证书服务器证书

WebLogic服务器证书配置指南中国互联网络信息中心1/19HTTP://WWW.
CNNIC.
CNWebLogic服务器证书配置指南中国互联网络信息中心2/19HTTP://WWW.
CNNIC.
CN目录1.
关于Weblogic…32.
2.
1生成私钥生成证书请求文件CSR…42.
242.
3生成CSR…62.
4备份私钥文件…63.
把CSR发给CNNIC…73.
1下载服务器证书…73.
2准备下载服务器证书所需信息…74.
下载证书…74.
1安装跟证书和服务器证书…124.
2下载根证书及CNNIC中级根证书…124.
3将根证书root.
cer导入到keystore文件…124.
4将中级CA证书cnnic.
cer导入到keystore文件…134.
5将服务器证书m1.
cnnic.
cn.
cer导入到keystore文件…135.
查看keystore证书…146.
配置weblogic…15图表目录图表一创建私钥.
5表二生成csr文件…6图表三查看csr文件…6图表四可信服务器证书下载页面…8图表五填入收到的参考号和授权码以及生成的csr…9图表六生成证书…10图表七格式转换…11图表八证书导出向导…12完成配置…17图表九导入根证书…13WebLogic服务器证书配置指南中国互联网络信息中心3/19HTTP://WWW.
CNNIC.
CN图表十导入中级根证书…13图表十一导入服务器证书…14图表十二查看keystore证书…14图表十三修改配置一…15图表十四修改配置二…16图表十五修改配置三…17图表十六安装成功后显示服务器证书…18WebLogic服务器证书配置指南中国互联网络信息中心4/19HTTP://WWW.
CNNIC.
CN1.
关于Weblogic本文示例使用的是Windows系统下的weblogicserver9.
2,如果进行Weblogic配置时不能成功完成,可能是版本原因,请参考Weblogic帮助文件中SSL相关章节或咨询Weblogic服务提供商进行配置.
本文使用"keytool"来生成私钥和CSR文件,JDK中一般已经默认安装有keytool,如果您的服务器上没有安装keytool,请先下载安装JDK.
2.
生成证书请求文件CSR在生成CSR文件时同时生成您的私钥,如果您丢了私钥或忘了私钥密码,则颁发证书给您后不能安装成功!
您必须重新生成私钥和CSR文件,利用证书补办流程颁发新的证书.
为了避免此情况的发生,请在生成CSR后一定要备份私钥文件和记住私钥密码,最好是在收到证书之前不要再动服务器重要注意事项1)请使用以下命令,并参考下图:生成keystore和keyEntryKeytoolkeyEntry_name:表示证书的别名–genkey–alias[keyEntry_name]–keyalgRSA–keysize2048-keystore[keystore_name]注:[]中的内容为需要输入的参数,以上命令间都有空格keystore_name:表示证书密钥库的文件名,扩展名一般为keystoreWebLogic服务器证书配置指南中国互联网络信息中心5/19HTTP://WWW.
CNNIC.
CN图表一创建私钥请注意:keyEntry_name和keystore_name可以根据需要自行输入,但请与下文中内容保持一致.
如果您不指定一个keystore名称(不使用参数-keystore),则keystore文件将保存在您的用户目录中,文件名为:.
keystore.
密钥对长度在-keysize后面指定,CNNIC可信网络服务中心要求域名证书密钥对最少为2048位.
系统会提示您输入keystore密码,缺省密码为:changeit,您可以指定一个新的密码,但请一定要记住.
接着会提示"Whatisyourfistandlastname",请输入您要申请域名证书的域名,而不是真的输入您的个人姓名,如果您需要为www.
***.
cn申请域名证书就不能只输入***.
cn.
域名证书是严格绑定域名的.
接着,输入您的部门名称、单位名称、所在城市、所在省份和国家缩写(中国填:CN,其他国家填其缩写),除国家缩写必须填CN外,其余都可以是英文或中文.
这些信息具体内容可以忽略,生成证书时信息以RA系统中登记的为准.
WebLogic服务器证书配置指南中国互联网络信息中心6/19HTTP://WWW.
