|
一�����、 概述
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security�,TLS)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議�����。TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進(jìn)行加密�。
二�、作用
1)認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器���;
2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊?�?����;
3)維護(hù)數(shù)據(jù)的完整性��,確保數(shù)據(jù)在傳輸過程中不被改變����。
三���、檢測機(jī)制
1、檢測頒發(fā)機(jī)構(gòu)是否有頒發(fā)證書權(quán)限(公共頒發(fā)機(jī)構(gòu))
2�����、訪問域名和證書中的域名是否匹配。
如果以上兩項(xiàng)任何一項(xiàng)檢查不通過即顯示不受信任的鏈接����,如下圖所示:
四、證書申請
在騰訊或者阿里均提供為域名提供為期一年的免費(fèi)證書���。
騰訊:https://console.cloud.tencent.com/ssl/apply
阿里:https://yundunnext.console.aliyun.com
注意:申請免費(fèi)證書需要驗(yàn)證域名(提供了郵箱驗(yàn)證��、dns驗(yàn)證��,其中文件驗(yàn)證最方便�����。)以下為文件驗(yàn)證中間件�,解壓放到服務(wù)器然后將下載的驗(yàn)證文件放到中間件的webapps路徑下����,啟動(dòng)即可完成驗(yàn)證(端口必須為80或者443)。
五�、格式轉(zhuǎn)換
(1)、驗(yàn)證完成之后會(huì)提供不同容器的證書�����,可以發(fā)現(xiàn)里面沒有weblogic的證書,所以我們選擇Apache的證書作為根證書�,下載到本地
(2)、將下載好的本地文件解壓�����,解壓之后會(huì)得到三個(gè)文件如圖所示(key文件為私鑰
文件�����;剩下兩個(gè)雙擊打開�,有域名的叫證書,沒域名的叫證書鏈)�����,使用谷歌瀏覽器打開在線轉(zhuǎn)換工具(https://csr./convert-ssl.html)�����,將apache的根證書轉(zhuǎn)換為weblogic需要的根證書(jks格式)�。
六、生成信任文件
(1)、將轉(zhuǎn)換后的文件上傳到服務(wù)器
keytool -list -v -keystore skeystore.jks
(2)�、導(dǎo)出密鑰庫公鑰、信息等到證書中(生成cer文件)
keytool -export -alias com.cn -keystore com.cn.jks -file
.com.cn.cer
-alias : 為證書別名
-keystore:jks路徑和源文件
-storepass:密碼
-file:生成的文件名和路徑
(3)����、建立信任密鑰庫(將服務(wù)端證書���,導(dǎo)入到客戶端的信任密鑰庫中)
keytool -import -alias com.cn -file com.cn.cer -keystore ctruststore
-alias : 為證書別名
-file:第2步生成的cer文件��。
-keystore:生成的信任文件����。
信任密鑰庫truststore也需要密碼�����,但別名不需要密碼���。
注意:轉(zhuǎn)換和生成時(shí)均需要密碼��,此密碼要牢記�,在部署時(shí)需要用到��。
七、部署發(fā)布
在weblogic控制臺(tái)����,按照圖片進(jìn)行配置即可。
八���、訪問驗(yàn)證
|
