、将证书导入ISA服务器并建立发布规则发布内部网站


二、准备工作:
去openVPN.net下载安装openVPN

三、现在开始制作证书:

开始-程序-附件-命令提示符,进到openvpn的easy-rsa目录,比如:
c:\program files\openvpn\easy-rsa>;_
输入:
init-config 回车
会 产生几个文件,切换出来,用UltraEdit打开vars.bat文件,修改其中的KEY_COUNTRY(国家2位字母), KEY_PROVINCE(省2位字母), KEY_CITY(城市), KEY_ORG(组织),  KEY_EMAIL(电子邮箱)这几个参数,免去后面制证时反复输入的麻烦。保存退出,返回使用命令提示符界面。


依次输入以下两个命令,当然是分别回车喽:
vars
clean-all  (这两个是准备工作)


1)建立CA根证书
接着输入build-ca  回车(这个就是建立CA根证书啦)
然后显示:
ai:/usr/share/openvpn/easy-rsa # ./build-ca
Generating a 1024 bit RSA private key
............++++++
...........++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:          国家名2位字母,默认的参数就是我们刚才修改过的。
State or Province Name (full name) [GD]:    省、州名2位字母
Locality Name (eg, city) [Shenzhen]:        城市名
Organization Name (eg, company) []:        组织名,我填LTD
Organizational Unit Name (eg, section) []:          组织里的单位名,我填ISD
Common Name (eg, your name or your server's hostname) []:这个是关键,应该输入颁发根证书单位的域名,不过因为是根证书,所以怎么填都无所谓。只有服务器证书才需要认真填。我填RootCA
Email Address [me@myhost.mydomain ]: 电子邮箱
好了,CA根证书制作完成!在keys目录下,它的名字就叫ca.crt,CA的私钥是ca.key


2)现在制作服务器证书:
在命令提示符下,输入
build-key-server server  回车
你会看到和上面很相似的东西
但要注意这里的Common Name (eg, your name or your server's hostname) []:这个才是真正的关键。这里应该输入服务器的域名比如
www.xxx.com 如果没有域名,就应该填ip,
接下来看到:
a challenge password []:填不填随便,我填test
an optional company name []: 填不填随便,我填test
sign the certificate? [y/n] 敲y回车。用CA根证书对服务器证书签字认证。
1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。
好了,建好了在keys目录下的server.crt(证书)和server.key(私钥)

3)现在制作客户端证书:
在命令提示符下,输入
build-key client  回车
又是一通国家省市组织等等,comman name我填192.168.1.3
然后
a challenge password []:填不填随便,我填test
an optional company name []: 填不填随便,我填test
sign the certificate? [y/n] 敲y回车。用CA根证书对客户端证书签字认证。
1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。
好了,建好了在keys目录下的client.crt(客户端证书)和client.key(私钥)等等, .crt的客户端证书是不能使用的,必须把它转化为.pfx格式的文件!!所以,还是在命令提示符下,输入
openssl 回车
看到openssl>;
再输入
pkcs12 -export –in keys/client.crt -inkey keys/client.key -out keys/client.pfx
回车,
看到Enter export password:会要求你建立客户端证书的输出密码,我填test,
verifying-Enter export password再确认一遍test



四、证书生成完毕,现在要将证书生成并导入Weblogic使用的JKS证书格式
1、用UltraEdit打开client.key,将其另存为clientpk.pem

2、用UltraEdit打开client.crt,删除-----BEGIN CERTIFICATE-----以上所有行,另存为clientca.pem

3、用UltraEdit打开clientca.pem,再打开clientpk.pem,将clientpk.pem内容复制到下面,将其另存为clientcrt.pem,记住中间不要有空行,最后要有一空行

4、相同办法生成serverpk.pem,serverca.pem,servercrt.pem

5、 将此六个文件 clientpk.pem,clientca.pem,clientcrt.pem,serverpk.pem,serverca.pem,servercrt.pem 用FTP传到/home/weblogic/bea/jdk142_05/bin下,并修改所属权限为Weblogic用户 命令: chown weblogic 文件名

6、用Weblogic用户登陆linux,进入/home/weblogic/bea/jdk142_05 /bin目录,由于要用到Java命令,所以先定义下环境变量:$export  CLASSPATH=/home/weblogic/bea/weblogic81/server/lib/weblogic.jar
7、生成客户端使用的JKS证书并将之前生成的证书导入进JKS文件中:

./keytool -import -trustcacerts -file clientca.pem -alias clienttrust -keystore testtrust.jks -storepass test

8、将服务器证书也导进JKS文件:

./keytool -import -trustcacerts -file serverca.pem -alias servertrust -keystore testtrust.jks -storepass test

9、生成服务器使用的JKS证书并将之前生成的证书导入进JKS文件中:

