在生产环境中,为WebLogic Server配置SSL证书是保障数据传输安全的关键步骤。本文详细介绍在CentOS系统上配置WebLogic SSL的完整流程,帮助运维人员快速完成安全加固。
前置条件
在开始配置前,请确保满足以下条件:
- CentOS 7/8 系统已安装
- WebLogic Server 12c 或 14c 已部署
- 已申请有效的SSL证书(公钥+私钥)
- 服务器开放443端口(或自定义SSL端口)
一、生成密钥库(Keystore)
WebLogic使用JKS格式密钥库存储证书。首先创建密钥库目录并生成密钥对:
# 创建密钥库目录
mkdir -p /app/oracle/weblogic/ssl Keystore
cd /app/oracle/weblogic/ssl Keystore
# 生成密钥库(包含私钥和证书请求)
keytool -genkeypair -alias weblogic -keyalg RSA -keysize 2048 \
-keystore identity.jks -storepass yourStorePassword \
-validity 3650 -keypass yourKeyPassword
参数说明:
alias:证书别名,可自定义keyalg:加密算法,推荐RSAkeysize:密钥长度,2048位为当前安全标准validity:有效期(天),生产环境建议至少365天
二、导入SSL证书
如果使用商业证书或自签名CA证书,需要将证书链导入密钥库:
# 导入根证书(可选)
keytool -importcert -trustcacerts -alias rootca \
-file root_ca.crt -keystore identity.jks -storepass yourStorePassword
# 导入中间证书(若有)
keytool -importcert -trustcacerts -alias intermediate \
-file intermediate.crt -keystore identity.jks -storepass yourStorePassword
# 导入服务器证书
keytool -importcert -trustcacerts -alias weblogic \
-file server.crt -keystore identity.jks -storepass yourStorePassword
三、转换为PKCS12格式
某些WebLogic版本推荐使用PKCS12格式,可通过以下命令转换:
keytool -importkeystore -srckeystore identity.jks \
-srcstorepass yourStorePassword -destkeystore identity.p12 \
-deststoretype PKCS12 -srcalias weblogic \
-deststorepass yourStorePassword -destkeypass yourKeyPassword
四、配置WebLogic Server
编辑WebLogic域的启动配置文件,添加SSL监听配置:
4.1 通过WebLogic管理控制台配置
- 登录WebLogic管理控制台(默认端口7001)
- 进入 环境 → 服务器 → 选择目标服务器
- 切换到 SSL 标签页
- 配置以下参数:
| 参数 | 推荐值 |
|---|---|
| 监听端口 | 7002(或自定义) |
| 密钥库 | Identity Keystore |
| 标识密钥库 | /app/oracle/weblogic/ssl Keystore/identity.jks |
| 标识密钥库类型 | JKS |
| 标识密钥库密码 | yourStorePassword |
| 私有密钥别名 | weblogic |
| 私有密钥密码 | yourKeyPassword |
- 保存并激活更改
4.2 通过命令行手动配置
编辑 <DOMAIN_HOME>/config/config.xml 文件:
<server>
<name>AdminServer</name>
<ssl>
<enabled>true</enabled>
<listen-port>7002</listen-port>
<key-store>Identity Keystore</key-store>
<identity-key-store-type>JKS</identity-key-store-type>
<identity-key-store>/app/oracle/weblogic/ssl Keystore/identity.jks</identity-key-store>
<identity-key-store-pass-encrypted>encryptedPassword</identity-key-store-pass-encrypted>
<custom-identity-key-store-pass-descriptor>Password</custom-identity-key-store-pass-descriptor>
<alias>weblogic</alias>
<pass-phrase-encrypted>encryptedPassphrase</pass-phrase-encrypted>
</ssl>
</server>
五、配置信任库(可选)
如需客户端证书认证(双向SSL),需要配置信任库:
# 创建信任库并导入受信任证书
keytool -importcert -trustcacerts -alias serverca \
-file client_ca.crt -keystore trust.jks -storepass trustPassword
在WebLogic SSL配置中启用客户端证书请求选项。
六、测试SSL配置
重启WebLogic Server后,使用以下命令验证:
# 测试SSL连接
openssl s_client -connect localhost:7002 -showcerts
# 检查证书信息
keytool -list -v -keystore identity.jks -storepass yourStorePassword
# 浏览器访问测试
# https://yourdomain.com:7002/console
七、常见问题排查
问题1:证书链不完整
表现:浏览器提示”证书链无效”
解决:确保所有中间证书都已导入密钥库
问题2:密钥库密码错误
表现:WebLogic无法启动,日志报错
解决:检查config.xml中密码是否与密钥库密码一致
问题3:端口被占用
表现:SSL端口无法监听
解决:netstat -tlnp | grep 7002,确认端口未被占用
八、安全加固建议
- 使用强加密套件:禁用SSLv3、TLS 1.0等弱协议
- 定期更新证书:设置证书到期提醒
- 配置HSTS:启用HTTP严格传输安全
- 监控日志:定期检查SSL握手失败记录
总结
本文详细介绍了CentOS系统上配置WebLogic SSL的完整流程,包括密钥库生成、证书导入、WebLogic配置及安全测试。通过正确配置SSL证书,可有效保护Web应用的数据传输安全,防止中间人攻击和数据窃取。如在配置过程中遇到问题,建议查看WebLogic日志获取详细错误信息。