En algunas ocasiones podemos toparnos con situaciones donde nuestro cliente ya tenga un certificado y este sea de tipo Wildcard, por lo que comprar uno nuevo representaría un costo extra y esa no es la idea.

Un certificado Wildcard es aquel en el cual podemos tener n cantidad de subdominios de manera que su firma es así:

*.dominio.com

Por default Weblogic no acepta certificados wildcard para configurar SSL en sus manage server, por lo que obligatoriamente debe configurarse en otra capa y para este lab lo haremos en un ohs 12c.

Lo primero que debemos hacer es solicitar el certificado wildcard en formato .pfx, normalmente este es el formato exportado desde el Internet Information Services (IIS) de Windows Server.

Luego de tener el certificado, deberemos convertirlo a keystore y luego a wallet, el cual es el formato que lee el ohs.

Conversión de PKCS12 a JKS:

Debemos irnos a la ruta donde tengamos nuestro wallet actual en el ohs y pasar el certificado .pfx, luego ejecutaremos el siguiente comando para convertirlo a keystore:

keytool -v -importkeystore -srckeystore NuevoPK.pfx -srcstoretype PKCS12 -destkeystore nuevo.jks -deststoretype JKS

Conversión de JKS a Wallet:

Primero crearemos un nuevo wallet donde pasaremos los certificados del keystore creado en el paso anterior:

orapki wallet create -wallet default -auto_login

Para ver el contenido del wallet creado ejecutaremos el siguiente comando:

orapki wallet display -wallet default

Luego de haber creado el wallet, vamos a implementar el keystore al wallet usando el siguiente comando:

orapki wallet jks_to_pkcs12 -wallet default/ -pwd <password> -keystore nuevo.jks -jkspwd <password>

Con esto terminamos la configuración, ahora solamente debemos sustituir el wallet que usa el ohs con el nuevo creado, esto podemos verlo en el siguiente archivo:

vi ssl.conf

Búscamos la siguiente línea y lo sustituimos con la ruta donde tengamos nuestro nuevo wallet:

SSLWallet  "/home/oracle/wallet"

Reiniciamos el ohs para que surgan efecto los cambios.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.