centos上weblogic如何配置SSL证书

CentOS 上 WebLogic 配置 SSL 证书

一 准备证书与密钥库

• 使用 JDK keytool 生成密钥库与私钥别名（示例将文件放在 /opt/weblogic/ssl/，请按实际修改）：
  • 生成密钥库与私钥

    mkdir -p /opt/weblogic/ssl
    cd /opt/weblogic/ssl
    keytool -genkey -alias server -keyalg RSA -keysize 2048 \
      -keystore server.jks -storepass ChangeMe123 -keypass ChangeMe123 \
      -dname "CN=your.domain.com,OU=IT,O=Org,L=City,ST=State,C=CN"
    

  • 生成 CSR（提交给 CA 申请证书）

    keytool -certreq -alias server -file server.csr -keystore server.jks \
      -storepass ChangeMe123 -keypass ChangeMe123
    

• 安装证书链与服务器证书到同一密钥库（保持与私钥相同的别名 server）：

  # 导入根/中间 CA（按实际证书链顺序导入，通常先根后中间）
  keytool -import -trustcacerts -alias root   -file root.cer   -keystore server.jks -storepass ChangeMe123
  keytool -import -trustcacerts -alias inter  -file inter.cer  -keystore server.jks -storepass ChangeMe123
  
  # 导入服务器证书（必须与生成私钥时的别名一致：server）
  keytool -import -alias server -file server.cer -keystore server.jks -storepass ChangeMe123
  

• 可选：查看密钥库内容，确认证书链与别名

  keytool -list -v -keystore server.jks -storepass ChangeMe123 | grep -E "Alias|Owner|Issuer"
  

• 注意要点
  • 服务器证书的 CN/Subject Alternative Name 需与访问域名一致，否则浏览器会告警。
  • 导入服务器证书时若提示“认证已添加至keystore中”而非“认证回复已安装在keystore中”，多半是 别名不一致，请使用与生成私钥时相同的别名（本例为 server）。

二 在 WebLogic 控制台配置 SSL

• 登录 WebLogic 管理控制台，进入：环境 → 服务器 → 目标服务器（如：AdminServer）→ 配置
  • 常规（General）
    • 勾选 Listen SSL Port Enabled，设置 SSL 端口（常用 7002；生产可改为 443 并在前方用反向代理/负载均衡处理）。
  • 密钥库（Keystores）
    • 选择 Custom Identity and Java Standard Trust（单向认证）；如需双向认证选择 Custom Identity and Custom Trust。
    • Identity
      • Custom Identity Keystore：填写 JKS 绝对路径（如：/opt/weblogic/ssl/server.jks）
      • Type：jks
      • Passphrase/Confirm：输入密钥库密码（如：ChangeMe123）
    • Java Standard Trust（单向时使用 JRE 默认信任库）
      • Cacerts Passphrase/Confirm：changeit（JRE 默认信任库密码）
  • SSL
    • Identity and Trust Locations：选择 Keystores
    • Private Key Alias：输入私钥别名（本例：server）
    • Private Key Passphrase/Confirm：输入私钥密码（如：ChangeMe123）
• 保存并激活更改（Active Changes），如控制台提示需重启则重启目标服务器。

三 系统与防火墙设置

• 开放防火墙端口（示例为 7002；若使用 443，请改为 443）

  firewall-cmd --zone=public --add-port=7002/tcp --permanent
  firewall-cmd --reload
  

• 如通过 Nginx/Apache 做 443→7002 反向代理，可仅对外开放 443，并在代理上终止 SSL。

四 验证与常见问题

• 访问测试
  • 直接访问：https://your.domain.com:7002，应看到浏览器锁标识。
  • 若部署在 443 或经反向代理，使用：https://your.domain.com。
• 常见问题排查
  • 证书链不完整导致浏览器不信任：确认已按正确顺序导入 根 CA → 中间 CA → 服务器证书，且服务器证书别名为 server。
  • 端口不通：检查 firewalld/安全组 是否放行对应端口，以及 WebLogic 监听地址是否为 0.0.0.0 而非仅 127.0.0.1。
  • 别名不一致：导入服务器证书时若未使用与生成私钥相同的别名，会出现“认证已添加”而非“认证回复已安装”的提示，请统一为 server。
  • 需要重启：部分版本/配置在保存密钥库与 SSL 后需重启才生效，按控制台提示执行。

五 可选 强制 HTTP 跳转 HTTPS

• 在应用的 web.xml 增加安全约束，使指定资源仅允许 CONFIDENTIAL（HTTPS）访问：

  <security-constraint>
    <web-resource-collection>
      <web-resource-name>SSL</web-resource-name>
      <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
  </security-constraint>
  

• 注意：该方式依赖应用容器对 CONFIDENTIAL 的语义处理，通常触发 302 到 HTTPS；若需全站跳转，建议在反向代理/负载均衡层统一处理。