ssl3

caco

浏览: 7856 次
性别:
来自: 深圳

最近访客更多访客>>

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

Weblogic IE 浏览器 Linux 配置管理

一、步骤：
1、安装OPENVPN软件生成带签名的证书
2、将证书导入Weblogic服务器并配置使用新证书
3、将证书导入ISA服务器并建立发布规则发布内部网站

二、准备工作：
去openVPN.net下载安装openVPN

三、现在开始制作证书：

开始-程序-附件-命令提示符，进到openvpn的easy-rsa目录，比如：
c:\program files\openvpn\easy-rsa>;_
输入:
init-config 回车
会产生几个文件，切换出来，用UltraEdit打开vars.bat文件，修改其中的KEY_COUNTRY（国家2位字母）, KEY_PROVINCE（省2位字母）, KEY_CITY（城市）, KEY_ORG（组织）, KEY_EMAIL（电子邮箱）这几个参数，免去后面制证时反复输入的麻烦。保存退出，返回使用命令提示符界面。

依次输入以下两个命令，当然是分别回车喽：
vars
clean-all （这两个是准备工作）

1)建立CA根证书
接着输入build-ca 回车（这个就是建立CA根证书啦）
然后显示：
ai:/usr/share/openvpn/easy-rsa # ./build-ca
Generating a 1024 bit RSA private key
............++++++
...........++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]: 国家名2位字母，默认的参数就是我们刚才修改过的。
State or Province Name (full name) [GD]: 省、州名2位字母
Locality Name (eg, city) [Shenzhen]: 城市名
Organization Name (eg, company) []: 组织名，我填LTD
Organizational Unit Name (eg, section) []: 组织里的单位名，我填ISD
Common Name (eg, your name or your server's hostname) []:这个是关键，应该输入颁发根证书单位的域名，不过因为是根证书，所以怎么填都无所谓。只有服务器证书才需要认真填。我填RootCA
Email Address [me@myhost.mydomain ]: 电子邮箱
好了，CA根证书制作完成！在keys目录下，它的名字就叫ca.crt，CA的私钥是ca.key

2)现在制作服务器证书：
在命令提示符下，输入
build-key-server server 回车
你会看到和上面很相似的东西
但要注意这里的Common Name (eg, your name or your server's hostname) []:这个才是真正的关键。这里应该输入服务器的域名比如 www.xxx.com 如果没有域名，就应该填ip，
接下来看到：
a challenge password []:填不填随便，我填test
an optional company name []: 填不填随便，我填test
sign the certificate? [y/n] 敲y回车。用CA根证书对服务器证书签字认证。
1 out 1 certificate requests certified,commit? [y/n] 敲y回车，确认。
好了，建好了在keys目录下的server.crt（证书）和server.key（私钥）

3)现在制作客户端证书:
在命令提示符下，输入
build-key client 回车
又是一通国家省市组织等等，comman name我填192.168.1.3
然后
a challenge password []:填不填随便，我填test
an optional company name []: 填不填随便，我填test
sign the certificate? [y/n] 敲y回车。用CA根证书对客户端证书签字认证。
1 out 1 certificate requests certified,commit? [y/n] 敲y回车，确认。
好了，建好了在keys目录下的client.crt（客户端证书）和client.key（私钥）等等, .crt的客户端证书是不能使用的,必须把它转化为.pfx格式的文件!!所以,还是在命令提示符下,输入
openssl 回车
看到openssl>;
再输入
pkcs12 -export –in keys/client.crt -inkey keys/client.key -out keys/client.pfx
回车,
看到Enter export password:会要求你建立客户端证书的输出密码,我填test，
verifying-Enter export password再确认一遍test

四、证书生成完毕，现在要将证书生成并导入Weblogic使用的JKS证书格式
1、用UltraEdit打开client.key，将其另存为clientpk.pem

2、用UltraEdit打开client.crt，删除-----BEGIN CERTIFICATE-----以上所有行，另存为clientca.pem

3、用UltraEdit打开clientca.pem,再打开clientpk.pem，将clientpk.pem内容复制到下面，将其另存为clientcrt.pem，记住中间不要有空行，最后要有一空行