CNNIC.
CN最后,要求您输入私钥密码,请一定要为keystore和keyEntry输入一样的密码,否则会提示错误信息.
同时,请一定要记住密码!
2)请使用以下命令,并参考下图:生成CSRKeytoolkeyEntryname:表示证书的别名–certreq–alias[keyEntryname]-filerequest.
csr–keystore[keystorename]注:[]中的内容为需要输入的参数,以上命令间都有空格request:表示证书请求文件的名称,扩展名一般为csrkeystore_name:表示证书密钥库的文件名称,扩展名一般为keystore图表二生成csr文件CSR文件(request.
csr)会保存在当前目录下,CSR文件为文本文件,如下图示.
图表三查看csr文件3)备份私钥文件WebLogic服务器证书配置指南中国互联网络信息中心7/19HTTP://WWW.
CNNIC.
CN请备份您的keystore文件并记下私钥密码.
最好是把私钥文件备份到软盘或光盘中.
4)成功生成CSR后请在登录CNNIC证书下载页面时把CSR内容发给CNNIC即可.
请一定不要再动您的服务器,等待证书的颁发.
把CSR发给CNNIC3.
下载服务器证书1)准备下载证书所需信息参考号与授权码:参考号与授权码是下载证书的密码凭证.
当申请的证书通过审核时,用户将接收到由CNNIC发送的通过审批的电子邮件通知,该邮件中含有16位的参考号与授权码信息,其中参考号与授权码的前13位为明文显示,后3位为密文显示.
审核员会以邮件通知的方式发送后三位的明文显示.
2)下载证书登录CNNIC可信网络服务中心网页http://www.
cnnic.
cn/jczyfw/wzws/xz/201010/t20101027_16322.
html点击页面中部的"可信服务器证书下载"图片链接进入到证书下载页面,如下图所示:WebLogic服务器证书配置指南中国互联网络信息中心8/19HTTP://WWW.
CNNIC.
CN图表四可信服务器证书下载页面根据网页上的提示输入"参考号"和"授权码",将证书请求文件中除去头尾"-----BEGINNEWCERTIFICATEREQUEST-----"和"-----ENDNEWCERTIFICATEREQUEST-----"的中间部分内容复制到CSR文本框中.
结果如下所示:WebLogic服务器证书配置指南中国互联网络信息中心9/19HTTP://WWW.
CNNIC.
CN图表五填入收到的参考号和授权码以及生成的csr点击"下载",如果参考号、授权码和CSR均无问题,则显示页面如下所示.
WebLogic服务器证书配置指南中国互联网络信息中心10/19HTTP://WWW.
CNNIC.
CN图表六生成证书注意:关于证书的格式转换从CNNIC获得的证书格式为X509格式.
该将证书文件的扩展名由txt改为cer或crt后,可在windows中双击打开查看证书的相关信息.
显示信息类似下图所示:WebLogic服务器证书配置指南中国互联网络信息中心11/19HTTP://WWW.
CNNIC.
CN图表七格式转换X509格式的证书利用windows提供的图形界面操作工具可以另存为以下两种编码格式:BASE64编码格式:该格式的证书可以用记事本打开DER编码格式:二进制格式在上图中,点击"详细信息"->"复制到文件"后,即可以根据提示点击"下一步"利用证书导出向导导出需要格式的证书,如下图所示:WebLogic服务器证书配置指南中国互联网络信息中心12/19HTTP://WWW.
CNNIC.
CN图表八证书导出向导4.
安装根证书和服务器证书1)下载根证书及CNNIC中级根根证书下载地址:快速证书:http://www.
cnnic.
cn/jczyfw/wzws/ksym/ksxz/201105/t20110524_21055.
html标准证书:http://www.
cnnic.
cn/jczyfw/wzws/bzkx/xz/201010/t20101027_16322.
htmlEV证书:2)将根证书root.
cer导入到Keystore文件http://www.
cnnic.
cn/jczyfw/wzws/kxEV/xz/将CNNIC中级根证书文件名保存为"CNNIC.
cer",将根证书文件名保存为"root.
cer"命令格式:keytool–import–trustcacerts–aliasroot-fileroot.
cer–keystore[keystore_name]注:[]中的内容为需要输入的参数,以上命令间都有空格WebLogic服务器证书配置指南中国互联网络信息中心13/19HTTP://WWW.
