[WebLogic] WLS 기능 이용하여 보안키 생성 및 SSL 적용

오라클 베이스 문서를 기반으로 작성


이곳에서 생성하는 인증서는 데모로 구성되니 실제 업무에서 사용하려면 자체 서명된 인증서를 사용하도록 다시 구성해야 함.


1. 데모 키 저장소 및 인증서 생성
    1) <DOMAIN_HOME>/bin 으로 이동 후 
        $ . ./setDomainEnv.sh 입력 
    2) 키 저장소 디렉토리 생성 
        $ mkdir <DOMAIN_HOME>/keystore 
    3) 만든 키 저장소로 이동
        $ cd <DOMAIN_HOME>/keystore
    4) ID 및 키 생성..

 

$ keytool -genkey -keyalg RSA -alias <키이름> -keystore identity.jks  -dname "CN=`hostname`, OU=<부서이름>, O=         <회사이름>, L=<지역이름>, ST=<거리>" -storepass <저장소비밀번호> -validity 3600 -keysize 2048 -keypass <키비         밀번호>

            - < > 안에 있는 내용은 임의로 아무거나 넣으면됨 dname 내에 불필요항목은 없애도 됨
            - Keystore 항목 뒤 identity.jks 도 파일명은 바꿔도 됨

$ keytool -selfcert -v -alias <키이름> -keypass <키비밀번호> -keystore identity.jks -storepass <저장소비밀번호> -             storetype jks -validity 3600

$ keytool -export -v -alias <키이름> -file "`hostname`-rootCA.der" -keystore identity.jks
# Trust? y

$ keytool -import -v -trustcacerts -alias <키이름> -file "`hostname`-rootCA.der" -keystore trust.jks -storepass <저장소비밀번호> -noprompt

            - 인자 뒤에 들어오는 옵션 값은 전부 수정이 가능하지만 모든 명령어에 맞게 일치시켜줘야한다.

    위 명령어대로 진행했다면 다음과 같은 설정값으로 생성되었을 것이다.

        • Identity Keystore: "<DOMAIN_HOME>/keystore/identity.jks"
        • Trust Keystore: "<DOMAIN_HOME>/keystore/trust.jks"
        • Alias: <키이름>
        • Store Password:<저장소비밀번호>
        • Key Password: <키비밀번호>
        • Valid for: 3600 Days (Approx 10 Years)

    5) 혹시 클러스터링된 환경이라면 해당 서버에도 keystore 디렉토리를 만든 후 ~~rootCA.der 파일을 복사 후 
    Keytool -import, -export 등록을 똑같이 해주면 된다. 

https://oracle-base.com/articles/11g/weblogic-configure-ssl-for-a-managed-server 참고

2. 웹로직 콘솔에서 새 키 저장소 등록
    1) 콘솔 접속 후 로그인 -> (운영모드일 경우) 잠금 및 편집 클릭
    2) 구성하려는 관리 대상 서버 클릭
    3) 구성 > 키 저장소 탭 클릭

    4) 사용자정의ID 및 사용자 정의 보안 선택 후 저장
    5) 아래와 같이 입력

키 저장소 암호를 입력하면됨


3. SSL 등록
    1) 구성 - 
    2) 빈칸 채워서 입력

        키비밀번호를 입력하면됨
        개인키 별칭은 -alias 항목에 입력한 키이름 입력 후 저장 클릭


4. 포트개방
    1) 구성 > 일반 탭 클릭
    2) SSL 수신포트 사용 체크 후 수신포트 입력

    3) 페이지 접속 테스트

        페이지 접속 테스트 시 반드시 https://~~:port 로 접속할 수 있도록 한다.
        접속 시 인증서가 적용된 모습을 확인할 수 있다.

++)) 서명받은 인증서가 아닌 이와같은 방식으로 생성한 인증서로 접속 시 (크롬) 연결이 비공개로 설정되어 있지 않습니다 페이지가 출력된다.


 NET:ERR_CENT_REVOKED 라는 에러가 뜨며 접속이 불가능하다.

해결방법
1. WindowsOS 경우 : 고급 클릭 -> ~~~~(안전하지않음) 으로 이동 클릭
MacOS : 화면 빈공간 아무곳이나 클릭 -> thisisunsafe 입력 (입력창이 따로 뜨는것이 아니라 그냥 빈곳에 타이핑해야함) 하면 자동으로 이동

 

 

 

참고자료 : https://docs.rackspace.com/blog/configuring-ssl-in-weblogic-server-12c/
https://oracle-base.com/articles/11g/weblogic-configure-ssl-for-a-managed-server

Secure Communication SSL 12c WebLogic Server | Rackspace