weblogic在centos上的SSL证书配置指南

WebLogic 在 CentOS 上的 SSL 证书配置指南

一 准备与前置条件

• 准备证书文件：从证书颁发机构获取并解压证书包，常见为包含 .jks 的 Tomcat 目录（如：server.jks 与 keystorePass.txt），或提供 Nginx 格式的证书与私钥需转换为 JKS。若下载包不含 Tomcat/JKS，可使用转换工具将 Nginx 证书与私钥合成为 .jks。同时确认服务器防火墙与安全组已放行 443（或自定义 HTTPS 端口）。WebLogic 10.3.1 及以上支持主流品牌证书。为便于浏览器信任，确保将对应 根 CA 加入受信列表（如使用私有 CA 或内部根）。

二 在 CentOS 上用 keytool 生成密钥库与 CSR（自签或申请正式证书均适用）

• 生成密钥库与私钥（示例：JKS，RSA 2048 位）
  • keytool -genkeypair -alias mykey -keyalg RSA -keysize 2048 -keystore /u01/app/keystore.jks -storepass ChangeIt! -dname “CN=web.example.com,OU=IT,O=Org,L=City,ST=State,C=CN” -validity 365
• 生成 CSR（提交给 CA 申请正式证书）
  • keytool -certreq -alias mykey -keystore /u01/app/keystore.jks -file /u01/app/server.csr -storepass ChangeIt!
• 导入信任链与服务器证书（顺序：根证书 → 中间证书 → 服务器证书；服务器证书别名必须与生成 CSR 时一致）
  • keytool -importcert -alias root -file root.cer -keystore /u01/app/keystore.jks -storepass ChangeIt! -trustcacerts
  • keytool -importcert -alias intermediate -file intermediate.cer -keystore /u01/app/keystore.jks -storepass ChangeIt! -trustcacerts
  • keytool -importcert -alias mykey -file server.crt -keystore /u01/app/keystore.jks -storepass ChangeIt!
• 可选：查看密钥库内容核对别名与证书链
  • keytool -list -v -keystore /u01/app/keystore.jks -storepass ChangeIt!
• 注意：全程使用同一 keystore 与 私钥别名；丢失 keystore 将无法完成证书回复与部署。

三 在 WebLogic 管理控制台配置 SSL

• 登录控制台（默认 http://服务器IP:7001/console），在左上角点击 Lock & Edit 进入编辑。
• 配置服务器监听端口：进入 Environment → Servers → 目标服务器（如 AdminServer）→ Configuration → General，勾选 SSL Listen Port Enabled，将端口设置为 443（或自定义端口），保存。
• 配置密钥库：进入 Keystores，选择 Custom Identity and Java Standard Trust，填写 Identity Keystore（/u01/app/keystore.jks）、Type（JKS） 与密码；Java Standard Trust Keystore 使用 JRE 的 cacerts（路径如：${JAVA_HOME}/jre/lib/security/cacerts，默认密码 changeit），保存。
• 配置 SSL：进入 SSL，设置 Private Key Alias 为 mykey，填写私钥密码，保存。
• 激活更改：点击左上角 Activate Changes，按控制台提示重启目标服务器使配置生效。

四 防火墙与端口放行（CentOS 7/8）

• 放行 HTTPS 端口（示例为 443；如使用其他端口，替换为实际端口）
  • firewall-cmd --zone=public --add-port=443/tcp --permanent
  • firewall-cmd --reload
• 如使用云服务器，还需在云平台安全组放行对应端口。

五 验证与常见问题

• 访问验证：在浏览器访问 https://域名:端口，确认地址栏显示锁形图标且证书链完整（包含中间证书）。
• 证书链与别名要点：导入顺序必须为 根 → 中间 → 服务器证书；服务器证书导入时的 别名 必须与生成 CSR 时一致，否则会提示“认证已添加”而非“认证回复已安装”。
• 端口与协议：确认已启用 SSL Listen Port，且防火墙/安全组已放行；若使用 443，需确保运行 WebLogic 的用户具备绑定低端口的权限（或使用 setcap 授权 java）。
• 信任库选择：单向认证使用 Java Standard Trust（JRE cacerts）；双向认证选择 Custom Identity and Custom Trust 并在信任库导入客户端证书。
• 证书格式与来源：若 CA 未提供 JKS，可将 Nginx 证书与私钥转换为 JKS 再导入；WebLogic 10.3.1+ 支持主流品牌证书。
• 变更生效：每次修改后需 Activate Changes 并重启服务器；生产变更建议先在测试环境验证。