En este laboratorio configuraremos un manage server de Weblogic 12c con SSL, normalmente para ambientes productivos se recomienda utilizar la configuración SSL en una capa superior de la arquitectura o si se desea un nivel más de seguridad, se puede implementar en la capa de weblogic y en la capa superior también, esto con el fin de tener tanto de manera interna como externa un tráfico por SSL.
Lo primero que debemos hacer es ir al sistema operativo donde tenemos instalado nuestro weblogic, debemos ir a la siguiente ruta:
$DOMAIN_HOME/config/security
Dentro creareamos nuestro Keystore con el siguiente comando:
keytool -genkey -alias panda -keyalg RSA -keystore panda.jks -keysize 2048
Nos solicitará una constraseña, esta será la del keystore.
Posterior a ello nos solicitará llenar lo siguiente:
- Common Name CN
- Organization Unit OU
- Organization O
- Locality L
- State ST
- Country C
En cada uno colocaremos la información necesaria para realizar nuestro certificado.

Posterior a esto vamos a crear nuestro request con el siguiente comando:
keytool -certreq -keyalg RSA -alias panda -file panda.csr -keystore produccion.jks

Esto nos generará nuestro CSR, este es el archivo que debemos enviar a firmar con la entidad certificadora
Después de que nos llegue el certificado firmado debe venir con un certificado CA o certificado intermediario y el certificado root o raíz.
Debemos tener en cuenta que dentro de un keystore siempre vamos a tener solamente un certificado raíz, en cambio los certificados CA o intermediarios sí pueden ser varios, no solamente uno.
Vamos a crear el archivo cadena .pem para luego importarlo a nuestro Keystore.
Debe quedar primero el certificado de usuario, luego el CA y por último el root.
Utilizamos los siguientes comandos:
cat userCertificate.cer > chain.pem cat caCertificate1.cer >> chain.pem cat caCertificate2.cer >> chain.pem cat root.cer >> chain.pem
De esta manera tendremos nuestro archivo chain.pem con todos nuestros certificados incluídos.
Para importarlo a nuestro keystore utilizaremos el siguiente comando.
Tener en cuenta que el alias debe ser el mismo al alias de nuestro csr
keytool -import -file chain.pem -alias panda -keystore produccion.jks -storepass panda
Posterior a esto debemos crear nuestro trust Keystore, utilizaremos el siguiente comando para crearlo:
El alias de este keystore sí debe ser diferente al del CSR y lo crearemos utilizando el certifcado root.
keytool -import -file root.cer -alias pandaRoot -keystore produccionTrust.jks -storepass panda
Para ver la información dentro del keystore utilizaremos el siguiente comando:
keytool -list -v -keystore produccion.jks
Configuración de un manage server de weblogic con el nuevo keystore
Debemos ingresar a la consola de administración de weblogic y dirigirnos al manage server que queramos configurar con SSL.
Dentro vamos al tab General -> Keystore
Ahí vamos a elegir la opcion de custom identity and custom trust en la opción de keystore, como en la imagen posterios.
Luego procederemos a configurar la información de nuestro keystore y trust keystore:

Posterior a esto guardamos los cambios y nos pasaremos al tab de SSL, ahí editaremos los campos marcados en la siguiente imagen:

Guardamos los cambio y por último debemos asegurarnos que el puerto https este habilitado:

Luego de esto guardamos todos los cambios y debemos reiniciar todos los servicios de weblogic, tanto los manage server como el admin server.
Para probar el acceso ingresamos al manage server usando https al principio del url y el puerto SSL en este caso el 7002.
tengo duda sobre estos comandos .. cuales y cuales son los certificados ?
cat userCertificate.cer > chain.pem
cat caCertificate1.cer >> chain.pem
cat caCertificate2.cer >> chain.pem
cat root.cer >> chain.pem
Hola Catalina,
Cuando usted envía a firmar el request que generó, la entidad certificadora le devuelve varios certificados, dependiendo de la entidad puede ser solo un certificado o pueden ser los 3 el raíz, el intermediario y el de usuario firmado, en caso de ser solo 1 debe ingresar a las propiedades de ese certificado y en la tercer pestaña llamada ruta de certificación, debe exportar el certificado raíz, el intermediario y el de usuario firmado, individualmente cada uno.
Entonces esos que agregué al chain.pem, son el userCertificate.cer que es el certificado de usuario firmado, los 2 que siguen caCertificate1.cer y caCertificate2.cer son los certificados intermediarios y el último que dice root.cer es el certificado raíz.
Todos ellos me los brindó la entidad certificadora luego de haber firmado mi request.
Hola, cuales son los dos archivos que se deben referenciar en la pestaña keystores? En la imagen no se ve
Son produccion.jks y produccionTrust.jks debes colocar la ruta donde los hayas creado, produccion.jks es para el custom identity keystore y el segundo es produccionTrust.jks para el campo de custom trust keystore.
Hola una pregunta se puede generar un reporte desde el weblogic con la información de la configuración