./java utils.ImportPrivateKey -keystore test.jks -storepass test -storetype JKS -keypass test -alias TESTSERVER -certfile clientcrt.pem -keyfile clientpk.pem -keyfilepass test

10、将服务器证书也导进JKS文件:

./java utils.ImportPrivateKey -keystore test.jks -storepass test -storetype JKS -keypass test -alias 192.168.1.3 -certfile servercrt.pem -keyfile serverpk.pem -keyfilepass test

五、设置weblogic服务器SSL设置
1、启动weblogic,用IE进入Console( http://testserver:7001/console/ )。展开Servers,单击myserver,在右边的配置栏中(Configuration Tab) ,选择Keystores & SSL

2、单击Change,选择Custom Identity and Custom Trust,单击Continue,填入以下值。
1)Custom Identity:
Custom Identity Key Store File Name:/home/weblogic/bea/jdk142_05/bin/test.jks
Custom Identity Key Store Type: JKS
Custom Identity Key Store Pass Phrase: test
Confirm Custom Identity Key Store Pass Phrase: test
2)Custom Trust
Custom Trust Key Store File Name: /home/weblogic/bea/jdk142_05/bin/testtrust.jks
Custom Trust Key Store Type: JKS
Custom Identity Key Store Pass Phrase: test
Confirm Custom Identity Key Store Pass Phrase: test

3、单击Continue,准备对 Review SSL Private Key Settings 进行设置。
Private Key Alias: 192.168.1.3
Passphrase: test
Confirm Passphrase: test

最后重新启动weblogic完成。可以用IE打开试试看:https://testserver

六、在ISA上发布SSL网站
1、将客户端证书及根证书导入ISA2004服务器
1)将第三部生成的ca.crt及client.pfx拷贝进ISA服务器
2)在ISA服务器上执行:开始>运行>mmc打开mmc管理控制台,文件>添加/删除管理单元>添加> 选择"证书" >添加> 计算机帐户>下一步>完成。关闭。确定
3)控制台根节点>证书(本地计算机)>证书>右键选"所有任务">导入>下一步>浏览到client.pfx>下一步>输入密码test>下一步>完成。
4)控制台根节点>证书(本地计算机)>受信任的根证书颁发机构>证书>右键选"所有任务">导入>下一步>浏览到ca.crt>下一步>下一步>完成。

2、建立SSL发布规则
1) 防火墙策略右键>新建>安全web发布规则>输入testserver(ssl)>ssl桥>下一步>允许> 下一步>加密到客户端和web服务器的连接>下一步>计算机名或IP地址:192.168.1.3>下一步>输入你网站的 域名 www.xxx.com >下一步>新建>
输入80/443>侦听来自这些网络的请求选择"外部">下一步>勾选启用HTTP跟启用SSL>选择>选择刚才导入的证书>确定>下一步>完成>下一步>下一步>完成

分享到:
评论

相关推荐

    找不到资源string.Advanced_EnableSSL3Fallback.7z

    标题中的“找不到资源string.Advanced_EnableSSL3Fallback.7z”可能是指在尝试访问或操作一个特定的系统资源时遇到了问题。这个问题可能是由于多种原因引起的,例如文件丢失、路径错误或者系统配置不正确等。在IT...

    qca-ossl-2.0.0-beta3.rar_QCA SSL_ossl_qca_ssl2 ssl3 tls

    在“qca-ossl-2.0.0-beta3.rar”这个压缩包中,包含的是QCA的一个扩展模块,专门针对OpenSSL进行了集成,以便支持SSL2、SSL3和TLS协议。这些协议是网络安全传输的基础,广泛应用于HTTPS、SMTPS、IMAPS等加密通信场景...

    Delphi2010 Indy10 ssl使用的两个动态库

    3. **libeay32.dll和ssleay32.dll**: 这两个动态库是OpenSSL库的核心组件。libeay32.dll包含了OpenSSL的加密算法实现,如RSA、DSA、DH、ECC等,以及哈希函数(MD5、SHA1等)。ssleay32.dll则包含了SSL/TLS协议的实现...

    Java发 Https请求工具类 支持SSL

    3. **自定义请求方式**: 这个工具类允许开发者根据需求自定义请求方法,比如在某些API接口中可能需要用到HEAD、OPTIONS或CONNECT等非标准请求。 4. **Java HTTPS工具类**: 工具类封装了HTTPS请求的实现细节,包括...

    PowerTCP_SSL_Tool_2_0_4_keygen

    PowerTCP SSL Tool集成了Microsoft CryptoAPI、Security SupportProvider Interface和Winsock API,通过SSL2、SSL3、PCT和TLS安全协议确保TCP/IP数据的安全。它所包含的功能可用于安全的web访问、FTP客户端和服务器...

