在 BEA 伺服器上安裝憑證 - 寰宇數位認證中心

Welcome to Global Trust 256 bit SSL Security Site.

現在位置 : 技術資源 > 知識庫FAQ > SSL 憑證 > VeriSign > 安裝標準版憑證 > 在 BEA 伺服器上安裝憑證

在 BEA 伺服器上安裝憑證

當您收到 VeriSign 以電子郵件寄出的憑證後，您必須複製憑證內容，連同 ---begin… 到 end certificate---- 這兩行，將該內容貼到純文字編輯器，並儲存成 mydomain.der 檔。

當您取得私密金鑰及數位憑證後，請將 Certificate Request Generator servlet 所產生的私密金鑰檔及 VeriSign 寄給您的數位憑證，複製到目錄 \wlserver6.0\config\mydomain。

對私密金鑰檔及數位憑證採取保護措施，只有 WebLogic 伺服器系統使用者才有讀取權，其他使用者則沒有權限存取私密金鑰檔或數位憑證。如果您要建立擁有多項憑證授權的數位憑證，或是內含憑證鏈的檔案，就必須使用 PEM 格式。WebLogic 伺服器提供可以互相轉換 DER 格式與 PEM 格式的工具。

定義可信任的憑證授權
建立 SSL 連線時，WebLogic 伺服器會利用可信任憑證管理中心 (CA) 清單來檢查 CA 的 ID，以確保目前所使用的 CA 是可信任的。將 VeriSign 的 Root 憑證複製到 WebLogic 伺服器的目錄 \wlserver6.0\config\mydomain，並設定「定義 SSL 通訊協定的欄位」(Defining Fields for the SSL Protocol) 中所列的欄位。檔案鏈的最後一個數位憑證為 VeriSign 的自簽數位憑證 (即 rootCA憑證)。

定義 SSL 通訊協定的欄位
若要定義 SSL 通訊協定的欄位，請執行下列步驟：

開啟「管理主控台」(Administration Console)。

開啟「伺服器組態」(Server Configuration) 視窗。

選取 SSL 標籤。輸入數值並勾選所需的核取方塊，來定義這個標籤上的欄位。(如需詳細資料，請參閱下表。)

按一下 Apply 按鈕以儲存所做的變更。

重新啟動 WebLogic 伺服器。

下表說明「伺服器組態」(Server Configuration) 視窗 SSL 標籤中的每個欄位。請注意︰ 請記住，如果您使用 PKCS-8 PKCS-8 所保護的私密金鑰，則啟動 WebLogic 伺服器時，您必須在命令列上指定私密金鑰的密碼。

表 12-20 SSL 通訊協定欄位
欄位	說明
Enabled	此核取方塊可啟用 SSL 通訊協定。依預設，這欄是啟用的。
SSL Listen Port	WebLogic 伺服器用來接聽 SSL連線的專用連接埠。預設值為 7002，必須設定為 443。
Server Key File Name	WebLogic 伺服器私密金鑰的完整目錄位置及檔名。副檔名 (.DER 或 .PEM) 表示 WebLogic 伺服器讀取檔案內容所應採用的方法。
Server Certificate File Name	WebLogic 伺服器數位憑證的完整目錄位置及檔名。副檔名 (.DER 或 .PEM) 表示 WebLogic 伺服器讀取檔案內容所應採用的方法。
Server Certificate Chain File Name	WebLogic 伺服器其餘數位憑證的完整目錄位置。副檔名 (.DER 或 .PEM) 表示 WebLogic 伺服器讀取檔案內容所應採用的方法。安全憑證不需要此設定。
Client Certificate Enforced	此核取方塊可啟用手動驗證。這個必須停用。
可信任 CA 檔名	內含 WebLogic 伺服器之可信任 CA 數位憑證的檔名。這個欄位所指定的檔案可以包含憑證管理中心的單份數位憑證或多份數位憑證。副檔名（.DER 或 .PEM）可告知 WebLogic 伺服器讀取檔案內容所採用的方法。
CertAuthenticator	執行 CertAuthenticator 介面的 Java 類別名稱。
Use Encrypted Keys	此欄位可指定 WebLogic 伺服器的私密金鑰必須以密碼進行加密。預設值為 false。
Handler Enabled	此欄位可指定 WebLogic 伺服器是否要因下列其中一項原因，拒絕無法進行用戶端驗證的 SSL 連線： The requested client digital certificate was not furnished. (沒有提供所需的用戶端數位憑證) The client did not submit a digital certificate (用戶端尚未提交數位憑證) The digital certificate from the client was not issued by a CA specified by the Trusted CA Filename field. (用戶端的數位憑證並非由可信任 CA 檔名欄位中指定的 CA 所發行)依預設，SSL 處理程式允許 WebLogic 伺服器以連出 SSL 連線連至其他 WegLogic 伺服器。例如，WebLogic 伺服器中的 EJB 可能在其他 Web 伺服器上開啟 HTTPS 串流。如果啟用「已啟用的處理程式」(HandlerEnabled) 欄位的話，WebLogic 伺服器就能作為 SSL 連線中的用戶端。依預設，這欄是啟用的。只有在您想以自己的實作來進行連出 SSL 連線時，才能停用這個欄位。請注意︰ SSL 處理程式不會影響 WebLogic 伺服器管理連入 SSL 連線的能力。
Export Key Lifespan	WebLogic 伺服器在產生新的金鑰之前，在本機伺服器與可匯出用戶端之間使用可匯出金鑰的次數。如果您希望 WebLogic 安全無虞，那麼在產生新的金鑰之前，就必須少用這樣的金鑰。預設的使用次數為 500 次。
Login Timeout Millis	WebLogic 伺服器在 SSL 連線逾時之前所等待的毫秒數。預設值為 25,000 毫秒。SSL 連線在協調處理時會比一般連線更費時。如果用戶端透過網際網路進行連線，請提高預設時間數來搭載其他網路等待時間。
Certificate Cache Size	已符記化並由 WebLogic 伺服器儲存的數位憑證數目。預設值為 3。