前提：
已经安装WebLogic9应用服务器，需要使用SSL(单向或者是双向)，但是不想用DEMO版本的证书，而是想用自己的CA签名的证书(或者是自己创建的证书申请，然后由信任机构签名的证书也可以参考本文)。

其实，用自己的CA签名的证书有很多好处(bea不推荐在生产环境下用DEMO证书，而信任机构签名收费不菲)：可以任意创建服务器所需要的证书(SSL通信需要证书，Web Service也需要独立的签名证书及加密证书等等)；可以用自己的CA任意创建IE客户端证书；可以用自己的CA创建存储到jks中的证书以提供给JAVA程序使用等等。

具体工作：
需要做的是生成CA自签名证书，然后利用CA自签名证书再生成服务器证书与其它客户端证书，当然，还有其它的一些额外操作(如将客户端证书存放到服务器的truststore中等)。

环境要求:

操作系统是Windows XP SP3，安装的软件有：

1.       jdk1.6.0_10，安装目录JAVA_HOME=D:\Program Files\Java\jdk1.6.0_10

2.       BEA的WebLogic Server 10.3，安装目录BEA_HOME=D:\Program Files\bea

3.       VS2008（Microsoft Visual Studio 9.0，主要安装VC）或者Microsoft Visual Studio 6.0（主要是VC++），安装目录MVS_HOME=D:\Program Files\Microsoft Visual Studio 9.0\VC。

在实现过程中需要的软件有：

Perl for win32：（ActivePerl-5.10.1.1006-MSWin32-x86-291086.msi

　　Openssl：（openssl-0.9.8k.tar.tar）

      安装 activeperl

在生成证书和私钥时，我们使用了openssl软件，由于openssl软件在windows上安装需要perl环境，因此我们需要下载Active Perl相关软件，并且需要安装VC++或者Delphi，以便编译安装openssl。

设置工作目录为myDir，目录结构为：
  myDir\ca             目录，存放CA证书
  myDir\server         目录，存放服务器证书
  myDir\client         目录，存放客户端证书
  myDir\ca\ca-cert.srl 文件，仅包括"00"两个字符，执行OpenSSL签名证书时需要读取此配置文件(每签名一个证书，此数加一)。
  myDir\openssl.cnf    文件，从X:\OpenSSL\bin目录拷贝过来，执行OpenSSL生成待签名证书命令时需要使用此配置文件。
  myDir\setEnv.cmd     文件，内容为：
call X:\bea91\weblogic91\samples\domains\wl_server\setExamplesEnv.cmd
作用为设置WebLogic的环境，这样才可以调用keytool，java utils.pem2der等命令。

开始：
打开命令行窗口，切换到myDir目录。然后执行setEnv.cmd命令，以设置环境。

步骤一：创建自签名CA证书
1. 生成CA私钥
openssl genrsa -out ca\ca-key.pem 1024

2. 生成待签名证书
openssl req -new -out ca\ca-req.csr -key ca\ca-key.pem -config openssl.cnf
(这是交换式命令，需要输入证书信息)

3. 用CA私钥进行自签名
openssl x509 -req -in ca\ca-req.csr -out ca\ca-cert.pem -signkey ca\ca-key.pem -days 7300

步骤二：创建服务器证书
1. 生成KeyPair
keytool -genkey -alias support -keyalg RSA -keysize 1024 -dname "cn=127.0.0.1, ou=Mycompany Support WebService, o=Mycompany Inc,l=Beijing, st=Beijing, c=CN" -keypass mypassword -keystore server\support.jks -storepass support  -validity 7300

2. 生成待签名证书
keytool -certreq -alias support -sigalg "MD5withRSA" -file server\certreq.pem -keypass mypassword -keystore server\support.jks -storepass support

3. 用CA私钥进行签名
openssl x509 -req -in server\certreq.pem -out server\supportcert.pem -CA ca\ca-cert.pem -CAkey ca\ca-key.pem -days 7300

4. 导入信任的CA根证书到指定的jks文件
keytool -import -alias rootca -trustcacerts -file ca\ca-cert.pem -keystore server\supporttrust.jks -storepass rootca

5. 导入服务器证书到指定的jks文件
...下面，需要用编辑器合并ca-cert.pem与supportcert.pem的内容，ca-cert.pem在前面，请注意不要留下空格之类的字符在文档里面；然后再执行下面的命令，否则会报"keytool错误： java.lang.Exception: 无法从回复中建立链接"的错误...

