在WebLogic服务器安装SSL证书（Windows）

适用范围

步骤一：准备SSL证书

1. 进入SSL证书管理页面，在目标证书操作列单击更多进入证书详情页面，然后在下载页签中下载服务器类型为JKS的证书。

2. 解压后的文件包含证书文件（.jks后缀，且含完整证书链）和证书密码文件（jks-password.txt）。

   说明

   若申请证书时使用 OpenSSL、Keytool 等工具生成 CSR 文件，私钥文件仅保存在您本地，下载的证书包中不包含私钥。如私钥遗失，证书将无法使用，需重新购买正式证书并生成CSR和私钥。

3. 将证书文件和私钥文件上传至服务器，并存放在一个安全的外部目录（本文示例路径为D:\cert）。

   说明

   以下操作以阿里云 ECS 为例，其它类型的服务器请参考其官方文档。

   1. 访问ECS控制台-实例。在页面左侧顶部，选择目标资源所在的资源组和地域。

   2. 进入目标实例详情页，单击远程连接，选择通过Workbench远程连接。根据页面提示登录，进入服务器桌面。

   3. 单击服务器左下角开始菜单，查找并打开名为此电脑、计算机或文件资源管理器的选项。

   4. 双击重定向的驱动程序和文件夹下的***上的workbench，从本地拖动证书文件至该目录，然后右键刷新文件夹。

      

   5. 将目标文件复制到D:\cert目录。

      重要

      重新连接、退出实例时，Workbench会自动清除该实例重定向的驱动程序和文件夹中已上传的所有文件信息以节省空间，该目录仅用于文件传输，请不要保存文件。

步骤二：配置系统与网络环境

1. 开放安全组的 443 端口。

   重要

   若您的服务器部署在云平台，请确保其安全组已开放入方向 443 端口 (TCP)，否则外部无法访问服务。以下操作以阿里云 ECS 为例，其他云平台请参考其官方文档。

   1. 进入云服务器ECS实例页面，选择目标 ECS 实例所在地域，单击目标实例名称，进入实例详情页。

   2. 单击安全组 > 内网入方向全部规则，确保存在一条授权策略为允许、协议类型为 TCP、目的端口范围为 HTTPS(443)、授权对象为任何位置(0.0.0.0/0)的规则。

   3. 如不存在上述规则，请参照添加安全组规则在目标安全组中添加相应规则。

2. 开放服务器防火墙的443端口。

   1. 登录Windows服务器，单击左下角开始菜单，打开控制面板。

   2. 点击系统和安全 > Windows防火墙 > 检查防火墙状态。

   3. 如果防火墙处于如下图的关闭状态，无需额外操作。

   4. 如果防火墙已开启，请参考以下步骤放行HTTPS规则。

      1. 单击左侧高级设置 > 入站规则，检查是否存在协议为TCP，本地端口为443，操作为阻止的入站规则。

      2. 若存在此类规则，需要右键单击相应规则并选择属性，在常规页签，将其修改为允许连接并应用。

      3. 更多防火墙配置，请参见配置防火墙规则。

步骤三：在WebLogic服务器部署证书

1. 登录WebLogic Remote Console管理控制台，本地默认地址为：http://localhost:7001/rconsole，输入您的管理员用户名和密码，即可登入控制台。

   • 从WebLogic Server 14.1.2.0.0版本起，旧版的管理控制台功能已经不再支持，需要通过WebLogic Remote Console访问。

   • 如果您的WebLogic版本在14.1.2.0.0之前，可直接访问http://localhost:7001/console进入管理控制台，配置修改步骤相似，仍可参考本文完成相关配置。

   说明

   请您根据实际运维需求，WebLogic Remote Console选择以下其中一种方式即可。具体安装和使用文档，请参考官方文档：开始使用WebLogic Remote Console。

   1. 托管部署至Server：本示例已将WebLogic Remote Console托管部署至了WebLogic Server，因此可以直接通过浏览器直接访问。

      1. 本机访问：直接访问http://localhost:7001/rconsole即可。

      2. 远程访问：如果您选择远程访问控制台，需要您开放WebLogic服务器的7001端口。

   2. 独立安装：您也可以选择安装WebLogic Remote Console的桌面应用程序后，新建管理员连接（需要配置用户名和密码）后，通过应用程序访问。

2. 选择环境 > 服务器 > AdminServer，进入该服务器的管理配置页面，打开启用SSL监听端口（②），设置SSL监听端口（③）为443，单击保存（④）暂存配置修改。

