广东省数字证书认证中心
广东省数字证书认证中心广东省数字证书认证中心 GDCA GDCA 信鉴易信鉴易® SSL® SSL 服务器证书服务器证书部署部署指南指南 For Weblogic 10 and 11For Weblogic 10 and 11 版本版本 2015/11/23 GDCA 信鉴易® SSL 服务器证书部署指南 For Weblogic 10 and 11 地址:广州市东风中路 448 号成悦大厦第 23 楼 邮编:510030 网址:www.gdca.com.cn 电话:862083487228 传真:862083486610 客户服务(热线) : 95105813 1 目录目录 一、部署前特别说明 . 2 二、使用 KEYTOOL 工具产生证书请求 . 2 1 初始环境准备 . 2 2 产生密钥库文件 . 2 3产生证书请求文件 . 4 三、服务器证书的导入 . 4 1获取服务器证书的根证书和 CA 证书 . 4 1.1 从邮件中获取 . 4 1.2 从 GDCA 官网上下载: . 5 1.3 转换证书编码 . 7 2查看密钥库文件信息 . 10 3导入证书 . 11 4产生 truststore 文件(可选): . 13 四、安装服务器证书 . 14 1单向 SSL . 14 1.1 配置服务器 . 14 1.2 配置认证模式 . 16 1.3 配置服务器证书私钥别名 . 17 1.4 https 访问测试 . 18 2双向 SSL . 18 2.1 配置服务器 . 18 2.2 配置认证模式 . 19 2.3 配置服务器证书私钥别名 . 20 2.4 https 访问测试 . 22 五、备份和恢复 . 22 1备份服务器证书 . 22 2.恢复服务器证书 . 22 六、证书遗失处理 . 22 GDCA 信鉴易® SSL 服务器证书部署指南 For Weblogic 10 and 11 地址:广州市东风中路 448 号成悦大厦第 23 楼 邮编:510030 网址:www.gdca.com.cn 电话:862083487228 传真:862083486610 客户服务(热线) : 95105813 2 一、部署前特别说明一、部署前特别说明 1. GDCA 信鉴易® SSL 服务器证书部署指南(以下简称“本部署指南”)主要描述如何通过 openssl 产生密钥对和如何将 SSL 服务器证书部署到 weblogic 服务器 2. 本部署指南适用于 weblogic 10、11 版本; 3. weblogic 服务器部署恒信企业 EV SSL 和睿信 SSL 证书的操作步骤一致,区别在于:前者在 IE7 以上浏览器访问时,浏览器会显示安全锁标志,地址栏会变成绿色;而后者在浏览器访问时,浏览器显示安全锁标志,但地址栏不变绿色; 4. 本部署指南使用 testweb.gdca.com.cn 作为样例进行安装配置,实际部署过程请用户根据正式的域名进行配置; 5. 您可以使用其它方式并不要求按照本部署指南在 windows 下使用 Keytool 工具产生密钥库文件以及生成证书请求文件。 二、二、使用使用 KEYTOOL 工具产生证书请求工具产生证书请求 1 初始环境初始环境准备准备 制作证书请求文件的工作环境, 需要先安装好 JDK (请使用 1.6 或以上版本) ,再使用 JDK 所在路径的 bin 目录下的 keytool 命令。 2 产生产生密钥库文件密钥库文件 打开 windows 命令行窗口,进入 JDK 的 bin 目录运行 keytool 命令 参考: keytool -genkey -alias yourserver -keyalg RSA -keysize 2048 -keystore yourkeystore.jks -storepass yourpassword -storepass 指定 keystore 密码 系统会提示您输入你的信息。填写信息说明: 1 您的姓名与姓氏是什么? 填: 域名 (公网访问的域名地址如 testweb.gdca.com.cn; 如果有多个域名,GDCA 信鉴易® SSL 服务器证书部署指南 For Weblogic 10 and 11 地址:广州市东风中路 448 号成悦大厦第 23 楼 邮编:510030 网址:www.gdca.com.cn 电话:862083487228 传真:862083486610 客户服务(热线) : 95105813 3 只填主域名) 2 您的组织单位名称是什么? 填:组织单位名或部门名(如技术支持部或 Technical Support) 3 您的组织名称是什么? 填:组织名或公司名(广东数字证书认证中心有限公司或 Guangdong Certification Authority Co.,Ltd.) 4 您所在的城市或者区域名称是什么? 填:城市或区域名(如佛山市或 Foshan) 5 您所在的州或省份名称是什么? 填:州名或省份名(如广东省或 Guangdong) 6 该单位的两字母国家代码是什么? 填:两位国家代码(如 中国为 CN,美国为 US) 除第 1、6 项外,2-5 的信息填写请统一使用中文或者英文填写,并确保内容和您提交到 GDCA 的内容一致,以保证 SSL 证书的签发。 例: keytool -genkey -alias testweb -keyalg RSA -keysize 2048 -keystore D:keystore.jks -storepass 123456 GDCA 信鉴易® SSL 服务器证书部署指南 For Weblogic 10 and 11 地址:广州市东风中路 448 号成悦大厦第 23 楼 邮编:510030 网址:www.gdca.com.cn 电话:862083487228 传真:862083486610 客户服务(热线) : 95105813 4 示例中使用 testweb 作为私钥别名(alias) ,生成的密钥库文件名为keystore.jks,该文件存放 D 盘下。注意:如果不指定目标路径,keystore.jks会存放在命令行的当前路径下(这里是 keytool 所在目录) 。 3产生证书请求文件产生证书请求文件 参考: keytool -certreq -alias yourserver -keystore keystore.jks -file yourserver.csr keypass yourpassword -storepass yourpassword 例: keytool -certreq -alias testweb -keystore D:keystore.jks -file D:testweb.csr -keypass 123456 -storepass 123456 产生请求文件 testweb.csr 三、三、服务器证书服务器证书的导入的导入 1 1获取服务器证书获取服务器证书的的根证书和根证书和 CACA 证书证书 服务器证书需要安装根证书和 CA 证书,以确保证书在浏览器中的兼容性。 有两种方式获取。 1.1 从邮件中获取从邮件中获取 在您完成申请 GDCA 服务器证书的流程后,GDCA 将会在返回给您的邮件中附上证书的公钥以及根证书 GDCA_TrustAUTH_R5_ROOT.cer 和相应的 CA 证书。 如果您申请的是睿信(OV) SSL 证书(Organization Validation SSL Certificate) ,GDCA 信鉴易® SSL 服务器证书部署指南 For Weblogic 10 and 11 地址:广州市东风中路 448 号成悦大厦第 23 楼 邮编:510030 网址:www.gdca.com.cn 电话:862083487228 传真:862083486610 客户服务(热线) : 95105813 5 CA 证书就是文件就是 GDCA_TrustAUTH_R4_SSL_CA.cer;如果您申请的是恒信企业 EV SSL 证书(Extended Validation SSL Certificate) ,CA 证书就是文件就是GDCA_TrustAUTH_