8 配置证书

Oracle 提供自生成证书供 HTTPS/SSL 端口使用。在安装过程中，STA 会使用 Java keytool 命令生成证书，并使用服务器主机名在服务器上创建证书。您可以选择将 Oracle 证书替换为您自己批准的来自选定证书颁发机构（例如 VeriSign）的证书。

"建立初始 HTTPS/SSL 连接"
"重新配置 WebLogic 以使用不同的安全证书"
"替换 Oracle 证书"

注:

以下过程使用在 Windows 平台上运行的 Mozilla Firefox。

8.1 建立初始 HTTPS/SSL 连接

在浏览器上输入 STA 应用程序的 HTTPS/SSL 版 URL。

https://your_localhost.com:port number/STA/
依次选择 I Understand the Risks 和 Add Exception。
在 Add Security Certificate 屏幕上单击 View。

然后，您将看到 "Certificate Viewer: your_localhost" 屏幕。证书未显示为已验证状态，因为它不是来自某个证书颁发机构。

您可以在 Certificate Viewer 屏幕上进一步检查证书：单击 Details 选项卡，然后选择 issuer 字段。您可能看到的变量包括：
- CN = 已在其上安装了 STA 应用程序的服务器的主机名。例如：
```
Common Name (CN) your server name
```
- OU = Tape Systems
- O = Oracle America Inc
- L = Redwood City
- ST = California
- C = USA
变量字段 CN 是在其上生成证书的服务器名称。
单击 Close 返回到 Add Security Certificate 屏幕。
在 Add Security Certificate 屏幕上选择 Confirm Security Exception，然后就可以将 HTTPS 与恰当的证书配合使用。

8.2 重新配置 WebLogic 以使用不同的安全证书

使用您在 STA 安装过程中选择的 HTTP（默认为 7001）或 HTTPS（默认为 7002）端口号转至 WebLogic 控制台登录屏幕。

http(s)://yourHostName:PortNumber/console/
使用在 STA 安装过程中定义的 WebLogic 管理控制台用户名和密码登录。
在 "Domain Structure"（域结构）> "Environment"（环境）下，选择 Servers（服务器）。
在 "Servers"（服务器）下，选择 staUi（选择该名称本身，而不是复选框）。
选择 Keystores（密钥库）选项卡。
在屏幕左上角的 "Change Center"（更改中心）下，单击 Lock & Edit（锁定并编辑）。
在 "Keystores"（密钥库）部分，单击 Change（更改）。
在 "Keystores"（密钥库）下拉菜单中，选择 Custom Identity and Java Standard Trust（定制标识和 Java 标准信任）。
单击 Save（保存）。
在 Keystores（密钥库）屏幕上，输入：
1. Custom Identity Keystore（定制标识密钥库）：私钥文件的路径和文件名。
2. Custom Identity Keystore Type（定制标识密钥库类型）：密钥库类型。如果进行 RACF 验证配置，则输入 PKCS12。
3. Custom Identity Keystore Passphrase（定制标识密钥库密码短语）：MVS 系统管理员提供的密码。
4. Java Standard Trust Keystore Passphrase（Java 标准信任密钥库密码短语）：Java 标准信任密钥库文件。
警告:
如果忘记了这些密码，必须重新安装 STA。
单击 Save（保存）。
选择 SSL 选项卡。

输入由 MVS 系统程序员提供的 "Private Key Alias"（私有密钥别名）和 "Private Key Passphrase"（私有密钥密码短语）。

要确定 "Private Key Alias"（私有密钥别名），可使用 keytool 命令。例如：

C:\Temp>keytool -list -keystore CLTBI.PKCS12DR.D080411 -storetype PKCS12
Enter keystore password: (password from the MVS sysadmin)
Keystore type: PKCS12
Keystore provider: SunJSSE

Your keystore contains 1 entry

tbiclient, Aug 17, 2011, PrivateKeyEntry,
Certificate fingerprint (MD5): 9A:F7:D1:13:AE:9E:9C:47:55:83:75:3F:11:0C:BB:46

单击 Save（保存）。
选择 Advanced（高级）链接（屏幕底部）。
修改以下信息：
1. 选中 Use Server Certs（使用服务器证书）复选框。
2. 从 "Two Way Client Cert Behavior"（双向客户机证书行为）列表中，选择 Client Certs Requested But Not Enforced（请求客户机证书, 但不强制使用）。
3. 从 "Inbound Certificate Validation"（入站证书验证）和 "Outbound Certificate Validation"（出站证书验证）列表中都选择 Builtin SSL Validation Only（仅内置 SSL 验证）。
单击 Save（保存）。
在屏幕左上角的 "Change Center"（更改中心）下，单击 Activate Changes（激活更改）。
从 WebLogic 注销。
使用 STA 命令停止并重新启动 STA。有关命令用法的信息，请参见《STA 管理指南》。
```
# STA stop all
# STA start all
```

8.3 替换 Oracle 证书

在浏览器上输入 STA 应用程序的 HTTPS/SSL 版 URL。

https://your_localhost.com:port number/STA/
在 This Connection is Untrusted 屏幕上选择 I Understand the Risks。
单击 Add Exception。
要为组织指定证书，请在 Add Security Certificate 屏幕上单击 Get Certificate，然后选择相应的文件。
单击 Confirm Security Exception。