4、相同办法生成serverpk.pem,serverca.pem,servercrt.pem

5、将此六个文件 clientpk.pem,clientca.pem,clientcrt.pem,serverpk.pem,serverca.pem,servercrt.pem 用FTP传到/home/weblogic/bea/jdk142_05/bin下，并修改所属权限为Weblogic用户命令: chown weblogic 文件名

6、用Weblogic用户登陆linux，进入/home/weblogic/bea/jdk142_05 /bin目录，由于要用到Java命令，所以先定义下环境变量：$export CLASSPATH=/home/weblogic/bea/weblogic81/server/lib/weblogic.jar
7、生成客户端使用的JKS证书并将之前生成的证书导入进JKS文件中：
./keytool -import -trustcacerts -file clientca.pem -alias clienttrust -keystore testtrust.jks -storepass test

8、将服务器证书也导进JKS文件：
./keytool -import -trustcacerts -file serverca.pem -alias servertrust -keystore testtrust.jks -storepass test

9、生成服务器使用的JKS证书并将之前生成的证书导入进JKS文件中：
./java utils.ImportPrivateKey -keystore test.jks -storepass test -storetype JKS -keypass test -alias TESTSERVER -certfile clientcrt.pem -keyfile clientpk.pem -keyfilepass test

10、将服务器证书也导进JKS文件：
./java utils.ImportPrivateKey -keystore test.jks -storepass test -storetype JKS -keypass test -alias 192.168.1.3 -certfile servercrt.pem -keyfile serverpk.pem -keyfilepass test

五、设置weblogic服务器SSL设置
1、启动weblogic，用IE进入Console( http://testserver:7001/console/ )。展开Servers，单击myserver，在右边的配置栏中(Configuration Tab) ，选择Keystores & SSL

2、单击Change，选择Custom Identity and Custom Trust，单击Continue，填入以下值。
1)Custom Identity：
Custom Identity Key Store File Name：/home/weblogic/bea/jdk142_05/bin/test.jks
Custom Identity Key Store Type： JKS
Custom Identity Key Store Pass Phrase： test
Confirm Custom Identity Key Store Pass Phrase： test
2)Custom Trust
Custom Trust Key Store File Name： /home/weblogic/bea/jdk142_05/bin/testtrust.jks
Custom Trust Key Store Type： JKS
Custom Identity Key Store Pass Phrase： test
Confirm Custom Identity Key Store Pass Phrase： test

3、单击Continue，准备对 Review SSL Private Key Settings 进行设置。
Private Key Alias： 192.168.1.3
Passphrase： test
Confirm Passphrase： test

最后重新启动weblogic完成。可以用IE打开试试看:https://testserver

六、在ISA上发布SSL网站
1、将客户端证书及根证书导入ISA2004服务器
1)将第三部生成的ca.crt及client.pfx拷贝进ISA服务器
2)在ISA服务器上执行：开始>运行>mmc打开mmc管理控制台，文件>添加/删除管理单元>添加> 选择"证书" >添加> 计算机帐户>下一步>完成。关闭。确定
3)控制台根节点>证书(本地计算机)>证书>右键选"所有任务">导入>下一步>浏览到client.pfx>下一步>输入密码test>下一步>完成。
4)控制台根节点>证书(本地计算机)>受信任的根证书颁发机构>证书>右键选"所有任务">导入>下一步>浏览到ca.crt>下一步>下一步>完成。

2、建立SSL发布规则
1) 防火墙策略右键>新建>安全web发布规则>输入testserver(ssl)>ssl桥>下一步>允许> 下一步>加密到客户端和web服务器的连接>下一步>计算机名或IP地址:192.168.1.3>下一步>输入你网站的域名 www.xxx.com >下一步>新建>
输入80/443>侦听来自这些网络的请求选择"外部">下一步>勾选启用HTTP跟启用SSL>选择>选择刚才导入的证书>确定>下一步>完成>下一步>下一步>完成