广东省数字证书认证中心

广东省数字证书认证中心广东省数字证书认证中心 GDCA GDCA 信鉴易信鉴易® SSL® SSL 服务器证书服务器证书部署部署指南指南 For Weblogic 10 and 11For Weblogic 10 and 11 版本版本 2015/11/23 GDCA 信鉴易® SSL 服务器证书部署指南 For Weblogic 10 and 11 地址：广州市东风中路 448 号成悦大厦第 23 楼 邮编：510030 网址：www.gdca.com.cn 电话：862083487228 传真：862083486610 客户服务（热线） ： 95105813 1 目录目录 一、部署前特别说明 . 2 二、使用 KEYTOOL 工具产生证书请求 . 2 1 初始环境准备 . 2 2 产生密钥库文件 . 2 3产生证书请求文件 . 4 三、服务器证书的导入 . 4 1获取服务器证书的根证书和 CA 证书 . 4 1.1 从邮件中获取 . 4 1.2 从 GDCA 官网上下载： . 5 1.3 转换证书编码 . 7 2查看密钥库文件信息 . 10 3导入证书 . 11 4产生 truststore 文件(可选)： . 13 四、安装服务器证书 . 14 1单向 SSL . 14 1.1 配置服务器 . 14 1.2 配置认证模式 . 16 1.3 配置服务器证书私钥别名 . 17 1.4 https 访问测试 . 18 2双向 SSL . 18 2.1 配置服务器 . 18 2.2 配置认证模式 . 19 2.3 配置服务器证书私钥别名 . 20 2.4 https 访问测试 . 22 五、备份和恢复 . 22 1备份服务器证书 . 22 2.恢复服务器证书 . 22 六、证书遗失处理 . 22 GDCA 信鉴易® SSL 服务器证书部署指南 For Weblogic 10 and 11 地址：广州市东风中路 448 号成悦大厦第 23 楼 邮编：510030 网址：www.gdca.com.cn 电话：862083487228 传真：862083486610 客户服务（热线） ： 95105813 2 一、部署前特别说明一、部署前特别说明 1. GDCA 信鉴易® SSL 服务器证书部署指南(以下简称“本部署指南”)主要描述如何通过 openssl 产生密钥对和如何将 SSL 服务器证书部署到 weblogic 服务器 2. 本部署指南适用于 weblogic 10、11 版本； 3. weblogic 服务器部署恒信企业 EV SSL 和睿信 SSL 证书的操作步骤一致，区别在于：前者在 IE7 以上浏览器访问时，浏览器会显示安全锁标志，地址栏会变成绿色；而后者在浏览器访问时，浏览器显示安全锁标志，但地址栏不变绿色； 4. 本部署指南使用 testweb.gdca.com.cn 作为样例进行安装配置，实际部署过程请用户根据正式的域名进行配置； 5. 您可以使用其它方式并不要求按照本部署指南在 windows 下使用 Keytool 工具产生密钥库文件以及生成证书请求文件。 二、二、使用使用 KEYTOOL 工具产生证书请求工具产生证书请求 1 初始环境初始环境准备准备 制作证书请求文件的工作环境， 需要先安装好 JDK （请使用 1.6 或以上版本） ，再使用 JDK 所在路径的 bin 目录下的 keytool 命令。 2 产生产生密钥库文件密钥库文件 打开 windows 命令行窗口，进入 JDK 的 bin 目录运行 keytool 命令 参考： keytool -genkey -alias yourserver -keyalg RSA -keysize 2048 -keystore yourkeystore.jks -storepass yourpassword -storepass 指定 keystore 密码 系统会提示您输入你的信息。填写信息说明： 1 您的姓名与姓氏是什么？ 填： 域名 （公网访问的域名地址如 testweb.gdca.com.cn； 如果有多个域名，GDCA 信鉴易® SSL 服务器证书部署指南 For Weblogic 10 and 11 地址：广州市东风中路 448 号成悦大厦第 23 楼 邮编：510030 网址：www.gdca.com.cn 电话：862083487228 传真：862083486610 客户服务（热线） ： 95105813 3 只填主域名） 2 您的组织单位名称是什么？ 填：组织单位名或部门名（如技术支持部或 Technical Support） 3 您的组织名称是什么？ 填：组织名或公司名（广东数字证书认证中心有限公司或 Guangdong Certification Authority Co.,Ltd.） 4 您所在的城市或者区域名称是什么？ 填：城市或区域名（如佛山市或 Foshan） 5 您所在的州或省份名称是什么？ 填：州名或省份名（如广东省或 Guangdong） 6 该单位的两字母国家代码是什么？ 填：两位国家代码（如 中国为 CN，美国为 US） 除第 1、6 项外，2-5 的信息填写请统一使用中文或者英文填写，并确保内容和您提交到 GDCA 的内容一致，以保证 SSL 证书的签发。 例： keytool -genkey -alias testweb -keyalg RSA -keysize 2048 -keystore D:keystore.jks -storepass 123456 GDCA 信鉴易® SSL 服务器证书部署指南 For Weblogic 10 and 11 地址：广州市东风中路 448 号成悦大厦第 23 楼 邮编：510030 网址：www.gdca.com.cn 电话：862083487228 传真：862083486610 客户服务（热线） ： 95105813 4 示例中使用 testweb 作为私钥别名（alias） ，生成的密钥库文件名为keystore.jks,该文件存放 D 盘下。注意：如果不指定目标路径，keystore.jks会存放在命令行的当前路径下（这里是 keytool 所在目录） 。 3产生证书请求文件产生证书请求文件 参考： keytool -certreq -alias yourserver -keystore keystore.jks -file yourserver.csr keypass yourpassword -storepass yourpassword 例： keytool -certreq -alias testweb -keystore D:keystore.jks -file D:testweb.csr -keypass 123456 -storepass 123456 产生请求文件 testweb.csr 三、三、服务器证书服务器证书的导入的导入 1 1获取服务器证书获取服务器证书的的根证书和根证书和 CACA 证书证书 服务器证书需要安装根证书和 CA 证书,以确保证书在浏览器中的兼容性。 有两种方式获取。 1.1 从邮件中获取从邮件中获取 在您完成申请 GDCA 服务器证书的流程后，GDCA 将会在返回给您的邮件中附上证书的公钥以及根证书 GDCA_TrustAUTH_R5_ROOT.cer 和相应的 CA 证书。 如果您申请的是睿信(OV) SSL 证书（Organization Validation SSL Certificate） ，GDCA 信鉴易® SSL 服务器证书部署指南 For Weblogic 10 and 11 地址：广州市东风中路 448 号成悦大厦第 23 楼 邮编：510030 网址：www.gdca.com.cn 电话：862083487228 传真：862083486610 客户服务（热线） ： 95105813 5 CA 证书就是文件就是 GDCA_TrustAUTH_R4_SSL_CA.cer；如果您申请的是恒信企业 EV SSL 证书（Extended Validation SSL Certificate） ，CA 证书就是文件就是GDCA_TrustAUTH_