《配置WebLogicServer8.1的NodeManger和SSL.doc》由会员分享,可在线阅读,更多相关《配置WebLogicServer8.1的NodeManger和SSL.doc(21页珍藏版)》请在金锄头文库上搜索。
1、注意:由于WebLogic Server7和WebLogic Server8的设置有较大不同,此文只对WebLogic Server 8.1 有效。WebLogic Server 7的配置,也将在近期推出。 对大多数的初学者而言,WebLogic的文档,虽然详细,却有很多让人困惑不解地方,笔者通过一段时间的实践,有一些心得,在此与大家分享在实际的应用中,不同的WebLogic Server实例会分布在不同的机器,甚至不同的地域。所以,如何有效的管理各个Managed Server实例,成为了重点。在同一个Domain中,不同机器上的Managed Server可以用相应机器上的NodeMana
2、ger来管理(NodeManager本身也是一个线程,用来控制Server的生命周期的。)本文将用1个Admin Server和2个Managed Server做例子,因为这个是最简单的Cluster形式。Cluster和本文没有什么直接关系,只是作为以后例子的铺垫而已。不过鉴于Admin Server和Managed Server之间的管理方式和Cluster的是一样的,所以也就把Cluster的配置加入本文章。详细原因,见附录B。配置大体过程如下,一共6个步骤:A. 建立相应的Domain。设定Admin Server。B. 得到 Server的根证书,密钥。并将它们加入KeyStore。
3、C. 配置WebLogic Server的KeyStore和SSL设置,代替默认的Demo 设置。D. 配置 Managed Server机器上的NodeManager。E. 检查相应设置是否正确后,启动所有Server,完成设置。F. 用一个Web Application的部署检验以上设置。A 建立相应的Domain。设定Admin Server和 Managed Server。1 首先,建立相应的Domain。设定相应的Admin Server和Managed Server。(详细设置步骤,见最后附录A)。(详细配置资料)Domain: SecurityCluster: MyCluster
4、TypeAdminManagedManagedServer NameCakeFinalFantasyArmageddonIP192.168.0.9192.168.0.1192.168.0.2Machine(空)DesktopLaptopUserWilliamWilliamWilliamPasswordPasswordPasswordPassword注1 相应的IP设置,请按照实际情况更改。这里的IP,没有关系的,因为实际应用中,都用DNS名字代替了。见注5。 注2 如果每个Server都监听不同的Port的话,三个Server可以在同一台机器上。不建议使用LoopBack的网卡。注3 不管多少
5、个Managed Server,也不管他们是在同一台机器还是多台机器,都要设置为同一个Domain。注4 Admin Server,没有必要配置Machine。所以不用加入任何一个Machine。注5 Server Name,也是相应的DNS,可以通过修改 %WINDOWS_HOME%System32DriversEtcHosts 文件,达到同样效果。见文件1.1。注6 ManagedServer机器上不用配置Domain,只需要配置NodeManager就可以了。文件1.1# Copyright (c) 1993-1999 Microsoft Corp.# This is a sample
6、HOSTS file used by Microsoft TCP/IP for Windows.# This file contains the mappings of IP addresses to host names. Each# entry should be kept on an individual line. The IP address should# be placed in the first column followed by the corresponding host name.# The IP address and the host name should be
7、 separated by at least one# space.# Additionally, comments (such as these) may be inserted on individual# lines or following the machine name denoted by a # symbol.# For example:# 102.54.94.97 # source server# 38.25.63.10 # x client host127.0.0.1 localhost192.168.0.9 Cake192.168.0.2 Armageddon192.
8、168.0.1 FinalFantasy修改完后,记得用ping试试,ping通过了,才好进行下一步。不同机器的话,请保持DNS名字一致。2 (可选)修改Admin Server的启动脚本 (SecuritystartWebLogic.cmd)。set PRODUCTION_MODE=falseset WLS_USER=Williamset WLS_PW=passwordset MEM_ARGS=-Xms256m -Xmx256m3 修改完Server的启动文件后,请先把Admin Server启动一次,保证已经建立正确。4 完成第一大步。B 得到 Server的根证书,Server证书,密钥
9、。并将它们加入KeyStore。接下来,我们需要得到配置SSL需要的文件。如果你有银子的话_,可以去VeriSign申请一个正规的证书。不过,本例将用WebLogic自带的CertGen工具生成相应的证书以及密钥。并加入KeyStore中。相应的概念及工具的用法,请读者自行查资料。1 将weblogic.jar加入classpath。2 建立一个临时目录,将 BEAWebLogicserverlib下的CertGenCA.der和CertGenCAKey.der拷贝到该目录。3 运行以下命令,将生成的myKeyStore.jks拷贝到相应的3个Domain目录。keytool -nopromp
10、t -import -trustcacerts -alias CA -file CertGenCA.der -keystore myKeyStore.jks -storepass passwordjava utils.CertGen password CakeCert CakeKey export Cakejava utils.CertGen password FinalFantasyCert FinalFantasyKey export FinalFantasyjava utils.CertGen password ArmageddonCert ArmageddonKey export Ar
11、mageddoncopy /b CakeCert.pem + CertGenCA.pem CakeCertChain.pemcopy /b ArmageddonCert.pem + CertGenCA.pem ArmageddonCertChain.pemcopy /b FinalFantasyCert.pem + CertGenCA.pem FinalFantasyCertChain.pemkeytool -import -alias CakeCert -file CakeCert.pem -keypass password -keystore myKeyStore.jks -storepa
12、ss passwordkeytool -import -alias ArmageddonCert -file ArmageddonCert.pem -keypass password -keystore myKeyStore.jks -storepass passwordkeytool -import -alias FinalFantasyCert -file FinalFantasyCert.pem -keypass password -keystore myKeyStore.jks -storepass passwordjava utils.ImportPrivateKey myKeySt
13、ore.jks password CakeKey password CakeCertChain.pem CakeKey.pemjava utils.ImportPrivateKey myKeyStore.jks password ArmageddonKey password ArmageddonCertChain.pem ArmageddonKey.pemjava utils.ImportPrivateKey myKeyStore.jks password FinalFantasyKey password FinalFantasyCertChain.pem FinalFantasyKey.pe
14、mjava utils.ValidateCertChain -jks CakeKey myKeyStore.jks passwordjava utils.ValidateCertChain -jks FinalFantasyKey myKeyStore.jks passwordjava utils.ValidateCertChain -jks ArmageddonKey myKeyStore.jks password最后的3个步骤,是检验Certificate的。其中第一个步骤输出应该是:Cert0: CN=Cake,OU=FOR TESTING ONLY,O=MyOrganization,L
15、=MyTown,ST=MyState,C=USCert1: CN=CertGenCAB,OU=FOR TESTING ONLY,O=MyOrganization,L=MyTown,ST=MyState,C=USCertificate chain appears valid最后一句话最重要,代表了证书链是正确的!这个步骤,是最重要的。确定所有语句的运行都是正确的。4 Admin机器上,将keystore文件拷贝到BEAuser_projectsdomain目录。5 Managed机器上,将keystore文件拷贝到BEAweblogiccommonnodemanager目录。6 完成步骤B。C 配置WebLogic Server的KeyStore和SSL设置,代替默认的Demo 设置。1 启动Admin Server,进入Console(http:/Cake:8001/console/)。展开Servers,单击Cake,在右边的配置栏中(Configuration Tab),选择Keystores & SSL。2 单击Change,选择Custom Identity and Cus
