Oracle WebLogic SSL 인증서 설치/적용 가이드

사전 구성 환경

  • Java JDK or JRE http://www.java.com/
  • TLS / SHA-2(sha256) 암호화 지원 모듈 구성/활성 확인 필수
  • MD5, RC4 등 국제 보안 기구에서 해제를 권장하는 취약한 암호화 모듈 비활성화

진행 과정

  1. 키스토어 생성
  2. CSR(Certificate Signing Request) 생성
  3. 인증서 발급 신청 제출
  4. 인증서 조합
  5. 서버 설정값 적용
  6. 정상 적용 완료 테스트

Keystore 및 CSR 생성

- 본 과정은, 인증서 신청서 작성시 CSR 자동생성 이용을 권장합니다. ".pfx / .jks / .key" 파일이 제공됩니다.
- 제공되는 ".pfx / .jks" 에는 "개인키+서버인증서+체인인증서+루트인증서" 가 모두 통합되어 있습니다.

CSR 직접 생성이 필요한 경우, Tomcat 매뉴얼 초기 부분을 참고하세요 상세보기

인증서 조합 (CSR 직접 생성시)

  • keytool -import -trustcacerts -alias AddTrustExternalCARoot -file AddTrustExternalCARoot.crt -keystore domain.jks
  • keytool -import -trustcacerts -alias COMODORSAAddTrustCA -file COMODORSAAddTrustCA.crt -keystore domain.jks
  • keytool -import -trustcacerts -alias COMODORSACA -file COMODORSADomainValidationSecureServerCA.crt -keystore domain.jks
  • keytool -import -trustcacerts -alias SecureSign -file www_SecureSign_kr.crt -keystore domain.jks

* 개인키가 CSR 생성 서버에만 - CSR 직접 생성 - 존재하는 경우에, 개인키에 발급된 서버/체인/루트 통합합니다.
* 루트/체인 인증서는 상품별로 차이가 있으므로, 발급 완료시 첨부된 파일 내역에서 확인 가능합니다.
* CSR 자동생성 신청의 경우, .pfx / .jks 포맷 파일을 제공해 드리며 파일에 모두 통합되어 있습니다. (조합 과정 불필요)

인증서 설치 : WebLogic 8+ 버젼

WebLogic Server Admin Console -> Environment -> Servers -> 해당서버 -> Lock & Edit -> Settings -> Configruation

- SSL Listen Port Enabled (체크박스 활성화)
- SSL Listen Port: 8080 (사용코자 하는 포트 설정)

- Keystores : Custom Identity and Custiom Turst 지정

- Identity :
Custom Identity Keystore: c:\domain.jks(전체 경로)
Custom Identity Keystore Type: jks (포맷)
Custom Identity Keystore Passphrase: (keystore 암호)
Confirm Customer Identity Keystore Passphrase: (keystore 암호)

- Trust :
Custom Trust Keystore : c:\domain.jks (전체 경로)
Custom Trust Keystore Type: jks (포맷)
Custom Trust Keystore Passphrase: (keystore 암호)
Confirm Customer Trust Keystore Passphrase: (keystore 암호)

- Identity and Trust Locations : Keystores 지정
- Private Key Alias : Keystore 생성시 지정했던 Alias 명 (keytool -list -keystore [keystore_friendly_name] -v 명령으로 확인 가능)
- Private Key Passphrase: (keystore 암호)
- Confirm Private Key Passphrase: (keystore 암호)

저장(Activate Changes)후, [Control] 탭에서 Restart SSL 하여 변경 사항 적용합니다.

또는 아래와 같이 config.xml 을 바로 수정하여 적용도 가능합니다. (예제에 표기되지 않은 Property 는 필요에 따라 설정)

<Server 
            CustomIdentityKeyStoreFileName="c:\domain.jks"
            CustomTrustKeyStoreFileName="c:\domain.jks"
            CustomIdentityKeyStorePassPhrase="*****"
            CustomIdentityKeyStoreType="jks"
            CustomIdentityPrivateKeyPassPhrase="*****"
            KeyStores="CustomIdentityAndCustomTrust" 
            ListenPort="7001">
<SSL 
             Enabled="true" 
             IdentityAndTrustLocations="KeyStores"
             ServerPrivateKeyAlias="Private Key Alias 입력" 
             ServerPrivateKeyPassPhraseEncrypted="*****" />
</Server>

인증서 설치 : WebLogic 6/7 버젼

weblogic.system.SSLListenPort=443
weblogic.security.ssl.enable=true
weblogic.security.certificate.server=domain_xxxxx.crt.pem
weblogic.security.key.server=domain_xxxxx.key.pem
weblogic.security.certificate.authority=chain-bundle.pem
weblogic.security.clientRootCA=root.crt
<SSL 
        Enabled="true" 
        ListenPort="7002" 
        ServerCertificateChainFileName="c:\chain-bundle.pem" 
        ServerCertificateFileName="c:\domain_xxxxx.crt.pem" 
        ServerKeyFileName="c:\domain_xxxxx.key.pem" 
        TrustedCAFileName="c:\root.crt" 
/> 

저장후, WebLogic 재시작합니다.

주요 이슈 사항