D 配置安全证书

Oracle 提供自生成安全证书供 HTTPS/SSL 端口使用。在安装过程中,STA 使用 Java keytool 在 STA 服务器上生成证书(使用服务器主机名)。您可以选择将 Oracle 证书替换为您自己批准的来自选定证书颁发机构(例如 VeriSign)的证书。

本章包含以下节:

安全证书配置任务

如果您要使用默认安全证书之外的安全证书,请按照列出的顺序执行这些过程。

注:

这些过程使用在 Windows 平台上运行的 Mozilla Firefox。

建立初始 HTTPS/SSL 连接

  1. 在您的计算机上启动受支持的 Web 浏览器并输入 STA 应用程序的 HTTPS/SSL 版本 URL。

    https://STA_host_name:port_number/STA/
    

    其中:

    • host_name 是 STA 服务器的主机名。

    • port_number 是在安装过程中指定的 STA 端口号。默认 HTTP 端口是 7021;默认 HTTPS 端口是 7022。

    • STA 必须大写。

    例如:

    https://staserver.example.com:7022/STA/ 
    

    此时将显示 "Connection is Untrusted" 屏幕。

  2. 选择 I Understand the Risks,然后单击 Add Exception

    此时将显示 "Add Security Exception" 屏幕。

  3. 单击 View

    此时将显示 "Certificate Viewer" 屏幕。证书显示为已验证状态,因为它不是来自某个证书颁发机构。

  4. 要检查证书,请单击 Details 选项卡。

  5. 在 "Certificate Fields" 面板中,选择 issuer。下面是显示样例。CN 指示生成证书的服务器名称。

    CN = staserver.example.com
    OU = Tape Systems
    O = Oracle America Inc
    L = Redwood City
    ST = California
    C = USA
    
  6. 单击 Close 返回到 "Add Security Certificate" 屏幕。

  7. 选择 Confirm Security Exception

    证书将添加到 STA 服务器,现在可以通过该证书使用 HTTPS。

重新配置 WebLogic 以使用不同的安全证书

  1. 打开浏览器窗口并输入 WebLogic 管理控制台的 URL。默认 HTTP 端口是 7019,默认 HTTPS 端口是 7020。

    https://your_hostname:port number/console/

    例如:

    https://staserver.company.com:7019/console/
    
  2. 使用在 STA 安装过程中定义的 WebLogic 管理控制台用户名和密码登录。

  3. 在 "Domain Structure" 部分,选择 Environment,然后选择 Servers

    cert_servers.png 的说明如下
    图示说明cert_servers.png

  4. 在 "Servers" 表中,选择 staUi 活动链接(选择该名称本身,而不是复选框)。

    cert_staui.png 的说明如下
    图示说明cert_staui.png

  5. 选择 Keystores 选项卡。

    cert_keystores.png 的说明如下
    图示说明cert_keystores.png

  6. 在 "Change Center" 部分,单击 Lock & Edit

    wl_lockedit.png 的说明如下
    图示说明wl_lockedit.png

  7. 在 "Keystores" 部分,单击 Change

    cert_change.png 的说明如下
    图示说明cert_change.png

  8. 在 "Keystores" 菜单中,选择 Custom Identity and Java Standard Trust

    cert_keystoresmenu.png 的说明如下
    图示说明cert_keystoresmenu.png

  9. 单击 Save

  10. 按以下所示完成 "Keystores" 屏幕:

    • Custom Identity Keystore:私钥文件的路径和文件。

    • Custom Identity Keystore Type:密钥库类型。如果进行 RACF 验证配置,则输入 PKCS12。

    • Custom Identity Keystore Passphrase:MVS 系统管理员提供的密码。

    • Java Standard Trust Keystore Passphrase:Java 标准信任密钥库文件的新密码。

    注意:

    如果忘记了这些密码,则必须重新安装 STA。
    cert_keystoresentries.png 的说明如下
    图示说明cert_keystoresentries.png

  11. 单击 Save

  12. 选择 SSL 选项卡。

    cert_ssl.png 的说明如下
    图示说明cert_ssl.png

  13. 输入由 MVS 系统程序员提供的 "Private Key Alias" 和 "Private Key Passphrase"。

    注:

    要确定 "Private Key Alias",请在系统命令行中使用 keytool 命令。例如:
    # keytool -list -keystore CLTBI.PKCS12DR.D080411 -storetype PKCS12
    Enter keystore password: (password from the MVS sysadmin)
    Keystore type: PKCS12
    Keystore provider: SunJSSE
    
    Your keystore contains 1 entry
    
    tbiclient, Aug 17, 2011, PrivateKeyEntry,
    Certificate fingerprint (MD5): 9A:F7:D1:13:AE:9E:9C:47:55:83:75:3F:11:0C:BB:46
    
    cert_sslentries.png 的说明如下
    图示说明cert_sslentries.png

  14. 单击 Save

  15. 在 "Trusted Certificate Authorities" 部分,单击 Advanced

    cert_advanced.png 的说明如下
    图示说明cert_advanced.png

  16. 按以下所示完成 "SSL" 屏幕的 "Advanced" 部分:

    1. 选中 Use Server Certs 复选框。

    2. Two Way Client Cert Behavior 菜单中,选择 "Client Certs Requested But Not Enforced"。

    3. Inbound Certification ValidationOutbound Certificate Validation 菜单中,选择 "Builtin SSL Validation Only"。

    cert_advancedentries.png 的说明如下
    图示说明cert_advancedentries.png

  17. 单击 Save

  18. 在 "Change Center" 部分中,单击 Activate Changes

    wl_activate.png 的说明如下
    图示说明wl_activate.png

  19. 从 WebLogic 注销。

  20. 使用 STA 命令停止并重新启动 STA。有关命令用法的详细信息,请参见《STA 管理指南》

    # STA stop all
    # STA start all
    

替换 Oracle 证书

  1. 在您的计算机上启动受支持的 Web 浏览器并输入 STA 应用程序的 HTTPS/SSL 版本 URL。

    https://STA_host_name:port_number/STA/
    

    其中:

    • host_name 是 STA 服务器的主机名。

    • port_number 是在安装过程中指定的 STA 端口号。默认 HTTP 端口是 7021;默认 HTTPS 端口是 7022。

    • STA 必须大写。

    例如:

    https://staserver.example.com:7022/STA/ 
    
  2. 在 "This Connection is Untrusted" 屏幕上选择 I Understand the Risks

  3. 单击 Add Exception

  4. 要为组织指定证书,请在 "Add Security Certificate" 屏幕上单击 Get Certificate,然后选择相应的文件。

  5. 单击 Confirm Security Exception