Weblogic部署SSL证书指南-Linux老运维

证书，又称服务器证书，是一种遵循国际统一标准的数字安全凭证，由受广泛认可的证书颁发机构（ca）在严格验证服务器身份后签发。当该证书被部署于网站服务器时，不仅能确认网站的真实身份，还能实现数据在传输过程中的加密保护。在未配置ssl证书的情况下，用户通过http协议访问网站时，所有提交的信息如登录密码、账户资料及交易记录等均以明文形式传输，极易被非法截取、篡改或滥用，存在严重的安全隐患。启用ssl证书后，网站可通过https协议建立安全连接，激活客户端与服务器之间的通道，利用ssl/tls协议实现高强度的双向，有效防止信息在传输过程中被窃听或篡改，显著提升通信安全性。此外，随着网络钓鱼和仿冒网站层出不穷，部署受信任的ssl证书还能借助浏览器内置的安全机制，实时验证证书有效性，并向访问者展示经过认证的网站身份信息，帮助用户准确辨别真伪，避免误入虚假网站，从而全面保障在线交互的安全性与可信度。

1、生成密钥库文件

2、申请SSL证书需向颁发机构提交证书请求文件，现对此流程进行简要说明。

3、进入JDK的bin目录，通过Windows命令行执行keytool命令。

4、参考：

5、 -storepass用于设置密钥库的访问密码

6、系统将提示您填写相关信息，请按要求输入。

7、请问您贵姓，名字怎么称呼？

8、填写用于公网访问的主域名地址，例如 testweb.gdca.com.cn；若存在多个域名，仅填写主域名即可。

9、请问贵单位的名称是什么？

10、请填写组织单位名称或部门名称，例如：技术支持部或Technical Support。

11、请填写贵组织的名称。

12、广东数字证书认证中心有限公司（Guangdong Certification Authority Co.,Ltd.）是一家专业从事数字认证服务的企业，致力于提供安全、可靠的电子认证解决方案，广泛应用于政务、、企业等领域，保障信息传输的合法性与安全性。

13、请问您所在的城市或地区名称是？

14、佛山市经济持续发展，产业升级步伐加快。

15、请填写您所在的州或省份名称

16、填写所在地区名称，例如广东省或Guangdong省。

17、该单位的两位国家代码是什么？

18、请填写两位国家代码，例如中国的CN，美国的US。

19、除第1、6项外，第2至5项信息需统一使用中文或英文填写，并确保与提交至GDCA的内容完全一致，以确保SSL证书顺利签发。

20、例：

21、执行以下命令生成密钥：使用 keytool 创建别名为 testweb 的密钥对，采用 RSA 算法，密钥长度为 2048 位，存储于 D 盘的 keystore.jks 文件中，密钥库密码设置为 123456。

22、示例中以 testweb 作为私钥别名，生成的密钥库文件命名为 keystore.jks，并保存在 D 盘根目录下。需注意，若未明确指定存储路径，该文件将默认保存在命令行当前所处的目录中，即 keytool 工具所在的目录位置，而非指定磁盘路径。

23、生成证书申请文件

24、参考：

25、例：

26、执行以下命令：keytool -certreq -alias testweb -keystore D:keystore.jks -file D: estweb.csr -keypass 123456 -storepass 123456。该操作用于根据指定的密钥库生成证书请求文件，其中别名为testweb，密钥库路径和CSR文件路径均位于D盘根目录，密钥及库密码均为123456。

27、生成名为testweb.csr的请求文件

28、获取SSL证书

29、提交申请并经颁发机构审核通过后，将获得相应证书。不同颁发机构所使用的根证书和CA证书各不相同。通常在证书签发时，机构会通过邮件将根证书、CA证书及服务器证书一并发送。对于GDCA颁发的证书，用户还可登录其官方网站自行下载所需的根证书和CA证书。

30、转换证书格式

31、从官网下载的证书需转换为Base64格式，以根证书为例进行操作。

32、打开证书，进入详细信息，选择复制到文件，在导出向导中将编码格式设为Base64，最后保存至指定路径。

33、将文件转换为Base64编码格式后，用文本编辑器打开，可见内容以–BEGIN CERTIFICATE–开始，以–END CERTIFICATE–结束。采用相同方法，将CA证书也转换为Base64编码格式，确保其同样以标准标记开头和结尾，便于识别与使用。

