现状
默认情况下,weblogic控制台端口和应用端口是一样的,如下表:
控制台 | 应用 |
---|---|
http://localhost:7001/console | http://localhost:7001/mydemo |
这种方式有利有弊;开发环境没什么问题,但是在生产环境上就会有安全问题;攻击者使用弱口令扫描工具或者直接使用常见的弱口令去尝试登录Web中间件的管理控制后台,然后通过部署war包上传,进而控制整个系统。
为了防止这种问题,需要把weblogic控制台的端口和应用端口分离,怎么操作呢,请往下看…
解决
前提
保证你的weblogic已启用SSL设置。或者“密钥库”和“SSL”有默认的配置。
如下:
当然,如果你不想使用默认配置提供的证书,也可以使用官方认证的证书或者自己生成的证书,再进行配置。手动生成证书配置
启用管理端口
开启“启用管理端口”,默认是9002,也可以改成其他端口,之后保存,激活更改。
此时,刷新控制台页面,或重新进入http://localhost:7001/console,将会出现以下提示:
Console/Management requests or requests with <require-admin-traffic> specified to 'true' can only be made through an administration channel
控制台/管理请求或<require admin traffic>指定为“true”的请求只能通过管理通道发出
表明此时7001端口已不能再为控制台接受,需要使用刚刚启用的管理端口9002访问才可以,因为管理端口使用的ssl,所以需要用到https协议,访问地址为:https://localhost:9002/console/
应用地址和之前一样还是http://localhost:7001/mydemo
更改后:
控制台 | 应用 |
---|---|
https://localhost:9002/console | http://localhost:7001/mydemo |
author:su1573
鄙人记录生活点滴,学习并分享,请多指教!!!
如需交流,请联系 sph1573@163.com,鄙人看到会及时回复