CNNIC.
CNkeystore_name:表示保存证书私钥的文件名,扩展名一般为keystore此keystore为之前生成的那个.
图表九导入根证书3)将中级CA证书CNNIC.
cer导入keystore文件命令格式:keytool–import–v–trustcacerts–storepass[password]–alias[ca_cert]–fileCNNIC.
cer–keystore[keystore_name]注:[]中的内容为需要输入的参数,以上命令间都有空格password:表示私钥的保护口令ca_cert:表示中级CA证书文件名keystore_name:表示保存证书私钥的文件名,扩展名一般为keystore图表十导入中级根证书此keystore为之前生成的那个.
4)将服务器证书m1.
cnnic.
cn.
cer导入到keystore文件命令格式:keytool–import–v–trustcacerts–storepass[password]–aliasWebLogic服务器证书配置指南中国互联网络信息中心14/19HTTP://WWW.
CNNIC.
CN[alias_name]–file[keyEntry_name]–keystore[keystore_name]注:[]中的内容为需要输入的参数,以上命令间都有空格password:表示私钥的保护口令server_cert:表示服务器证书文件名keyEntry_name:表示私钥的别名keystore_name:表示保存证书私钥的文件名,扩展名一般为keystore图表十一导入服务器证书此keystore为之前生成的那个.
请注意:如果您在生成keystore没有指定名称,则不需要-keystore选项.
在运行此命令时会提示您输入密码,也就是您在生成keystore时设置的密码.
当导入证书到您的keystore时,一定要使用生成CSR时一样的别名(alias),同时使用-trustcacerts参数.
如果不指定一样的别名,将不能安装成功!
5)查看keystore证书命令格式:keytool–list–keystore[keystore_name]注:[]中的内容为需要输入的参数,以上命令间都有空格keystore_name:表示保存证书私钥的文件名,扩展名一般为keystoreWebLogic服务器证书配置指南中国互联网络信息中心15/19HTTP://WWW.
CNNIC.
CN图表十二查看keystore证书5.
配置Weblogic(下述Weblogic配置示例使用的是Windows系统下的weblogicserver9.
2,各版本可能会有所不同,请查看Weblogic帮助手册中SSL部分或咨询Weblogic服务提供商)访问http://hostname:port/console,输入用户名和密码(默认都是weblogic)然后登录控制台页面,选中左边菜单中"Environment""Server"选中列表中的服务,点击打开.
打开后在右边列表中选择"keystores",如图:WebLogic服务器证书配置指南中国互联网络信息中心16/19HTTP://WWW.
CNNIC.
CN图表十三修改配置一根据实际情况设置证书和CA根证书.
确认修改的配置,然后保存.
配置完成"keystore"后,配置右边的SSL:WebLogic服务器证书配置指南中国互联网络信息中心17/19HTTP://WWW.
CNNIC.
CN图表十四修改配置二根据实际情况设置.
设置完毕后保存,然后点击"control",点击"RestartSSL"WebLogic服务器证书配置指南中国互联网络信息中心18/19HTTP://WWW.
CNNIC.
CN图表十五修改配置三重启SSL服务.
然后保存并激活配置.
6.
完成配置如果分配了7002端口给https服务,且域名解析正确.
则在浏览器地址栏输入:https://tns-ssverify.
cnnic.
cn:7002(申请证书的域名)测试您的域名证书是否安装成功,如果成功,则浏览器下方会显示一个安全锁标志.
其中证书路径中可以看到根证书显示为CNNICRoot.
WebLogic服务器证书配置指南中国互联网络信息中心19/19HTTP://WWW.
CNNIC.
CN图表十六安装成功后显示服务器证书请注意:如果您的网页中有不安全的元素,则会提供"是否显示不安全的内容",建议修改网页删除不安全的内容.
配置成功后,可以根据自己的需要调整https所使用的端口,https访问使用的默认端口是443.