   重要

   本文以默认的管理服务AdminServer为例，实际配置时，请您选择正确的业务服务器名称。

   

3. 选择安全 > 密钥库，配置如下图所示的信息后，单击保存（⑦）暂存配置修改。

   1. 密钥库（③）：请选择Custom identity and Java Standard Trust；

   2. 自定义身份密钥库（④）：请填写正确的JKS文件路径，本文示例的JKS文件路径为：D:\cert\example.com.jks。

   3. 自定义身份密钥类型（⑤）：填写JKS。

   4. 自定义身份密钥库密码短语（⑥）：填写JKS证书密码，位于jks-password.txt中。

   

4. 选择安全 > SSL，配置如下图所示的信息后，单击保存（⑤）暂存配置修改。

   1. 私有密钥别名（③）：请填写JKS证书的别名。

      说明

      • 单域名证书私钥别名同域名本身，如example.com的私钥别名默认为：example.com。

      • 通配符域名证书的私钥别名默认为主域名，如*.example.com的私钥别名默认为：example.com。

   2. 私有密钥密码短语（④）：填写JKS证书密码，位于jks-password.txt中。

      说明

      一般和私有密钥库密码短语相同，即jks-password.txt中的密码。

   

5. 如下图所示，以上配置全部修改完毕后，选中页面右上角的图标，单击提交修改使所有配置自动生效，重启服务器即可。

   

步骤四：验证部署结果

应用于生产环境

在生产环境部署时，遵循以下最佳实践可提升安全性、稳定性和可维护性：

• 使用非管理员权限用户运行：

  为应用创建专用的、低权限的系统用户，切勿使用拥有管理员权限的账户运行应用。

  说明

  建议使用网关层配置 SSL的方案，即将证书部署在负载均衡SLB或Nginx等反向代理上，由其终结 HTTPS 流量，再将解密后的 HTTP 流量转发到后端应用。

• 凭证外部化管理：

  切勿将密码等敏感信息硬编码在代码或配置文件中。使用环境变量、Vault 或云服务商提供的密钥管理服务来注入凭证。

• 启用 HTTP 到 HTTPS 强制跳转：

  确保所有通过 HTTP 访问的流量都被自动重定向到 HTTPS，防止中间人攻击。

• 配置现代 TLS 协议：

  在服务器配置中禁用老旧且不安全的协议（如 SSLv3, TLSv1.0, TLSv1.1），仅启用 TLSv1.2 和 TLSv1.3。

• 证书监控与自动续期：

  建议在证书部署完成后，为域名开启域名监控功能。阿里云将自动检测证书有效期，并在证书到期前发送提醒，帮助您及时续期，避免服务中断。具体操作请参见购买并开启公网域名监控。

安装或更新证书后，证书未生效或 HTTPS 无法访问

常见原因如下：

• 域名未完成备案。请参见ICP备案流程。

• 服务器安全组或防火墙未开放 443 端口。请参见配置系统与网络环境。

• 证书的绑定域名未包含当前访问的域名。请参见域名匹配。

• 修改 WebLogic 配置后，未提交修改以使配置生效。具体操作可参见提交修改所有配置自动生效。

• 证书文件未正确替换，或 WebLogic 配置未正确指定证书路径。请检查 WebLogic 相关配置和所用证书文件是否为最新且有效。

• 域名已接入 CDN、SLB 或 WAF 等云产品，但未在相应产品中安装证书。请参阅流量经过多个云产品时证书的部署位置完成相关操作。

• 当前域名的 DNS 解析指向多台服务器，但证书仅在部分服务器上安装。需分别在每个服务器中安装证书。

如何更新（替换）WebLogic 中已安装的 SSL 证书

请先备份服务器上原有的证书文件（.jks，以及.txt文件），然后登录数字证书管理服务控制台，下载新的证书文件，并上传到目标服务器覆盖原有文件（确保路径和文件名一致）。最后，重启WebLogic服务，使新证书生效。

在 WebLogic 控制台提交修改时报错？

请核对以下配置：

1. JKS 路径：

   确认在“密钥库”配置中填写的 JKS 文件路径为服务器上的绝对路径，且 WebLogic 进程有权读取该文件。

2. 密码：

   确认所有密码均与 jks-password.txt 文件中的内容完全一致，无多余空格或换行符。