全部產品
Search

搜尋本產品

    Certificate Management Service:在WebLogic伺服器安裝SSL認證(Windows)

    文件中心

    Certificate Management Service:在WebLogic伺服器安裝SSL認證(Windows)

    更新時間:Nov 19, 2025

    網站使用未加密的HTTP協議時,使用者資料在傳輸過程中容易被竊取,瀏覽器也會提示“不安全”,影響使用者信任和業務安全。通過在Windows WebLogic伺服器上部署SSL認證,可以啟用HTTPS加密通訊。本文介紹如何在Windows系統上的WebLogic伺服器部署SSL認證,以及安裝後HTTPS效果驗證等步驟。

    適用範圍

    開始配置前,確保滿足以下條件:

    • 認證狀態:已擁有由權威機構簽發的 SSL 憑證。若認證即將到期或已到期,請先續約SSL認證。

    • 網域名稱匹配:確保認證能夠匹配所有需保護的網域名稱。如需添加或修改網域名稱,可根據需求購買正式認證追加和更換網域名稱

      • 精確網域名稱:僅對指定網域名稱生效。

        • example.com 僅對 example.com 生效。

        • www.example.com 僅對 www.example.com 生效。

      • 萬用字元網域名稱:僅對其一級子網域名稱生效。

        • *.example.com 對 www.example.coma.example.com 等一級子網域名稱生效。

        • *.example.com 對根網域名稱 example.com 和多級子網域名稱 a.b.example.com 不生效。

      說明

      如需匹配多級子網域名稱,綁定網域名稱中需包含該網域名稱(如 a.b.example.com),或包含相應的萬用字元網域名稱(如 *.b.example.com)。

    • 伺服器許可權:需要使用 Administrator 賬戶或一個具有管理員權限的賬戶。

    • 網域名稱解析:網域名稱已配置解析記錄並解析至伺服器的公網 IP。

    • 環境依賴:本文以Windows Server 2022作業系統、WebLogic 14c (14.1.2.0)版本為例介紹。本文中WebLogic的樣本安裝目錄為C:\wls141200

      說明

      不同版本的作業系統或Web伺服器,部署操作可能有所差異。

    操作步驟

    步驟一:準備SSL認證

    1. 進入SSL認證管理頁面,在目標認證操作列單擊更多進入認證詳情頁面,然後在下載頁簽中下載伺服器類型JKS的認證。

    2. 解壓後的檔案包含認證檔案(.jks尾碼,且含完整憑證鏈結)和認證密碼檔案(jks-password.txt)。

      說明

      若申請認證時使用 OpenSSL、Keytool 等工具產生 CSR 檔案,私密金鑰檔案僅儲存在您本地,下載的認證包中不包含私密金鑰。如私密金鑰遺失,認證將無法使用,需重新購買正式認證並產生CSR和私密金鑰。

    3. 將認證檔案和私密金鑰檔案上傳至伺服器,並存放在一個安全的外部目錄(本文樣本路徑為D:\cert)。

      說明

      以下操作以阿里雲 ECS 為例,其它類型的伺服器請參考其官方文檔。

      1. 訪問ECS控制台-執行個體。在頁面左側頂部,選擇目標資源所在的資源群組和地區。

      2. 進入目標執行個體詳情頁,單擊遠端連線,選擇通過Workbench遠端連線。根據頁面提示登入,進入伺服器案頭。

      3. 單擊伺服器左下角開始菜單,尋找並開啟名為此電腦電腦檔案總管的選項。

      4. 雙擊重新導向的驅動程式和檔案夾下的***上的workbench,從本地拖動認證檔案至該目錄,然後右鍵重新整理檔案夾。

        image

      5. 將目標檔案複製到D:\cert目錄。

        重要

        重新串連、退出執行個體時,Workbench會自動清除該執行個體重新導向的驅動程式和檔案夾中已上傳的所有檔案資訊以節省空間的,該目錄僅用於檔案傳輸,請不要儲存檔案。

