Cómo configurar un manage server de Weblogic 12c con certificado SSL

En este laboratorio configuraremos un manage server de Weblogic 12c con SSL, normalmente para ambientes productivos se recomienda utilizar la configuración SSL en una capa superior de la arquitectura o si se desea un nivel más de seguridad, se puede implementar en la capa de weblogic y en la capa superior también, esto con el fin de tener tanto de manera interna como externa un tráfico por SSL.

Lo primero que debemos hacer es ir al sistema operativo donde tenemos instalado nuestro weblogic, debemos ir a la siguiente ruta:

$DOMAIN_HOME/config/security

Dentro creareamos nuestro Keystore con el siguiente comando:

keytool -genkey -alias panda -keyalg RSA -keystore panda.jks -keysize 2048

Nos solicitará una constraseña, esta será la del keystore.

Posterior a ello nos solicitará llenar lo siguiente:

• Common Name CN
• Organization Unit OU
• Organization O
• Locality L
• State ST
• Country C

En cada uno colocaremos la información necesaria para realizar nuestro certificado.

Posterior a esto vamos a crear nuestro request con el siguiente comando:

keytool -certreq -keyalg RSA -alias panda -file panda.csr -keystore produccion.jks

Esto nos generará nuestro CSR, este es el archivo que debemos enviar a firmar con la entidad certificadora

Después de que nos llegue el certificado firmado debe venir con un certificado CA o certificado intermediario y el certificado root o raíz.

Debemos tener en cuenta que dentro de un keystore siempre vamos a tener solamente un certificado raíz, en cambio los certificados CA o intermediarios sí pueden ser varios, no solamente uno.

Vamos a crear el archivo cadena .pem para luego importarlo a nuestro Keystore.

Debe quedar primero el certificado de usuario, luego el CA y por último el root.

Utilizamos los siguientes comandos:

cat userCertificate.cer > chain.pem
cat caCertificate1.cer >> chain.pem
cat caCertificate2.cer >> chain.pem
cat root.cer >> chain.pem

De esta manera tendremos nuestro archivo chain.pem con todos nuestros certificados incluídos.

Para importarlo a nuestro keystore utilizaremos el siguiente comando.

Tener en cuenta que el alias debe ser el mismo al alias de nuestro csr

keytool -import -file chain.pem -alias panda -keystore produccion.jks -storepass panda

Posterior a esto debemos crear nuestro trust Keystore, utilizaremos el siguiente comando para crearlo:

El alias de este keystore sí debe ser diferente al del CSR y lo crearemos utilizando el certifcado root.

keytool -import -file root.cer  -alias pandaRoot -keystore produccionTrust.jks -storepass panda

Para ver la información dentro del keystore utilizaremos el siguiente comando:

keytool -list -v -keystore produccion.jks

Configuración de un manage server de weblogic con el nuevo keystore

Debemos ingresar a la consola de administración de weblogic y dirigirnos al manage server que queramos configurar con SSL.

Dentro vamos al tab General -> Keystore

Ahí vamos a elegir la opcion de custom identity and custom trust en la opción de keystore, como en la imagen posterios.

Luego procederemos a configurar la información de nuestro keystore y trust keystore:

Posterior a esto guardamos los cambios y nos pasaremos al tab de SSL, ahí editaremos los campos marcados en la siguiente imagen:

Guardamos los cambio y por último debemos asegurarnos que el puerto https este habilitado:

Luego de esto guardamos todos los cambios y debemos reiniciar todos los servicios de weblogic, tanto los manage server como el admin server.

Para probar el acceso ingresamos al manage server usando https al principio del url y el puerto SSL en este caso el 7002.