一、 概述
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網絡連接進行加密。
二、作用
2)加密數據以防止數據中途被竊取;
3)維護數據的完整性,確保數據在傳輸過程中不被改變。
三、檢測機制
1、檢測頒發機構是否有頒發證書權限(公共頒發機構)
2、訪問域名和證書中的域名是否匹配。
如果以上兩項任何一項檢查不通過即顯示不受信任的鏈接,如下圖所示:
四、證書申請
在騰訊或者阿里均提供為域名提供為期一年的免費證書。
騰訊:https://console.cloud.tencent.com/ssl/apply
阿里:https://yundunnext.console.aliyun.com
注意:申請免費證書需要驗證域名(提供了郵箱驗證、dns驗證,其中文件驗證最方便。)以下為文件驗證中間件,解壓放到服務器然后將下載的驗證文件放到中間件的webapps路徑下,啟動即可完成驗證(端口必須為80或者443)。
五、格式轉換
(1)、驗證完成之后會提供不同容器的證書,可以發現里面沒有weblogic的證書,所以我們選擇Apache的證書作為根證書,下載到本地
(2)、將下載好的本地文件解壓,解壓之后會得到三個文件如圖所示(key文件為私鑰
文件;剩下兩個雙擊打開,有域名的叫證書,沒域名的叫證書鏈),使用谷歌瀏覽器打開在線轉換工具(https://csr.chinassl.net/convert-ssl.html),將apache的根證書轉換為weblogic需要的根證書(jks格式)。
六、生成信任文件
(1)、將轉換后的文件上傳到服務器
查看密鑰庫
keytool -list -v -keystore skeystore.jks
(2)、導出密鑰庫公鑰、信息等到證書中(生成cer文件)
keytool -export -alias com.cn -keystore com.cn.jks -file
.com.cn.cer
-alias : 為證書別名
-keystore:jks路徑和源文件
-storepass:密碼
-file:生成的文件名和路徑
(3)、建立信任密鑰庫(將服務端證書,導入到客戶端的信任密鑰庫中)
keytool -import -alias com.cn -file com.cn.cer -keystore ctruststore
-alias : 為證書別名
-file:第2步生成的cer文件。
-keystore:生成的信任文件。
信任密鑰庫truststore也需要密碼,但別名不需要密碼。
注意:轉換和生成時均需要密碼,此密碼要牢記,在部署時需要用到。
七、部署發布
在weblogic控制台,按照圖片進行配置即可。
八、訪問驗證