keytool -import -alias support -trustcacerts -file server\supportcert.pem -keypass mypassword -keystore server\support.jks -storepass support

6. 到这儿，服务器证书制作完成。最终输出为：server\support.jks与server\supporttrust.jks两个文件，可以在WebLogic 9的控制台中配置SSL的相关设置以使用新的证书。具体操作可以参考bea公司的在控制中配置SSL的文档，或者是参考附录中的SWF。

步骤三：创建IE客户端证书(在双向SSL的情况下使用)

1. 生成client私钥
openssl genrsa -out client\client-key.pem 1024

2. 生成待签名证书
openssl req -new -out client\client-req.csr -key client\client-key.pem -config openssl.cnf
(这是交换式命令，需要输入证书信息)

3. 用CA私钥进行签名
openssl x509 -req -in client\client-req.csr -out client\client.crt -signkey client\client-key.pem -CA ca\ca-cert.pem -CAkey ca\ca-key.pem -CAcreateserial -days 7300

4. 生成client端的个人证书
因为JSSE1.0.2没有完全实现了对PKCS#12格式文件的操作(只能读取，不能输出)，所以在这里需要用openssl制作client端的个人证书(已经包含私钥)。
openssl pkcs12 -export -clcerts -in client\client.crt -inkey client\client-key.pem -out client\client.p12

5. 生成信任的根证书，把ca\ca-cert.pem拷贝为ca\ca-cert.cer。
copy ca\ca-cert.pem ca\ca-cert.cer

6. 到这儿，IE客户端证书制作完成。最终输出为ca\ca-cert.cer与client\ client.p12这两个证书，需要在IE中安装此两个证书 (直接单击文件名即可，安装个人证书的过程可能需要输入创建时的密码-如果创建个人证书时输入了密码的话)。

步骤四：创建JAVA调用keystore(像Web Service中的2way SSL需要使用此keystore)

类似服务器证书的制作，但是要注意：
The SSL package of J2SE requires that the password of the client's private key must be the same as the password of the client's keystore.

1. 创建KeyPair
keytool -genkey -alias clientsupport -keyalg RSA -keysize 1024 -dname "CN=127.0.0.1, OU=test webservice, O=test, L=Beijing, ST=Beijing, C=CN" -keypass support -keystore client\clientsupport.jks -storepass support -validity 7300

2. 生成待签名证书
keytool -certreq -alias clientsupport -sigalg "MD5withRSA" -file client\clientreq.pem -keypass support -keystore client\clientsupport.jks -storepass support

3. 用CA私钥进行签名
openssl x509 -req -in client\clientreq.pem -out client\clientcert.pem -CA ca\ca-cert.pem -CAkey ca\ca-key.pem -days 7300

4. 生成truststore
keytool -import -alias rootca -trustcacerts -file ca\ca-cert.pem -keystore client\supporttrust.jks -storepass rootca

5. 生成keystore
...下面，需要合并ca-cert.pem与clientcert.pem的内容，ca-cert.pem在前面；然后...
keytool -import -alias clientsupport -trustcacerts -file client\clientcert.pem -keypass support -keystore client\clientsupport.jks -storepass support

6. 到这儿，JAVA调用的keystore制作完成。最终输出为client\supporttrust.jks与client\clientsupport.jks两个文件。提供给JAVA程序即可以使用。

步骤五：创建JAVA调用证书(像Web Service中的message-level级别需要用此证书)
下面是在IE客户端的证书基础上进行的。
1. 拷贝client.crt为client-cert.pem，这样就有了client-cert.pem证书与client-key.pem私钥。
copy client\client.crt client\client-cert.pem

2．将client-cert.pem转换为der格式。
java utils.pem2der client\client-cert.pem

3.. 将client-key.pem转换为pkcs8的der格式。
openssl pkcs8 -topk8 -inform PEM -outform DER -in client\client-key.pem -out client\client-key-pkcs8.der -nocrypt

用最终生成的client-cert.der与client-key-pkcs8.der两个文件提供给JAVA客户端调用。

其它操作：
1. 查看keystore内容
keytool -list -keystore server\supporttrust.jks
keytool -list -keystore client\clientsupport.jks

2. 加其它证书到服务器truststore
先转换服务器证书DER格式为PEM格式：
openssl x509 -inform DER -outform PEM -in client-cert.der -out client-cert.pem

然后导入到truststore中
keytool -import -alias demowebca -trustcacerts -file client-cert.pem -keystore server\supporttrust.jks -storepass rootca