1 jul. 2022

Copia de Seguridad de Certificado - WebLogic BEA

Objetivo del Artículo: Este artículo proporciona instrucciones paso a paso para realizar copias de seguridad de su certificado en Weblogic BEA. Si esta no es la solución que está buscando, aconsejamos buscar la solución en la barra de búsqueda de arriba.

• La parte 1 explica la ubicación correcta de la llave privada y los archivos de certificado. Muestra cómo obtener el certificado raíz del archivo de certificado firmado.

• La parte 2 explica la protección de contraseñas de la llave privada mediante la utilidad wlkeytool.exe.

• La parte 3 explica la configuración de SSL en WLS 7.0/8.1.

• Si está migrando sus certificados de WLS 5.1/6.0/6.1 a WLS 7.0/8.1, deberá seguir los pasos detallados que se describen en las tres secciones.

• Si está migrando sus certificados de WLS 7.0 a 8.1, solo necesita seguir los pasos detallados que se describen en la Parte 3.

Parte 1

Deberá copiar su llave privada y el certificado firmado en su nuevo dominio WLS 7.0/8.1. Una vez que lo haga, deberá obtener el Certificado Raíz del certificado firmado, ya que es necesario para la configuración del SSL. Nota: Las instrucciones a continuación solo funcionan en una máquina con Windows. Siga los pasos a continuación y luego copie el archivo de certificado raíz de una máquina con Windows a su destino deseado, si es una plataforma diferente.
 

1. Haga una copia del archivo de certificado firmado y asígnele una extensión .der en lugar de .pem. El archivo de certificado firmado debe ser el que tenga -cert.pem en el nombre. El nombre completo puede permanecer igual. Solo cambie la extensión.

2. Haga doble clic en el nuevo archivo www_my_certificate-cert.der para abrir la ventana Certificados.

3. Vaya a la pestaña Ruta de certificación en la ventana Certificados.

4. En el campo Ruta de certificación, haga clic en la entrada de certificado más alta, ya que este es el certificado raíz.

5. Haga clic en el botón Ver certificado en la parte inferior del campo.

6. Aparecerá una nueva ventana de Certificado para el certificado raíz. Haga clic en la pestaña Detalles.

7. Haga clic en el botón Copiar a archivo en la parte inferior.

8. Haga clic en Siguiente.

9. Elija la segunda opción denominada X.509 (.CER codificada en Base-64) y haga clic en el botón Siguiente.

10. Haga clic en el botón Examinar y busque la ubicación de su dominio o la ubicación de su archivo de certificado firmado. Dé al archivo un nuevo nombre; por ejemplo, asígnele el nombre root_ca.cer, en el campo Nombre de archivo: y presione el botón Guardar.

11. Haga clic en Siguiente. Haga clic en Finalizar.

12. Haga clic en el botón Aceptar para salir de la ventana Certificado.

13. Ahora que tiene el archivo del Certificado Raíz cópielo en el dominio de destino deseado, si está en una máquina diferente, y luegode esto se ha completado la Parte 1.

Parte 2

En esta sección, utilizará varias utilidades de WebLogic Server para convertir el archivo de llave privada y luego protegerlo con una contraseña. Las utilidades son: utils.der2pem, utils.pem2der y wlkeytool.exe.

La utilidad wlkeytool.exe en WebLogic Server se utiliza para proteger con contraseña las llaves privadas que antes estaban desprotegidas. Estas llaves privadas se generaron generalmente para trabajar con WLS 5.1/6.0/6.1.

La utilidad wlkeytool.exe solo acepta llaves privadas basadas en texto, aquellas con extensión .pem, y el archivo de llave privada debe contener el encabezado y pie de página correctos. Siga los pasos que se describen a continuación para proteger con contraseña su llave privada.

1.  Ejecute el script setEnv.sh/cmd para configurar las variables de entorno. Su dominio WLS tendrá este archivo.

2. Solo siga este paso si su llave privada es binaria, donde el archivo tiene una extensión .der. De lo contrario, vaya al siguiente paso.
   
   javaclasspath/full/qualified/path/weblogic.jarutils.der2pem/full/qualified/path/input_private_key.der
   
   El Utils.der2pem es una utilidad WLS que hará la conversión de su llave privada binaria a texto.Como puede ver, asegúrese de que el archivo contenga el encabezado y el pie de página mencionados anteriormente. Además, verifique que antes del encabezado y después del pie de página no haya devoluciones de carro adicionales ni espacios adicionales.

3. Ahora que está trabajando con un archivo de llave privada basado en texto, asegúrese de tener el encabezado y pie de página correctos. Abra su archivo de llave privada en cualquier editor de texto. Asegúrese de incluir las etiquetas de inicio y finalización:
   
   -----BEGIN RSA PRIVATE KEY-----
   -----END RSA PRIVATE KEY-----
   
   Como puede ver, asegúrese de que el archivo contenga el encabezado y el pie de página mencionados anteriormente. Además, verifique que antes del encabezado y después del pie de página no haya devoluciones de carro adicionales ni espacios adicionales.

