weblogic集群分发部署

1. ssl

ssl协议是保证客户端和服务器能够实现安全传输的一个协议，客户端向服务器发送请求后服务器会返回一个证书，里面包含必要信息密钥来验证身份，证明你的确是老大，而验证身份就需要有一个公证员，那么CA机构就是这个公证员。因此，必须要有的东西是CA的证书和服务器的证书。有的情况下，服务器也需要验证访问它的客户端的身份和信息，正如有的老大要确认你就是我的小弟，这时就需要客户端证书了。 
总之，如果仅需要CA证书和服务器证书，那就是单向ssl。如果还需要客户端证书，那就是双向ssl。

2. 必备软件

openssl工具用来制作密钥、CA根证书。网上直接搜索openssl下载即可。

3. 单向ssl配置

建立CA证书

1.创建私钥

D:\OpenSSL\bin>openssl genrsa -out d:/ca-key.pem 1024

2.创建证书请求

D:\OpenSSL\bin>openssl req -new -out d:/ca-req.csr -key d:/ca-key.pem -config openssl.cnf

3.生成CA自签名证书

D:\OpenSSL\bin>openssl x509 -req -in d:/ca-req.csr -out d:/ca-cert.pem -signkey d:/ca-key.pem -days 3650

制作服务器证书

4.用keytool工具生成密钥

D:\OpenSSL\bin>keytool -genkey -alias test -validity 365 -keyalg RSA -keysize 1024 -keypass 123456 -storepass 123456 -keystore test.jks

5.用keytool工具生成证书请求

D:\OpenSSL\bin>keytool -certreq -alias test -sigalg MD5withRSA -file test.csr -keypass 123456 -keystore test.jks -storepass 123456

6.根据证书请求，生成服务器证书

D:\OpenSSL\bin>openssl x509 -req -in test.csr -out test.pem -CA d:/ca-cert.pem -CAkey d:/ca-key.pem -days 3650 -set_serial 1 

向keystore密钥库中导入证书

7.导入CA证书

D:\OpenSSL\bin>keytool -import -v -trustcacerts -keypass 123456 -storepass 123456 -alias root -file d:/ca-cert.pem -keystore test.jks

8.导入服务器证书

D:\OpenSSL\bin>keytool -import -v -trustcacerts -storepass 123456 -alias sso -file test.pem -keystore test.jks

9.导入CA验签信息

D:\OpenSSL\bin>keytool -import -alias test-ca -trustcacerts -file d:/ca-cert.pem -keystore testtrust.jks

10.以上步骤会产生两个密钥库文件：test.jks和testtrust.jks，在weblogic中ssl的配置中用到。首先将这两个文件复制到weblogci域的根目录下面，即： 
/home/weblogic/Middleware/user_projects/domains/base_domain下面

启动weblogic的ssl监听端口

11.登陆weblogic控制台页面，首先进入如下页面启动ssl监听端口 

配置weblogi的密钥库

12.进入如下页面 

点击更改，选择定制标识和定制信任 

然后填写相应的标识密钥库和信任密钥库，这里填入的密钥库文件就是前面产生的test.jks和testtrust.jks两个文件，密码是之前设置的123456，填写完成后记得保存 

配置weblogic的ssl

13.进入ssl配置页面，如下图所示，密钥别名就是前面定义好的名字，这里是test，密码还是123456 

浏览器验证

14.到这里，单向 ssl配置就完成了，在浏览器中输入https://localhost:7002/console访问控制台进行测试:

继续浏览此网站，验证成功 

4. 双向ssl配置

制作客户端证书

1.产生客户端对应的私钥

D:\OpenSSL\bin>openssl genrsa -out user-key.pem 1024

2.根据私钥产生证书请求csr文件

D:\OpenSSL\bin>openssl req -new -out user-req.csr -key user-key.pem

3.使用openssl之前制作的ca根证书对证书请求文件进行签证

D:\OpenSSL\bin>openssl x509 -req -in user-req.csr -out user-cert.pem -signkey user-key.pem -CA d:/ca-cert.pem -CAkey d:/ca-key.pem -CAcreateserial -days 3650

4.将签证之后的证书文件user-cert.pem导出为p12格式文件（p12格式可以被浏览器识别并安装到证书库中）

D:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in user-cert.pem -inkey user-key.pem -out user.p12

5.将签证之后的证书文件user-cert.pem导入至信任秘钥库中（这里由于没有去ca认证中心购买个人证书，所以只有导入信任库才可进行双向ssl交互）

D:\OpenSSL\bin>keytool -import -alias user -trustcacerts -file user-cert.pem -keystore testtrust.jks 

6.需要把最后增加证书的信任秘钥库testtrust.jks重新复制到domain目录下。

weblogic控制台双向ssl配置

7.进入weblogic控制台如下页面，进入ssl配置页面，点击高级 

选择双向客户机证书行为中的请求客户机证书并强制使用，这样就强制客户端浏览器提供证书，修改完成记得保存 

8.接下来，双击刚才生成的p12文件，即在目录D:\Progra, Files\OpenSSL\bin里面的user.p12，将用户证书安装到浏览器的证书库中，一直点击下一步即可

9.以上就完成了双向ssl的相关配置，再次访问控制台，因本机已经装过一次，所以要选择一个证书进行访问

可将此次生成的test.jks和testtrust.jks两个文件上传至多个服务器的weblogic域的根目录下同时使用，但weblogic控制台要按照上面说过的配置项配置正确。