    Pop3邮件登陆(含SSL加密登陆)

    以下是一个简单的示例,展示如何使用SharpPop3库实现POP3 SSL登录: ```csharp using SharpPop3; // 创建POP3客户端 var client = new Pop3Client(); // 配置SSL连接和服务器信息 client.Connect("pop3.example....

    boringssl win-x86_64 包含bssl.exe,crypto.lib,ssl.lib

    BoringSSL是一个由Google维护的SSL/TLS实现,它是OpenSSL的一个分支,旨在提供更简洁的代码库,更严格的审核,以及对现代硬件优化的支持。这个win-x86_64包显然为Windows 64位平台设计,包含了三个关键组件:`bssl....

    Tomcat_SSL.rar_JAVA SSL _ssl_ssl java_tomcat_tomcat ssl

    3. **密钥库与信任库**:`keystore`包含服务器的私钥和证书,而`truststore`用于存储客户端证书(如果需要客户端验证)。`truststoreFile`和`truststorePass`属性分别指定信任库文件和密码。 4. **启用Client ...

    K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件

    在Kubernetes(K8S)集群环境中,安全套接字层(SSL)证书的监控是确保服务安全和稳定的重要环节。SSL证书用于加密网络通信,确保数据传输的安全性。`ssl-exporter`是一款专为监控SSL/TLS证书状态设计的Prometheus ...

    mod_ssl(apache SSL插件)

    3. **预共享密钥(PSK)**:mod_ssl也支持预共享密钥模式,这种模式下,客户端和服务器之间使用预先约定的密钥进行通信,适用于内部网络或特定场景。 **四、性能优化** 1. **OCSP stapling**:通过`SSLUseStapling...

    MySQL 使用 SSL 连接配置详解

    3. 使用CA私钥创建CA证书: ```bash openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem ``` 在此过程中,系统会提示你输入一些信息,你可以根据实际需求填写,或者留空。 4. 创建...

    解决Python找不到ssl模块问题 No module named _ssl的方法

    3. **修改Python源码**: 如果Python已经安装并且仍然无法导入SSL模块,你可能需要重新编译Python。首先,找到Python的源代码,通常位于`/src/Python-X.Y.Z/`目录下,然后打开`Modules/Setup`文件,找到与SSL相关的...

    本地ssl证书生成工具

    3. 使用OpenSSL生成本地SSL证书步骤: - 安装OpenSSL:根据你的操作系统下载并安装OpenSSL。 - 创建私钥:使用`openssl genpkey`命令生成RSA或ECDSA私钥。 - 创建证书请求:使用`openssl req`命令创建证书请求,...

    MySQL 8.0开启SSL.docx

    3. 重启 MySQL после配置完成,我们需要重启 MySQL,以使配置生效。我们可以使用以下命令重启 MySQL: `service mysql restart` 或者,在 Windows 平台上,我们可以使用以下命令: `net stop mysql` `...

    Linux 网络编程:加密通讯协议 SSL 编程

    这里,代码通过`SSL_CTX_new(SSLv23_server_method())`创建了一个新的SSL上下文,这里采用的是SSLv23_server_method()方法,这使得服务器可以和SSLv2、SSLv3以及TLSv1等客户端进行兼容。在SSLv23_server_method()...

    ssl_tls协议RFC5246文档_ssl_ssl标准文档_

    3. 服务器发送其数字证书,通常包含服务器的公钥。 4. 如果需要,服务器会发送“ServerKeyExchange”消息,提供额外的密钥交换信息。 5. 服务器发送“CertificateRequest”,请求客户端证明其身份(如果支持客户端...

    VC工程,ssl通讯socket,服务端和客户端,简单易懂。

    3. 加载证书和私钥:通过`SSL_CTX_use_certificate_file()`和`SSL_CTX_use_PrivateKey_file()`加载服务器的证书和私钥,确保服务器的身份可验证。 4. 配置SSL上下文:设置必要的选项,如`SSL_CTX_set_cipher_list()`...

    SSL证书在线生成系统源码

    3. 验证模块:对接CA,完成域名所有权验证和组织合法性验证。 4. 证书签发模块:验证通过后,请求CA签发证书。 5. 证书管理模块:用户查看、下载、续期、撤销已签发证书。 6. 安装指导模块:提供不同平台和服务器的...

    H3C iNode(SSL) for macOS

    【H3C iNode(SSL) for macOS】是一款专为苹果 macOS 操作系统设计的管理软件,由知名网络设备制造商H3C(Huawei-3Com)开发。这款软件是针对SSL(Secure Socket Layer,安全套接层)技术的客户端应用,主要功能是...

Global site tag (gtag.js) - Google Analytics