4. Su archivo de llave privada desprotegido ahora está listo para ser protegido con contraseña usando la utilidad wlkeytool.exe. Puede encontrar esta utilidad en el directorio:
   
   %WLS_Installation%/weblogic700_or_81/server/bin directory.
   
   Para utilizar esta herramienta:
   
   wlkeytool.exe /full/qualified/path/input_file.pem /full/qualified/path/output_file.pem
   
   Se reemplazará el parámetro input_file.pem con el nombre de su llave privada. Puede nombrar el archivo de salida como desee, siempre que tenga la misma extensión .pem. Generalmente recomendamos usar pw_input_file.pem, para que sepa que mantiene la misma convención de nomenclatura que el archivo de entrada, pero agregar pw_ le permite diferenciar que este archivo está protegido con contraseña. Esta es solo una recomendación. Cambie el nombre del archivo de salida como desee.
   
   Una vez que presione Enter para ejecutar la utilidad, la primera pregunta que se le presentará es la contraseña para desproteger la llave privada. Ahora, dado que la llave privada del archivo de entrada no está protegida, todo lo que necesita hacer es presionar Enter sin ingresar ningún carácter.
   
   La siguiente pregunta que se le hará es la contraseña para proteger la llave privada. Aquí es donde ingresará la contraseña que desea usar para proteger la llave privada. Una vez que lo haga, puede presionar Enter. La última pregunta es verificar la contraseña que ingresó. Simplemente vuelva a ingresar la contraseña que desea usar para proteger la llave privada una vez más y luego presione Enter.

5. Ahora que tenemos la llave privada protegida con contraseña, tenemos que convertirla de nuevo a binaria, para que WLS pueda usarla. Haremos esto usando el siguiente comando:

   javaclasspath/full/qualified/path/weblogic.jarutils.pem2der/full/qualified/path/pw_signed_certificate-cert.pem

   Ahora ha terminado con la Parte 2 y su llave privada está protegida con contraseña.

Parte 3

Ahora tiene la llave privada protegida con contraseña, el certificado firmado y el certificado raíz. Esto es todo lo que se necesita para migrar sus certificados. Siga los pasos que se describen a continuación para configurar SSL en WLS 7.0/8.1.

1. Deberá editar sus scripts de inicio de WLS 7.0/8.1, Admin y Managed Servers, para incluir el siguiente parámetro:

   -Dweblogic.management.pkpassword=
   Este parámetro debe agregarse a cualquier secuencia de comandos de inicio de instancia de servidor que utilizará los certificados que se migran.Introduzca la contraseña utilizada para proteger la llave privada mediante la utilidad wlkeytool.exe después del signo igual =).

2. Si está utilizando WLS 8.1, continúe con el paso 3. Si está configurando SSL para WLS 7.0, siga el paso que se describe aquí.
   
   Haga una copia de seguridad del archivo config.xml de su dominio. Si comete un error, siempre puede vo lver a la configuración original. Deberá editar su archivo 'config.xml' para incluir los siguientes parámetros:
   
   KeyEncrypted, ServerCertificateChainFileName, ServerCertificateFileN
   ame, ServerKeyFileName
   
   Aquí hay un ejemplo de un extracto de cómo se verían configurados correctamente:
   
   <SSL Enabled="true" KeyEncrypted="true" ...
   ServerCertificateChainFileName="/full/qualified/path/your_domain/root_certificate.cer"
   ServerCertificateFileName="/full/qualified/path/your_domain/signed_certificate-cert.pem"
   ServerKeyFileName="/full/qualified/path/your_domain/pw_private-key.der"
   ...
   />

3. Si está utilizando WLS 7.0, consulte el paso 2. Si está configurando SSL para WLS 8.1, siga el paso que se describe aquí.
   Haga una copia de seguridad del archivo config.xml de su dominio. Si comete un error, siempre puede volver a la configuración original. Deberá editar su archivo 'config.xml' para incluir los siguientes parámetros: KeyEncrypted, ServerCertificateChainFileName, ServerCertificateFileName, ServerKeyFileName, IdentityAndTrustLocations.
   
   Aquí hay un ejemplo de un extracto de cómo se verían configurados correctamente:

   <SSL Enabled="true" KeyEncrypted="true" IdentityAndTrustLocations="FilesOrKeyStoreProviders" ...
   ServerCertificateChainFileName="/full/qualified/path/your_domain/root_certificate.cer"
   ServerCertificateFileName="/full/qualified/path/your_domain/signed_certificate-cert.pem"
   ServerKeyFileName="/full/qualified/path/your_domain/pw_private-key.der".