Bài đăng này mô tả cách định cấu hình SSL trên Oracle® WebLogic® Server 12c (12.1.2).
Tổng quan
Bảo mật dữ liệu và thông tin là mối quan tâm hàng đầu trong thế giới ngày nay. Nhiều ứng dụng khác nhau sử dụng giao thức Lớp cổng bảo mật (SSL) để giao tiếp an toàn qua mạng. Trên thực tế, nó là một trong những giao thức truyền thông mạng được sử dụng rộng rãi nhất.
Máy chủ WebLogic, được định cấu hình để sử dụng SSL, cung cấp cả xác thực danh tính và mã hóa dữ liệu chuyển tiếp để kết nối giữa hai chương trình ứng dụng. Do đó, bất kỳ hai ứng dụng nào tương tác với nhau thông qua SSL đều đạt được các lợi ích kết nối an toàn sau:
- Họ xác minh danh tính của nhau bằng cách sử dụng các chứng chỉ SSL riêng lẻ.
- Họ trao đổi dữ liệu được mã hóa (đang chuyển tiếp) giữa cả hai chương trình ứng dụng.
Cơ chế phản hồi và yêu cầu kết nối SSL bổ sung thêm chi phí tính toán của dữ liệu bổ sung và thông tin liên quan đến xác thực và yêu cầu xử lý thuật toán mật mã phức tạp. Do đó, hầu hết mọi người thường không sử dụng nó trong các sân khấu Weblogic đang chạy ở chế độ phát triển trong một cơ sở hạ tầng mạng bảo mật cao.Tuy nhiên, cấu hình SSL rất được mong muốn cho các phiên bản máy chủ Weblogic đang chạy ở chế độ sản xuất .
Trình diễn cấu hình
Bài đăng này trình bày các bước để định cấu hình SSL trên Máy chủ Weblogic được cài đặt sẵn trên MYPROD_AdminServer và Máy chủ được quản lý phiên bản trong MYPROD_DOMAIN Trình quản lý domainNode.
Để thực hiện việc này, hãy tạo một kho khóa nhận dạng mới và một kho khóa đáng tin cậy mới để lưu trữ chứng chỉ mới được ký. Do đó, quản trị viên WebLogic, tất cả các phiên bản máy chủ được quản lý và NodeManager giao tiếp bằng cách sử dụng giao thức SSL dựa trên kho khóa tùy chỉnh.
Sử dụng các bước sau để định cấu hình SSL trên các phiên bản máy chủ WebLogic hiện có:
Bước 1:Tạo kho khóa nhận dạng
Thực hiện các bước sau để tạo kho khóa nhận dạng, MYPRODIdentity.jks , trên myprodserver.mydomain.local máy chủ:
(a) Đăng nhập vào vỏ máy chủ WebLogic Server Linux® với tư cách là người dùng chủ sở hữu ứng dụng WebLogic (chẳng hạn như Oracle ) và chạy mã sau để tạo một thư mục mới,
[oracle@myprodserver]$ mkdir -p /u01/Middleware/user_projects/domains/MYPROD_DOMAIN/keystores
(b) Đặt MYPROD_DOMAIN môi trường và tạo kho khóa mới:
[oracle@myprodserver]$ cd /u01/Middleware/user_projects/domains/MYPROD_DOMAIN/bin
[oracle@myprodserver]$ . ./setDomainEnv.sh
[oracle@myprodserver]$ cd keystores
[oracle@myprodserver]$ keytool -genkeypair -alias mywlsprodcert -keyalg RSA -keysize 1024 -dname "CN=*.mydomain.local,OU=<Organization>,O=<Company>,L=<City>,S=<State>,C=<US>" -keystore MYPRODIdentity.jks
Enter keystore password: <Type a new keyStorePass>
Re-enter new password: <Re-type the keyStorePass>
Enter key password for <mywlsprodcert> (RETURN if same as keystore password): <ENTER>
Bước 2:Tạo CSR mới
Thực hiện các bước sau để tạo Yêu cầu ký chứng chỉ (CSR) mới bằng cách sử dụng MYPRODIdentity.jks :
(a) Chạy mã sau để sử dụng keytool tiện ích để tạo CSR:
[oracle@myprodserver]$ keytool -certreq -v -alias prodcert -file MYWLSPRODCert.csr -keystore MYPRODIdentity.jks
Enter keystore password: <KeyStorePass>
Certification request stored in file <MYWLSPRODCert.csr>
(b) Gửi Yêu cầu ký chứng chỉ (CSR) mới được tạo cho Tổ chức phát hành chứng chỉCA). Sau khi ký CSR, CA cung cấp chứng chỉ kỹ thuật số và khóa riêng tư của nó.
