WLS_080：WebLogic Server高级管理之九：配置双向SSL认证

运行环境：WebLogic Server 12c开发版（12.1.1.1.0）

关于如何配置SSL单向认证，请参考《WebLogic Server基本管理之十：配置单向SSL认证》。
完成本实验前，请先完成数字证书的创建，请参考《使用OpenSSL创建数字证书》。

1. 创建信任库：truststore.jks
keytool -keystore truststore.jks -keypass 123456 -storepass 123456 -alias ca -import -trustcacerts -file certs/ca.cer
说明：这里导入的是CA的数字证书文件：ca.cer，不包含CA私钥信息。

查看信任库信息，运行 keytool -list -v -keystore truststore.jks -storepass 123456，输出如下：

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

Alias name: ca
Creation date: Oct 9, 2012
Entry type: trustedCertEntry

Owner: CN=ca, OU=JavaNeverDie, O=JavaNeverDie, L=BJ, ST=BJ, C=CN
Issuer: CN=ca, OU=JavaNeverDie, O=JavaNeverDie, L=BJ, ST=BJ, C=CN
Serial number: f83f9ce81e66bc8c
Valid from: Tue Oct 09 14:27:26 CST 2012 until: Sat Feb 25 14:27:26 CST 2040
Certificate fingerprints:
         MD5:  2C:97:99:72:EA:B3:CF:BC:15:77:BB:82:E9:65:CC:D0
         SHA1: F6:45:5A:D7:A4:8F:CA:B0:5E:20:8E:31:EF:33:F7:07:CF:15:BF:62
         Signature algorithm name: SHA1withRSA
         Version: 1


*******************************************
*******************************************
说明：Entry type是 trustedCertEntry，表明这是一个数字证书。

2. 复制server.p12和truststore.jks到[domain_name]目录下

3. 在Managed Server中配置

3.1 Keystores Tab
（1）Keystores：Custom Identity and Custom Trust
（2）Custom Identity Keystore：server.p12
（3）Custom Identity Keystore Type：PKCS12
（4）Custom Identity Keystore Passphrase：123456
（5）Confirm Custom Identity Keystore Passphrase：123456
（6）Custom Trust Keystore：truststore.jks
（7）Custom Trust Keystore Type：JKS
（8）Custom Trust Keystore Passphrase：123456
（9）Confirm Custom Trust Keystore Passphrase：123456

说明：Custom Trust Keystore不能使用ca.p12的原因是因为ca.p12中的Entry type是PrivateKeyEntry，即包含公钥、私钥和数字证书。

而Custom Trust Keystore要求必须是只包含数字证书，也就是说Entry type必须是trustedCertEntry才行。

3.2 SSL Tab
（1）Private Key Location：from Custom Identity Keystore
（2）Private Key Alias：server
（3）Private Key Passphrase：123456
（4）Confirm Private Key Passphrase：123456

点开Advanced，

（5）Two Way Client Cert Behavior：Client Certs Requested and Enforced

 3.3 General Tab
（1）勾上SSL Listen Port Enabled
（2）SSL Listen Port：8082

4. 重启Admin Server 和Managed Server
Console中输出如下内容：

Loading the identity certificate and private key stored under the alias server from the PKCS12 keystore file C:\Oracle\wls1211_dev\user_projects\domains\dev_domain\server.p12.

Loading trusted certificates from the JKS keystore file C:\Oracle\wls1211_dev\user_projects\domains\dev_domain\truststore.jks.

如果看到上述信息，说明成功装载了server.p12和truststore.jks。

5. 为IE安装Client证书

双击client.p12，将证书存储到个人中。
如果不做此步，访问https://localhost:8082/counter/counter.jsp时，会报告无法连接。

6. 为IE安装CA证书

双击ca.p12，将证书存储到受信任的根证书颁发机构。

如果不做此步，访问https://localhost:8082/counter/counter.jsp时，地址栏中会有红色，提示证书不受信任，问你是否继续访问。

7. 部署Web应用，测试。

访问https://localhost:8082/counter/counter.jsp，应该会显示如下内容：

Project 下载：counter.war