續(xù)接上一篇 https 以及內(nèi)網(wǎng)如何使用 的理論知識，這次來做個實踐，用 openssl 和 keytool 為 weblogic 生成自簽證書，并讓瀏覽器信任。

如果使用了負(fù)載均衡(nginx或apache)，則更為簡單，只需要在負(fù)載均衡中配置證書就完成了，不需要以下步驟，使用 apache 作為負(fù)載均衡可參考 apache 配置 https

背景知識

• 什么是單向認(rèn)證：只需要客戶端認(rèn)證服務(wù)端是否正確；
• 什么是雙向認(rèn)證：需要客戶端和服務(wù)器端互相認(rèn)證，在單向認(rèn)證的基礎(chǔ)上，服務(wù)器也需要認(rèn)證客戶端。在生成證書這一步也需要為客戶端生成證書。

因為大部分情況下(除比較安全的應(yīng)用如涉及到支付、銀行U盾等)不需要雙向認(rèn)證，所以這里只做單向認(rèn)證就可以了。

說明

實踐中我使用的是cygwin自帶的 openssl，如果沒有可自行下載 OpenSSL，解壓后用 cmd 進(jìn)入該目錄；

在當(dāng)前目錄下創(chuàng)建 ca 文件夾，用來存儲生成的 CA 證書；

操作過程中涉及到的密碼均為123456,證書名稱為example，可自行替換；

示例簽證的時間是3650天，即10年;

示例中用到的 ip 自行替換。

制作CA根證書

創(chuàng)建私鑰 openssl genrsa -out ca/ca-key.pem 1024

創(chuàng)建證書請求 openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem -config openssl.cnf

生成CA自簽名證書 openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650

制作服務(wù)器證書

用 java 自帶的 keytool工具生成密鑰 keytool -genkey -alias example -validity 365 -keyalg RSA -keysize 1024 -keypass 123456 -storepass 123456 -keystore example.jks

用keytool工具生成證書請求 keytool -certreq -alias example -sigalg MD5withRSA -file example.csr -keypass 123456 -keystore example.jks -storepass 123456

根據(jù)證書請求，用CA簽證，生成服務(wù)器證書openssl x509 -req -in example.csr -out example.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -days 365 -set_serial 1

向 keystore 密鑰庫中導(dǎo)入證書

導(dǎo)入CA證書 keytool -import -v -trustcacerts -keypass 123456 -storepass 123456 -alias root -file ca/ca-cert.pem -keystore example.jks

導(dǎo)入服務(wù)器證書 keytool -import -v -trustcacerts -storepass 123456 -alias example -file example.pem -keystore example.jks

單獨導(dǎo)出 CA 作為信任證書 keytool -import -alias example-ca -trustcacerts -file ca/ca-cert.pem -keystore exampletrust.jks

至此會生成 example.jks 和 exampletrust.jks 兩個文件，將其復(fù)制到 webloigc 域的根目錄下，啟用 weblogic 的 ssl 功能并引用證書配置。

客戶端安裝CA證書(解決瀏覽器端無法識別證書的問題)

生成瀏覽器證書openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12

雙擊ca.p12安裝證書為受信任的根證書頒發(fā)機(jī)構(gòu)

打開ie瀏覽器，在 internet 選項``內(nèi)容中清除ssl狀態(tài)，重啟瀏覽器再重新訪問，就不會再有不信任的提示。

apache 配置 https 參考 apache 配置 https

總結(jié)

以上是生活随笔為你收集整理的自签 https 证书的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。