一、 生成證書請求

1. 安裝JDK(可選)

Weblogic安裝后自帶JDK安裝。如果您直接在服務(wù)器上生成證書請求，請進入Weblogic安裝目錄下JDK所在路徑的bin目錄，運行keytool命令。

如果您需要在其他環(huán)境下生成證書請求文件，則您可以選擇安裝JDK，并稍后上傳生成的密鑰庫文件keystore.jks到服務(wù)器上進行配置。

Java SE Development Kit (JDK) 下載。下載地址：

http://java.sun.com/javase/downloads/index.jsp

2. 生成keystore文件

生成密鑰庫文件keystore.jks需要使用JDK的keytool工具。命令行進入JDK下的bin目錄，運行keytool命令。(示例中粗體部分為可自定義部分，請根據(jù)實際配置情況作相應(yīng)調(diào)整)

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password

以上命令中，server為私鑰別名(alias)，生成的keystore.jks文件默認放在命令行當(dāng)前路徑下。

3. 生成證書請求文件(CSR)

keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password

請將證書請求文件certreq.csr提交給天威誠信，并備份保存證書密鑰庫文件keystore.jks，等待證書的簽發(fā)。密鑰庫文件丟失將導(dǎo)致證書不可用。

二、 導(dǎo)入服務(wù)器證書

1. 獲取EV服務(wù)器證書中級CA證書

為保障EV服務(wù)器證書在IE7以下客戶端的兼容性，EV服務(wù)器證書需要安裝兩張中級CA證書。

從郵件中獲取中級CA證書：

將證書簽發(fā)郵件中的從BEGIN到 END結(jié)束的兩張中級CA證書內(nèi)容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分別粘貼到記事本等文本編輯器中，并修改文件擴展名，保存為intermediate1.cer和intermediate2.cer文件。

2. 獲取EV服務(wù)器證書

將證書簽發(fā)郵件中的從BEGIN到 END結(jié)束的服務(wù)器證書內(nèi)容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本等文本編輯器中，并修改文件擴展名，保存為server.cer文件

3. 查看Keystore文件內(nèi)容

進入JDK安裝目錄下的bin目錄，運行keytool命令。

keytool -list -keystore C:\keystore.jks -storepass password

查詢到PrivateKeyEntry屬性的私鑰別名(alias)為server。記住該別名，在稍后導(dǎo)入服務(wù)器證書時需要用到。(示例中粗體部分為可自定義部分，請根據(jù)實際配置情況作相應(yīng)調(diào)整。)

注意，導(dǎo)入證書時，一定要使用生成證書請求文件時生成的keystore.jks文件。keystore.jks文件丟失或生成新的keystore.jks文件，都將無法正確導(dǎo)入您的服務(wù)器證書。

4. 導(dǎo)入證書

導(dǎo)入第一張中級CA證書

keytool -import -alias intermediate1 -keystore C:\keystore.jks -trustcacerts -storepass password -file C:\intermediate1.cer

導(dǎo)入第二張中級CA證書

keytool -import -alias intermediate2 -keystore C:\keystore.jks -trustcacerts -storepass password -file C:\intermediate2.cer

導(dǎo)入服務(wù)器證書

keytool -import -alias server -keystore C:\keystore.jks -trustcacerts -storepass password -file C:\server.cer（私鑰的別名）

導(dǎo)入服務(wù)器證書時，服務(wù)器證書的別名必須和私鑰別名一致。請留意導(dǎo)入中級CA證書和導(dǎo)入服務(wù)器證書時的提示信息，如果您在導(dǎo)入服務(wù)器證書時使用的別名與私鑰別名不一致，將提示“認證已添加至keystore中”而不是應(yīng)有的“認證回復(fù)已安裝在keystore中”。

證書導(dǎo)入完成，運行keystool命令，再次查看keystore文件內(nèi)容

keytool -list -keystore C:\keystore.jks -storepass password

三、 安裝服務(wù)器證書

1. 配置Servers

登陸Weblogic控制臺，并進入“Servers”

選擇您需要配置服務(wù)器證書的Server

在“General”下，可以配置您的http和https是否啟用，以及訪問端口號。https默認端口號為443，請在選項啟用SSL并相應(yīng)修改口號。

2. 設(shè)置認證模式

選擇“Keystores”，并配置認證方式。

服務(wù)器身份認證請選擇“Custom identity and Java Standard Trust”，雙向認證請選擇“Custom Identity and Custom Trust”。

將您的密鑰庫文件keystore.jks保存到服務(wù)器上相應(yīng)目錄，并配置其路徑和密鑰庫文件保護密碼。

單向認證中，需要配置JRE默認信任庫文件cacerts。Cacerts默認密碼為changeit。

3. 設(shè)置服務(wù)器證書私鑰別名

在“SSL”下需要配置密鑰庫中的私鑰別名信息。私鑰別名可以使用keystool -list 命令查看。通常設(shè)置的私鑰保護密碼和keystore文件保護密碼相同。

設(shè)置私鑰別名“server”，并輸入私鑰保護密碼。

4. 訪問測試

在每一步設(shè)置過程中請注意隨時保存所做的修改，完成所有配置后，就可以立即通過您設(shè)定的SSL端口號，訪問https://youdomain:port測試證書的安裝情況了。

四、 服務(wù)器證書的備份及恢復(fù)

在您成功的安裝和配置了服務(wù)器證書之后，請務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書，以防證書丟失給您帶來不便。

1. 服務(wù)器證書的備份

備份服務(wù)器證書密鑰庫文件keystore.jks文件即可完成服務(wù)器證書的備份操作。

2. 服務(wù)器證書的恢復(fù)

請參照服務(wù)器證書安裝部分，將服務(wù)器證書密鑰庫keystore.jks文件恢復(fù)到您的服務(wù)器上，并修改配置，恢復(fù)服務(wù)器證書的應(yīng)用。