    步驟二:配置系統與網路環境

    1. 開放安全性群組的 443 連接埠。

      重要

      若您的伺服器部署在雲平台,請確保其安全性群組已開放入方向 443 連接埠 (TCP),否則外部無法訪問服務。以下操作以阿里雲 ECS 為例,其他雲平台請參考其官方文檔。

      1. 進入Elastic Compute Service執行個體頁面,選擇目標 ECS 執行個體所在地區,單擊目標執行個體名稱,進入執行個體詳情頁。

      2. 單擊安全性群組 > 內網入方向全部規則,確儲存在一條授權策略允許協議類型為 TCP、目的連接埠範圍為 HTTPS(443)、授權對象任何位置(0.0.0.0/0)的規則。

      3. 如不存在上述規則,請參照添加安全性群組規則在目標安全性群組中添加相應規則。

    2. 開放伺服器防火牆的443連接埠。

      1. 登入Windows伺服器,單擊左下角開始菜單,開啟控制台

      2. 點擊系統和安全 > Windows防火牆 > 檢查防火牆狀態

      3. 如果防火牆處於如下圖的關閉狀態,無需額外操作。image

      4. 如果防火牆已開啟,請參考以下步驟允許存取HTTPS規則。

        1. 單擊左側進階設定 > 入站規則,檢查是否存在協議為TCP,本地連接埠為443,操作阻止的入站規則。

        2. 若存在此類規則,需要按右鍵相應規則並選擇屬性,在常規頁簽,將其修改為允許串連應用

    步驟三:在WebLogic伺服器部署認證

    1. 登入WebLogic Remote Console管理主控台,本地預設地址為:http://localhost:7001/rconsole,輸入您的管理使用者名和密碼,即可登入控制台。

      • 從WebLogic Server 14.1.2.0.0版本起,舊版的管理主控台功能已經不再支援,需要通過WebLogic Remote Console訪問。

      • 如果您的WebLogic版本在14.1.2.0.0之前,可直接存取http://localhost:7001/console進入管理主控台,配置修改步驟相似,仍可參考本文完成相關配置。

      說明

      請您根據實際營運需求,WebLogic Remote Console選擇以下其中一種方式即可。具體安裝和使用文檔,請參考官方文檔:開始使用WebLogic Remote Console

      1. 受管理的部署至Server:本樣本已將WebLogic Remote Console受管理的部署至了WebLogic Server,因此可以直接通過瀏覽器直接存取。

        1. 本機訪問:直接存取http://localhost:7001/rconsole即可。

        2. 遠端存取:如果您選擇遠端存取控制台,需要您開放WebLogic伺服器的7001連接埠。

      2. 獨立安裝:您也可以選擇安裝WebLogic Remote Console的傳統型應用程式後,建立管理員串連(需要配置使用者名稱和密碼)後,通過應用程式訪問。

    2. 選擇環境 > 伺服器 > AdminServer,進入該伺服器的管理配置頁面,開啟啟用SSL監聽連接埠(②),設定SSL監聽連接埠(③)為443,單擊儲存(④)暫存配置修改。

