由于项目需要将传输的http报文进行加密,考虑采用128位SSL安全传输协议,即https。
因应用使用Weblogic容器,故到console控制台启用了其SSL监听,并使用Weblogic自带的Demo证书,在Windows和Redhat Linux下均无问题,但在AIX系统下部署却遇到了问题,问题如下:
<Oct 10, 2011 2:35:37 PM CDT> <Notice> <Security> <BEA-090169> <Loading trusted certificates from the jks keystore file /bea/wls103/wlserver_10.3/server/lib/DemoTrust.jks.>
<Oct 10, 2011 2:35:37 PM CDT> <Notice> <Security> <BEA-090169> <Loading trusted certificates from the jks keystore file /usr/java6_64/jre/lib/security/cacerts.>
<Oct 10, 2011 2:35:37 PM CDT> <Alert> <Security> <BEA-090152> <Demo trusted CA certificate is being used in production mode: [
[
Version: V3
Subject: CN=CACERT, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US
Signature Algorithm: MD5withRSA, OID = 1.2.840.113549.1.1.4
Key: IBMJCE RSA Public Key:
modulus:
9550192877869244258838480703390456015046425375252278279190673063544122510925482179963329236052146047356415957587628011282484772458983977898996276815440753
public exponent:
65537
Validity: [From: Thu Mar 21 14:12:27 CST 2002,
To: Tue Mar 22 15:12:27 CDT 2022]
Issuer: CN=CACERT, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown, ST=MyState, C=US
SerialNumber: [69042098805081595651034369680212310004]
Certificate Extensions: 1
[1]: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
Key_CertSign
]
]
Algorithm: [MD5withRSA]
Signature:
0000: 9d 26 4c 29 c8 91 c3 a7 06 c3 24 6f ae b4 f8 82 ..L........o....
0010: 80 4d aa cb 7c 79 46 84 81 c4 66 95 f4 1e d8 c4 .M...yF...f.....
0020: e9 b7 d9 7c e2 23 33 a4 b7 21 e0 aa 54 2b 4a ff ......3.....T.J.
0030: cb 21 20 88 81 21 db ac 90 54 d8 7d 79 63 23 3c .........T..yc..
] The system is vulnerable to security attacks, since it trusts certificates signed by the demo trusted CA.>
<Oct 10, 2011 2:35:37 PM CDT> <Error> <WebLogicServer> <BEA-000297> <Inconsistent security configuration, java.security.cert.CertificateParsingException: PKIX: Unsupported OID in the AlgorithmIdentifier object: 1.2.840.113549.1.1.11>
<Oct 10, 2011 2:35:37 PM CDT> <Emergency> <Security> <BEA-090034> <Not listening for SSL, java.io.IOException: PKIX: Unsupported OID in the AlgorithmIdentifier object: 1.2.840.113549.1.1.11.>
问题原因:
查询了网上,得到原因是由于AIX上使用了IBM的JDK,jre/lib/security/cacerts中某些ca根证书的签名算法方式不被weblogic所支持,也可以说是JDK和weblogic不配套。如果在Linux或Windows下的weblogic版本,由于自身就带有jdk,故是配套的,所以不存在签名算法的问题。因此也不能说一定是IBM的JDK问题,JDK版本和Weblogic不配套也会出现此类问题。
解决方法:
删除cacerts下不被weblogic支持的签名算法的证书。
查询OID为1.2.840.113549.1.1.11的是sha256WithRSA算法,故删除sha256WithRSA算法的ca证书。
keytool -delete -keystore ../lib/security/cacerts -alias ttelesecglobalrootclass2ca
-storepass changeit
keytool -delete
-keystore ../lib/security/cacerts -alias ttelesecglobalrootclass3ca -storepass changeit
keytool -delete
-keystore ../lib/security/cacerts -alias keynectisrootca -storepass changeit
分享到:
相关推荐
配置 WebLogic Server 的 SSL 需要使用 WebLogic Server 自带的 Demo 版本的证书或使用自己的 CA 签名的证书。 2.1 使用 WebLogic 自带的 Demo 版本的证书 WebLogic Server 自带了一个 Demo 版本的证书,用于测试...
WebLogic Server安装后,自带了一组默认的Demo证书,可以快速启用SSL。在WebLogic管理控制台中,可以配置服务器启动时使用这些证书,以便进行测试或初步的SSL通信。 2.2 使用自己的CA签名的证书 对于生产环境,通常...
