A 配置 SSL 加密密钥

ACSLS GUI 对 WebLogic 服务器和客户机浏览器之间的网络事务使用 https 传输协议。对于 https，使用加密协议 SSL（现在是 TLS）确保通信传输安全。客户机浏览器首次联系服务器时，将在客户机和服务器之间交换一组密钥。这些密钥用于对两个节点间的后续安全数据交换进行加密和解密。

当在 ACSLS 服务器上安装 WebLogic 时，系统将自动提供一个简单的 512 位公钥，以支持与客户机浏览器之间的基本 https 交换。通常不需要进一步的配置。但是，某些浏览器（尤其是 Microsoft Internet Explorer）要求使用更长的密钥（不少于 1024 位）。

本节说明了如何为 WebLogic 服务器创建定制 SSL 密钥。

1. 生成加密密钥的密钥库数据库。

   1. 以 root 用户身份，将基本 acsls 环境变量指定为源。

      . /var/tmp/acsls/.acsls_env
      

   2. 定义密钥库参数：

      keyPath=$installDir/Oracle/Middleware/wlserver_10.3/server/lib
      keyStore=acslsKeyStore.jks
      myPw=<enter a desired password here>
      

   3. 生成加密用的公钥/私钥对和数字证书。将其放置在密钥库中。

      keytool -genkeypair -alias selfsigned \
      -keystore $keyPath/$keyStore -keyalg RSA \
      -storepass $myPw  -validity 7300  -keysize 2048
      

      此过程会生成一个有效期为 7300 天（20 年）的证书，其加密密钥的长度为 2048 位。

      keytool 会提示您回答以下问题。您给出的回答将写入到证书中，每次要求 ACSLS GUI 用户确认 HTTPS 连接的真实性时，都会在远程浏览器上显示该证书。

      What is your first and last name?
        [Unknown]:  ACSLS Library Server
      
      What is the name of your organizational unit?
        [Unknown]:  Tape Library Services
      
      What is the name of your organization?
        [Unknown]:  Our Organization
      
      What is the name of your City or Locality?
        [Unknown]:  Our Town
      
      What is the name of your State or Province?
        [Unknown]:  Our Province?
      
      What is the two-letter country code for this unit?
        [Unknown]:  CA
      

      提示输入密码时，只需按回车键即可使用在步骤 1-b 中设置的 $myPw 值。

      该工具将汇总您提交的参数并请您确认 (y/n) 参数是否正确。

2. 配置 WebLogic 使用新生成的密钥库。

   1. 以 "acsls_admin" 身份使用 acsls_admin 密码登录 WebLogic 控制台。

      http://acsls_server:7001/console

   2. 在控制台主页左上角，单击 Lock & Edit（锁定并编辑）按钮。

   3. 在 Lock & Edit"（锁定并编辑）按钮正下方，会看到 "Domain Structure"（域结构）。选择 "AcslsDomain" 下的 Environment（环境）。

   4. 在 "Summary of Environment"（环境概要）框中，单击 Servers（服务器）。

   5. 在 "Summary of Servers"（服务器概要）中，选择 "Configuration"（配置）选项卡，然后单击 "Servers"（服务器）表中的 AdminServer(admin)。

   6. 在 "Settings for AdminServer"（AdminServer 的设置）框中，选择 Keystores（密钥库）选项卡。

   7. 在 "Keystores"（密钥库）项中，单击 Change（更改）按钮，然后选择 Custom Identity and Custom Trust（定制标识和定制信任）。单击 Save（保存）。

   8. 在 "Custom Identity Keystore"（定制标识密钥库）文本框中，使用在上面的步骤 1-b 中定义的 $keyPath/$keyStore 值输入 keyStore.jks 文件的路径。将 "Custom Identity Keystore Type"（定制身份密钥库类型）文本框留空。

   9. 在 "Custom Identity Keystore Passphrase"（定制标识密钥库密码短语）文本框中，输入在上面的步骤 1-b 中定义为 $myPw 的密码。

   10. 在接下来的文本框中确认定制标识密钥库密码短语。

   11. 在 "Custom Trust Keystore"（定制信任密钥库）文本框中，使用在步骤 2-h 中输入的 $keyPath/$keyStore 值输入 acslsKeyStore.jks 文件的完整路径。将 "Custom Trust Keystore Type"（定制信任密钥库类型）文本框留空。

   12. 在 "Custom Trust Keystore Passphrase"（定制信任密钥库密码短语）文本框中，输入在步骤 2-i 中定义的相同密码。在余下的文本框中输入该密码进行确认。

   13. 单击 Save（保存）。查看页面顶部的验证消息。

   14. 选择 "Settings for Administrator"（管理员的设置）框中的 SSL 选项卡。

   15. 在 "Identity and Trust Locations"（标识和信任位置）中，确保选中 "Keystores"（密钥库）。如有必要，单击 Change（更改）更正设置。

   16. 在 "Private Key Alias"（私有密钥别名）文本框中，输入 selfsigned。

   17. 在 "Private Key Passphrase"（私有密钥密码短语）文本框中，输入在上面的步骤 1-b 中定义为 $myPw 的相同密码。在余下的文本框中使用相同的密码进行确认。

   18. 单击 Save（保存）。页面顶部应显示绿色的验证消息。

   19. 单击页面左上角的 Activate Changes（激活更改）按钮。查看页面顶部的验证消息。