注:请认真细读里面的每个步骤。针对不同系统安装的weblogic 需要调整不同的启动文件,此目的是为了提示低版本的weblogic可以支持TLS1.0以上安全协议和提升安全加密套件而制作。
注意:首先要额外(Windows:安装jdk新的版本)或是(Linux或centos:编译安装jdk新版本)。然后记住安装编译的路径。
Windows 版本weblogic
1:根据您安装weblogic目录和您创建用户的账户路径而定:我的测试环境如下
例如:
1.1:(C:OracleMiddlewareuser_projectsdomainszzidc.com)我的账户目录。
1.2:来到账户中的(bin)目录中。
1.3:修改前备份好原始文件(必需做的一步,以防万一。可以恢复原始)。找到此文件
“setDomainEnv.cmd”(linux环境修改setDomainEnv.sh)用记事本打开,接着找到里面set WL_HOME 的参数段,如下:
保存重启即可。
1.4:最后通过openssl 来测试是否已经启用了TLS1.0以上的安全协议,可以运用此命令:
首先你得有Openssl的插件目录(我的环境:D:OpenSSL-Win64bin>。Linux下也可以检测)通过命令定位到openssl的bin路径下。
1.5:输入命令:openssl s_client -connect test.yibaomd.com:443 –status
红色部分可以换成你的IP或是域名。执行结果:如图
提示:Protocol: TLSv1.2 就说明指定替换成功。
1.6:以上为安全协议已经是调整为最佳状态。接下来就是要调整加密套件。
可以参考此路径中的tomcat7方案进行调整:
https://bbs.wosign.com/forum....
1.7:同样:首先到您的账户目录中的config的目录中找到:config.xml的配置文件
用记事本打开:找到到“<SSL></SSL>”的节点。
加入红色的套件(以下为测试环境加密套件仅作参考)如需额外根据环境调整请参考上诉提供的BBS论坛中的自行调整。
<enabled>true</enabled> <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite> <ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite> <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite> <ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite> <hostname-verification-ignored>true</hostname-verification-ignored>。 。 </ssl>
最好保存
1.8:调整加密套件后就需要测试是否真正达到和提升服务器安全需要通过扫描工具进行扫描: https://wosign.ssllabs.com/ 扫描的域名必须默认443端口:如下图:
未调整前结果:
调整后结果:
大功告成。。。。。。。。。。。。。