Weblogic 配置 SSL 双向认证 Weblogic 配置 SSL 双向认证是为了确保 Web 应用程序的安全性和加密性。SSL(Secure Sockets Layer)是用于加密 Internet 通信的安全协议。双向认证是指客户端和服务端都需要验证对方的...
文档"Weblogic 10.3的SSL的配置(風絮编稿).docx"可能详细介绍了这个版本的配置过程,包括Keystore的创建、证书导入以及在WebLogic Server的配置文件中启用SSL。 4. **服务器证书安装配置**:"服务器证书安装配置...
2. 下载WebLogic版本:根据Oracle官网的指南下载需要的WebLogic版本,确保版本支持SHA-2算法的证书。本文档以Windows平台下载WebLogic 12c版本作为部署实例。 3. 安装WebLogic:安装完成后,验证WebLogic是否正常...
双向SSL的配置更为复杂,需要生成客户端和服务器的证书,以及自签名的证书颁发机构(CA)证书。 2.1 **安装OpenSSL**:在双向SSL中,OpenSSL工具用于生成和管理证书,可能还需要Perl环境。 2.2 **准备工作**:创建...
WebLogic服务器双向SSL配置是指在Web应用程序中设置安全通信的过程,这种配置要求服务器和客户端之间进行身份验证,确保数据传输的...此外,根据实际情况,可能还需要配置其他的SSL相关参数,如证书链、密钥算法等。
WebLogic Server自带了一些示例证书,用于快速启用SSL。管理员可以在管理控制台中启用这些证书,以提供基础的安全连接。 2.2 使用自签名的证书或CA签名的证书 2.2.1 首先,你需要安装必要的软件,如Keytool(Java ...
本文档旨在详细介绍 Weblogic 服务器 10 的 SSL 配置过程,包括生成证书请求、生成 keystore 文件、生成证书签发请求文件、配置 Weblogic 服务器 SSL 信息等步骤。 生成证书请求 在开始配置 Weblogic 服务器 SSL ...
LINUX下TOMCAT及WEBLOGIC下SSL配置手册 SSL(Secure Sockets Layer)是一种安全协议...我们可以看到在LINUX环境下配置TOMCAT和WEBLOGIC服务器的SSL协议需要生成服务端证书和客户端证书,并修改配置文件以启用SSL加密。
在配置SSL时,使用keytool生成密钥库(keystore)和自签名证书,或者请求由证书颁发机构(CA)签发的证书。 2. **生成密钥库和自签名证书**: 文档中提到使用keytool.exe创建一个名为hello.jks的密钥库,并生成一个...
WebLogic SSL 配置手册 本手册将指导用户如何在 Windows 和 Unix/Linux 平台上安装和配置 WebLogic 服务器,并且介绍了如何使用 SSL 配置 WebLogic 服务器。下面是相关的知识点: 安装 WebLogic 服务器 在 ...
根据提供的文档信息,本文将详细解释如何通过OpenSSL生成安全证书并在WebLogic环境中进行SSL配置与验证的过程。本文档分为几个部分:安装OpenSSL、创建证书、WebLogic环境的SSL配置,以及HTTPS验证。 ### 一、安装...
在Weblogic服务器上配置双向SSL时,需要在Weblogic的管理控制台中设置SSL监听器,指定服务器证书和私钥的位置,以及信任的CA证书。此外,可能还需要配置客户端认证,以便服务器可以验证连接的客户端身份。 总的来说...
在提供的文档中,“Weblogic 10.3的SSL的配置(風絮编稿).docx”和“Weblogic 10.3的SSL的配置及WebService调用.pdf”应该包含了详细的步骤和可能遇到的问题解决方案。“在weblogic上配置SSL1.pdf”则可能是另一个...
### WebLogic 集群中SSL配置详解 ...SSL配置不仅涉及到证书的准备与安装,还需要细致地调整WebLogic服务器的各项设置。确保正确配置SSL有助于提升系统的整体安全性,是维护企业信息系统稳定运行的重要环节之一。
4. **CA认证**:在“7 WebLogic的SSL配置”指南中,CA认证指的是使用权威的证书颁发机构签发的证书,以提高服务器的安全性和可信度。客户端通过检查服务器证书是否由已知的、可信赖的CA签发,来确认服务器的身份。`...