      重要

      本文以預設的管理服務AdminServer為例,實際配置時,請您選擇正確的商務服務器名稱。

      image

    3. 選擇安全 > 密鑰庫,配置如下圖所示的資訊後,單擊儲存(⑦)暫存配置修改。

      1. 密鑰庫(③):請選擇Custom identity and Java Standard Trust

      2. 自訂身份密鑰庫(④):請填寫正確的JKS檔案路徑,本文樣本的JKS檔案路徑為:D:\cert\example.com.jks

      3. 自訂身份密鑰類型(⑤):填寫JKS

      4. 自訂身份密鑰庫密碼短語(⑥):填寫JKS認證密碼,位於jks-password.txt中。

      image

    4. 選擇安全 > SSL,配置如下圖所示的資訊後,單擊儲存(⑤)暫存配置修改。

      1. 私人密鑰別名(③):請填寫JKS認證的別名。

        說明

        • 單網域名稱認證私密金鑰別名同網域名稱本身,如example.com的私密金鑰別名預設為:example.com

        • 萬用字元網域名稱認證的私密金鑰別名預設為主網域名稱,如*.example.com的私密金鑰別名預設為:example.com

      2. 私人密鑰密碼短語(④):填寫JKS認證密碼,位於jks-password.txt中。

        說明

        一般和私人密鑰庫密碼短語相同,即jks-password.txt中的密碼。

      image

    5. 如下圖所示,以上配置全部修改完畢後,選中頁面右上方的image表徵圖,單擊提交修改使所有配置自動生效,重啟伺服器即可。

      image

    步驟四:驗證部署結果

    1. 請通過 HTTPS 訪問您已綁定認證的網域名稱(如 https://example.comexample.com 需替換為實際網域名稱)。

    2. 若瀏覽器地址欄顯示安全鎖表徵圖,說明認證已成功部署。如訪問異常或未顯示安全鎖,請先清除瀏覽器緩衝或使用無痕(隱私)模式重試。

      image

      Chrome 瀏覽器自 117 版本起,地址欄中的image已被新的image替代,需單擊該表徵圖後查看安全鎖資訊。

    說明

    如仍有問題,請參考常見問題進行排查。

    應用於生產環境

    在生產環境部署時,遵循以下最佳實務可提升安全性、穩定性和可維護性:

    • 使用非管理員權限使用者運行

      為應用建立專用的、低許可權的系統使用者,切勿使用擁有管理員權限的賬戶運行應用。

      說明

      建議使用網關層配置 SSL的方案,即將認證部署在Server Load Balancer或Nginx等反向 Proxy上,由其終結 HTTPS 流量,再將解密後的 HTTP 流量轉寄到後端應用。

    • 憑證外部化管理

      切勿將密碼等敏感資訊寫入程式碼在代碼或設定檔中。使用環境變數、Vault 或雲端服務商提供的Key Management Service來注入憑證。

    • 啟用 HTTP 到 HTTPS 強制跳轉

      確保所有通過 HTTP 訪問的流量都被自動重新導向到 HTTPS,防止中間人攻擊。

    • 配置現代 TLS 協議

      在伺服器配置中禁用老舊且不安全的協議(如 SSLv3, TLSv1.0, TLSv1.1),僅啟用 TLSv1.2 和 TLSv1.3。

    • 認證監控與自動續期

      建議在認證部署完成後,為網域名稱開啟網域名稱監控功能。阿里雲將自動檢測認證有效期間,並在認證到期前發送提醒,協助您及時續期,避免服務中斷。具體操作請參見購買並開啟公網網域名稱監控

    常見問題

    安裝或更新認證後,認證未生效或 HTTPS 無法訪問

    常見原因如下:

    • 伺服器安全性群組或防火牆未開放 443 連接埠。請參見配置系統與網路環境

    • 認證的綁定網域名稱未包含當前訪問的網域名稱。請參見網域名稱匹配

    • 修改 WebLogic 配置後,未提交修改以使配置生效。具體操作可參見提交修改所有配置自動生效

    • 認證檔案未正確替換,或 WebLogic 配置未正確指定憑證路徑。請檢查 WebLogic 相關配置和所用認證檔案是否為最新且有效。

    • 網域名稱已接入 CDN、SLB 或 WAF 等雲產品,但未在相應產品中安裝認證。請參閱流量經過多個雲產品時認證的部署位置完成相關操作。

    • 當前網域名稱的 DNS 解析指向多台伺服器,但認證僅在部分伺服器上安裝。需分別在每個伺服器中安裝認證。

    如何更新(替換)WebLogic 中已安裝的 SSL 憑證

    請先備份伺服器上原有的認證檔案(.jks,以及.txt檔案),然後登入數位憑證管理服務控制台,下載新的認證檔案,並上傳到目標伺服器覆蓋原有檔案(確保路徑和檔案名稱一致)。最後,重啟WebLogic服務,使新認證生效。

    在 WebLogic 控制台提交修改時報錯?

    請核對以下配置:

    1. JKS 路徑

      確認在“密鑰庫”配置中填寫的 JKS 檔案路徑為伺服器上的絕對路徑,且 WebLogic 進程有權讀取該檔案。

    2. 密碼

      確認所有密碼均與 jks-password.txt 檔案中的內容完全一致,無多餘空格或分行符號。