34、查看密钥库文件详情

35、执行JDK安装路径下bin目录中的keytool工具。

36、参考：

37、例：

38、执行命令：keytool -list -keystore D:keystore.jks -storepass 123456，用于查看指定密钥库中的证书列表信息。

39、示例私钥的别名为 testweb，导入服务器证书时需使用此别名。务必使用生成证书请求时对应的 keystore.jks 文件进行导入，若该文件丢失或替换为新生成的 keystore.jks，将导致证书无法正常导入，影响服务正常使用。请妥善保管原始密钥库文件。

40、安装证书

41、安装根证书

42、安装CA证书

43、例：

44、安装根证书

45、执行以下命令：使用 keytool 工具将证书导入密钥库，指定别名为 GDCA_TrustAUTH_R5_ROOT，密钥库路径为 D:keystore.jks，启用信任 CA 证书选项，设置密钥库密码为 123456，并从 D:GDCA_TrustAUTH_R5_ROOT.cer 文件中读取证书内容完成导入操作。请确保路径正确且文件存在。

46、提示是否信任此证书，请输入：Y

47、在命令行中执行以下操作：使用 keytool 工具导入证书，指定别名为 GDCA_TrustAUTH_R4_Extended_Validation_SSL_CA，目标密钥库路径为 D:keystore.jks，启用信任锚证书选项，设置密钥库密码为 123456，并从文件 D:GDCA_TrustAUTH_R4_Extended_Validation_SSL_CA.cer 中读取证书内容。该命令将证书添加到指定的密钥库中，确保后续通信过程中能够被系统信任。执行前需确认路径正确、文件存在且密码匹配，避免因输入错误导致导入失败。此操作常用于配置 HTTPS 安全连接或部署 SSL 证书环境。

48、安装服务器证书

49、参考：

50、例：

51、执行以下命令将证书导入密钥库：使用 keytool 工具，通过 -import 参数指定导入操作，别名为 testweb，目标密钥库路径为 D:keystore.jks，启用信任 CA 证书选项，设置密钥库密码为 123456，并指定待导入的证书文件位于 D: estweb.gdca.com.cn.cer。确保路径正确且文件存在，运行后按提示确认导入操作即可完成证书添加。

52、导入服务器证书时，需确保服务器证书的别名与私钥别名完全相同。请注意导入中级CA证书和服务器证书时系统的提示信息差异。若服务器证书别名与私钥别名不一致，系统将提示认证已添加至keystore中，而非正确的认证回复已安装在keystore中，表明操作未成功完成，需核对别名设置以确保正确导入。

摩笔天书AI绘本创作平台

53、若导入过程中提示invalid DER-encoded certificate data错误，可按照1.3转换证书编码步骤，将服务器证书文件转换为Base64编码格式后保存，再重新进行导入操作即可解决该问题。请确保编码格式正确无误。

54、导入证书后，执行keystool命令，重新查看keystore文件中的信息。

55、生成truststore文件（可选操作）

56、配置双向SSL需使用truststore.jks，单向SSL可不用，导出证书文件即可。

57、参考：

58、例：

59、执行命令：keytool -export -alias testweb -keystore D:keystore.jks -rfc -file D:cert.cer -storepass 123456，将别名为testweb的证书从指定密钥库中导出为RFC格式的文本文件，保存在D盘根目录下，文件名为cert.cer，密钥库访问密码为123456。

60、将凭证文件导入信任库文件中完成配置。

61、参考：

62、使用-keystore参数指定生成的truststore文件路径，通过-storepass参数设置该truststore的访问密码。

63、例：

64、执行命令：keytool -import -alias testweb -file D:ustcert.cer -keystore D:uststore.jks -storepass 123456，将指定路径下的证书文件导入到JKS密钥库中，别名为testweb，密码为123456，操作需确保路径正确且密钥库可访问，以完成证书的导入与配置。