續接上一篇 https 以及內網如何使用 的理論知識，這次來做個實踐，用 openssl 和 keytool 為 weblogic 生成自簽證書，并讓瀏覽器信任。

如果使用了負載均衡(nginx或apache)，則更為簡單，只需要在負載均衡中配置證書就完成了，不需要以下步驟，使用 apache 作為負載均衡可參考 apache 配置 https

背景知識

• 什么是單向認證：只需要客戶端認證服務端是否正確；
• 什么是雙向認證：需要客戶端和服務器端互相認證，在單向認證的基礎上，服務器也需要認證客戶端。在生成證書這一步也需要為客戶端生成證書。

因為大部分情況下(除比較安全的應用如涉及到支付、銀行U盾等)不需要雙向認證，所以這里只做單向認證就可以了。

說明

實踐中我使用的是cygwin自帶的 openssl，如果沒有可自行下載 OpenSSL，解壓后用 cmd 進入該目錄；

在當前目錄下創建 ca 文件夾，用來存儲生成的 CA 證書；

操作過程中涉及到的密碼均為123456,證書名稱為example，可自行替換；

示例簽證的時間是3650天，即10年;

示例中用到的 ip 自行替換。

制作CA根證書

創建私鑰 openssl genrsa -out ca/ca-key.pem 1024

創建證書請求 openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem -config openssl.cnf

生成CA自簽名證書 openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650

制作服務器證書

用 java 自帶的 keytool工具生成密鑰 keytool -genkey -alias example -validity 365 -keyalg RSA -keysize 1024 -keypass 123456 -storepass 123456 -keystore example.jks

用keytool工具生成證書請求 keytool -certreq -alias example -sigalg MD5withRSA -file example.csr -keypass 123456 -keystore example.jks -storepass 123456

根據證書請求，用CA簽證，生成服務器證書openssl x509 -req -in example.csr -out example.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -days 365 -set_serial 1

向 keystore 密鑰庫中導入證書

導入CA證書 keytool -import -v -trustcacerts -keypass 123456 -storepass 123456 -alias root -file ca/ca-cert.pem -keystore example.jks

導入服務器證書 keytool -import -v -trustcacerts -storepass 123456 -alias example -file example.pem -keystore example.jks

單獨導出 CA 作為信任證書 keytool -import -alias example-ca -trustcacerts -file ca/ca-cert.pem -keystore exampletrust.jks

至此會生成 example.jks 和 exampletrust.jks 兩個文件，將其復制到 webloigc 域的根目錄下，啟用 weblogic 的 ssl 功能并引用證書配置。

客戶端安裝CA證書(解決瀏覽器端無法識別證書的問題)

生成瀏覽器證書openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12

雙擊ca.p12安裝證書為受信任的根證書頒發機構

打開ie瀏覽器，在 internet 選項``內容中清除ssl狀態，重啟瀏覽器再重新訪問，就不會再有不信任的提示。

apache 配置 https 參考 apache 配置 https

總結

以上是生活随笔為你收集整理的自签 https 证书的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。