Lưu ý :Đối với phần trình diễn này, chúng tôi sử dụng WebLogic Demo CA (CertGenCA.der) để ký xác nhận. Tính năng tự ký demo này có sẵn với Máy chủ WebLogic. Trong quá trình sản xuất, bạn sẽ nhận được chứng chỉ máy chủ do CA đáng tin cậy được chỉ định của tổ chức bạn ký.
Bước 3:Tự ký CSR
Thực hiện các bước sau để tự ký CSR bằng cách sử dụng CA demo WebLogic (CertGenCA.der) và nhập nó vào kho khóa nhận dạng mới được tạo:
(a) Chạy mã sau để tự ký chứng chỉ:
[oracle@myprodserver]$ java utils.CertGen -keyfile MYPRODCertPrivateKey -keyfilepass password -certfile mywlsprodcert -cn "*.my.local"
Generating a certificate with wildcard *.domain.local and key strength 1024
/u01/Middlewaree/wlserver_12.1/server/lib/CertGenCA.der file and key from /u01/Middlewaree/wlserver_12.1/server/lib/CertGenCAKey.der file
[oracle@myprodserver]$
(b) Nhập chứng chỉ máy chủ mới được tạo và khóa riêng vào kho khóa đã tạo trước đó:
[oracle@myprodserver]$ java utils.ImportPrivateKey -keystore MYPRODIdentity.jks -keyfile MYPRODCertPrivateKey.pem -keyfilepass <password> -certfile MYPRODCert.pem -storepass <keyStorePass> -alias mywlsprodcert
Bước 4:Tạo kho khóa
Thực hiện các bước sau để tạo kho khóa tin cậy tùy chỉnh trên myprodserver.mydomain.local máy:
(a) Tạo MYPRODTrust.jks kho khóa bằng cách tạo một bản sao từ Standard Java Trust:
[oracle@myprodserver]$ cp /u01/java/jre/lib/security/cacerts
/u01/Middleware/user_projects/domains/MYPROD_DOMAIN/keystores/MYPRODTrust.jks
(b) Thay đổi cacerts mặc định mật khẩu mở khóa. Mặc định là changeit . Cập nhật nó thành một mật khẩu mới mà bạn chọn:
[oracle@myprodserver]$ keytool -storepasswd -keystore MYPRODTrust.jks
Enter keystore password: <defaultKeyStorePass>
New keystore password: <NewKeyStorePass>
Re-enter new keystore password: <Re-type NewKeyStorePass>
(c) Nhập chứng chỉ tự ký mới được tạo vào kho khóa tin cậy được tạo gần đây:
[oracle@myprodserver]$ keytool -import -v -trustcacerts -alias rootCA -file /u01/Middleware/wlserver_12.1/server/lib/CertGenCA.der -keystore MYPRODTrust.jks
Bước 5:Sao chép chứng chỉ SSL tới tất cả các máy chủ khác trong miền
Vì bạn dựa chứng chỉ SSL trên các ký tự đại diện thay vì tên máy chủ cụ thể, các máy chủ tất cả trong MYPROD_DOMAIN có thể sử dụng cùng một chứng chỉ.
Do đó, hãy sao chép thư mục kho khóa đã tạo trước đó, / u01 / Middleware / user_projects / domains / MYPROD_DOMAIN / keystores , chứa các chứng chỉ bắt buộc cho tất cả Máy chủ WebLogic được chia sẻ bởi MYPROD_DOMAIN .
Bước 6:Định cấu hình Trình quản lý nút WebLogic
Thực hiện các bước sau để định cấu hình Trình quản lý nút WebLogic để sử dụng chứng chỉSSL mới được tạo:
(a) Cập nhật các biến sau trong $ WL_HOME / common / gật đầu / gật gù.properties tệp:
KeyStores=CustomIdentityAndCustomTrust
CustomIdentityKeyStoreFileName=/u01/Middleware/user_projects/domains/MYPROD_DOMAIN/keystores/MYPRODIdentity.jks
CustomIdentityKeyStorePassPhrase=<NewKeyStorePass>
CustomIdentityAlias=mywlsprodcert
CustomIdentityPrivateKeyPassPhrase=<PrivateKeyPassword>
(b) Tắt và khởi động Trình quản lý nút.
Bước 7:Định cấu hình Máy chủ Quản trị WebLogic
Thực hiện các bước sau để định cấu hình Máy chủ quản trị WebLogic để sử dụng kho tùy chỉnh và chứng chỉ mới cho các kết nối SSL:
(a) Đăng nhập vào Bảng điều khiển Máy chủ WebLogic bằng cách sử dụng thông tin đăng nhập quản trị viên WebLogic của bạn.
(b) Trên Trang chủ trang, trong Cấu hình miền -> Môi trường , nhấp vào Máy chủ , như được hiển thị trong ảnh chụp màn hình sau:
(c) Trên Tóm tắt về Máy chủ , nhấp vào AdminServer (quản trị viên) :
(d) Từ trên cùng bên trái Trung tâm thay đổi -> Xem các thay đổi và khởi động lại , nhấp vào Khóa &chỉnh sửa để cập nhật cài đặt quy tắc kho khóa.
