WebLogic在Debian上的SSL证书如何配置

WebLogic在Debian上的SSL证书配置步骤

一、前提条件

1. WebLogic Server已安装并正常运行；
2. 已获取SSL证书文件（含私钥、证书链）：
   • 私钥文件（如server.key）；
   • 证书文件（如server.crt）；
   • 中间证书文件（如有，如intermediate.crt）；
3. Debian服务器已安装JDK（建议使用OpenJDK 11及以上，可通过java -version验证）。

二、准备SSL证书文件

将证书文件上传至Debian服务器的安全目录（如/opt/weblogic/certs/），确保证书文件权限仅限root用户访问（chmod 600 *.key *.crt）。

三、创建WebLogic密钥库（JKS格式）

若未创建密钥库，需通过keytool工具生成JKS格式密钥库（WebLogic默认支持JKS）：

# 进入证书目录
cd /opt/weblogic/certs/

# 生成密钥库（若已有密钥库可跳过此步）
keytool -genkeypair -alias weblogic -keyalg RSA -keystore keystore.jks -keysize 2048 \
  -dname "CN=yourdomain.com, OU=IT, O=YourCompany, L=City, ST=State, C=CN" \
  -storepass changeit -keypass changeit

说明：

• -alias：密钥别名（需与后续配置一致）；
• -keystore：密钥库文件路径；
• -storepass：密钥库密码（建议使用强密码）；
• -keypass：私钥密码（需与密钥库密码一致）。

四、导入证书到密钥库

1. 导入服务器证书（必选）：

   keytool -import -alias weblogic -file /opt/weblogic/certs/server.crt -keystore keystore.jks \
     -storepass changeit -noprompt
   

   说明：-noprompt表示跳过确认提示（生产环境建议去掉以确认证书信息）。

2. 导入中间证书（若有，必选）：

   keytool -import -alias intermediate -file /opt/weblogic/certs/intermediate.crt -keystore keystore.jks \
     -storepass changeit -noprompt
   

   作用：构建证书信任链，确保浏览器识别证书有效性。

五、配置WebLogic域使用SSL

1. 编辑config.xml文件（域配置文件）： 文件路径通常为/opt/weblogic/user_projects/domains/yourdomain/config/config.xml。

   在<server>标签内添加/修改<ssl>配置（以AdminServer为例）：

   <server>
       <name>AdminServer</name>
       <listen-port>7001</listen-port>
       <ssl>
           <name>weblogic_ssl</name>
           <enabled>true</enabled>
           <keystore>
               <name>keystore.jks</name>
               <password>changeit</password>
               <path>/opt/weblogic/certs/keystore.jks</path>
           </keystore>
           <key-alias>weblogic</key-alias>
           <ssl-enabled>true</ssl-enabled>
       </ssl>
   </server>
   

   说明：

   • <enabled>：启用SSL；
   • <keystore>：指定密钥库路径、密码及文件名；
   • <key-alias>：密钥库中私钥的别名（需与导入时的-alias一致）。

2. （可选）调整监听端口： 若需使用HTTPS默认端口（443），需修改<listen-port>为443，并确保Debian防火墙（ufw）及云服务商安全组放行该端口：

   sudo ufw allow 443/tcp
   

六、重启WebLogic服务

配置生效后，重启WebLogic以应用SSL设置：

# 进入WebLogic域目录
cd /opt/weblogic/user_projects/domains/yourdomain/bin/

# 停止WebLogic
./stopWebLogic.sh

# 启动WebLogic
./startWebLogic.sh

七、验证SSL配置

1. 浏览器访问：
   在浏览器中输入https://yourdomain.com:7001（若修改为443端口则无需端口），检查地址栏是否显示安全锁标识（表示证书有效）。

2. 命令行验证：
   使用openssl工具检查SSL握手是否成功：

   openssl s_client -connect yourdomain.com:7001 -servername yourdomain.com | openssl x509 -noout -text
   

   说明：
   若输出中包含证书有效期、颁发者等信息，且无错误提示，则配置成功。

注意事项

• 若证书为PEM格式（如.crt/.key），需转换为JKS格式（可使用keytool或第三方工具如Portecle）；
• 生产环境中，建议使用双向SSL（客户端证书认证），需额外导入客户端证书到信任库；
• 定期检查证书有效期（可通过keytool -list -v -keystore keystore.jks查看），提前续期并更新配置。