(e) Trong Cài đặt cho Máy chủ quản trị trong Cấu hình , nhấp vào kho khóa taband rồi nhấp vào thay đổi , như được hiển thị trong các hình ảnh sau để thay đổi quy tắc của máy chủ quản trị WebLogic để sử dụng kho khóa tùy chỉnh mới được tạo cho kết nối SSL.
(f) Cập nhật quy tắc Kho khóa bằng cách chọn Nhận dạng tùy chỉnh và Tin cậy tùy chỉnh từ Keystores danh sách thả xuống và lưu các bản cập nhật.
(g) Cập nhật ./keystores/MYPRODIdentity.jks trong Kho khóa nhận dạng tùy chỉnh hộp văn bản.Cập nhật mật khẩu keyStore và lưu.
(h) Cập nhật ./keystores/MYPRODTrust.jks trong Kho khóa tin cậy tùy chỉnh hộp văn bản.Cập nhật Mật khẩu lưu trữ khóa tin cậy và lưu.
(i) Mở tab SSL trong Cấu hình tab mẹ và cập nhật các thông số sau:
(i) Cập nhật Bí danh khóa cá nhân giá trị tham số thành mywlsprodcert . (ii) Cập nhật Cụm mật khẩu khóa cá nhân bằng mật khẩu khóa cá nhân. (iii) Trong Nâng cao , cập nhật Xác minh tên máy chủ giá trị thành Trình xác minh tên máy chủ tùy chỉnh từ danh sách thả xuống như trong hình sau:
(iv) Cập nhật Trình xác minh tên máy chủ tùy chỉnh giá trị thành weblogic.security.utils.SSLWLSWildcardHostnameVerifier . Điều này là bắt buộc vì chúng tôi đang sử dụng một chứng chỉ ký tự đại diện duy nhất cho tất cả các máy chủ ( CN =*. Mydomain.local ). (v) Lưu các bản cập nhật này.
(j) Điều hướng đến Cấu hình -> Chung và bật tab Đã bật cổng nghe SSL bằng cách chọn hộp kiểm như được hiển thị trong hình ảnh sau:
(k) Cổng SSL mặc định của máy chủ quản trị WebLogic là 7002 , nhưng bạn cũng có thể định cấu hình các dịch vụ SSL trên các cổng khác. Bạn cần sử dụng giá trị mặc định 7002 tại đây để trình diễn các mục đích, vì vậy hãy cập nhật Cổng lắng nghe SSL đến 7002 và lưu bản cập nhật, như được hiển thị trong hình ảnh sau:
Bước 8:Định cấu hình Máy chủ được Quản lý WebLogic
Để định cấu hình tất cả Máy chủ được quản lý bởi WebLogic để sử dụng kho khóa tùy chỉnh mới và chứng chỉ cho kết nối SSL, hãy lặp lại các bước 7a - 7k . Bạn cần sử dụng các giá trị SSLport khác nhau cho từng Máy chủ WebLogic Managed. Ví dụ:sử dụng ManagedServer01: SSL port - 9001 , ManagedServer02: SSL port - 9002 , ManagedServer03: SSL port - 9003 , và như vậy.
Bước 9:Áp dụng các bản cập nhật cho các tệp cấu hình
Nhấp vào Cấu hình phát hành từ menu trên cùng bên trái để áp dụng tất cả các cập nhật cho tệp cấu hìnhWebLogic.
Bước 10:Khởi động lại WebLogic
Khởi động lại quản trị viên WebLogic và tất cả các máy chủ được quản lý cùng với Trình quản lý nút.
Kết luận
Bài đăng này cung cấp các bước để định cấu hình máy chủ WebLogic để sử dụng giao thức bảo mật SSL cho các trang web có thể truy cập để chuyển thông tin nhạy cảm một cách an toàn ở định dạng được mã hóa. Với việc sử dụng chứng chỉ SSL và cơ chế mật mã của Bảo mật dữ liệu RSA, người dùng có thể trao đổi và xử lý dữ liệu và thông tin một cách an toàn.
Vì bạn đã bật SSL trên cả máy chủ quản trị và máy chủ được quản lý bằng cách sử dụng tài liệu này, nên cả dữ liệu và máy chủ WebLogic đều được bảo mật khỏi mọi cuộc tấn công mạng và rò rỉ dữ liệu.
Sử dụng tab Phản hồi để đưa ra bất kỳ nhận xét hoặc đặt câu hỏi nào. Bạn cũng có thể nhấp vào Trò chuyện bán hàng để trò chuyện ngay bây giờ và bắt đầu cuộc trò chuyện.