OHS 12C中导入第三方SSL证书

1、选择for other server证书，其中会包含如下证书

image.png

2、用文本编辑器打开root证书和所有中间证书，合并成一个文件，文件名为ca.crt。保留标识符“-----BEGIN CERTIFICATE-----“和”-----END CERTIFICATE-----“，合并后的文件格式如下：
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
3、将私钥文件 server.key，用户文件server.crt，第1步合并后的ca.crt放在本地的文件夹中。

image.png

4、用openssl将证书转换成 PKCS #12类型

pkcs12 -export -in <server.crt的文件路径> -inkey <server.key的文件路径> -certfile <ca.crt文件路径> -out <生成的ewallet.p12放置的文件路径>

for example： Windows版

pkcs12 -export -in C:\wat\server.crt -inkey C:\wat\server.key -certfile C:\wat\ca.crt -out C:\wat\ewallet.p12

for example： Linux版

openssl pkcs12 -export -in C:\wat\server.crt -inkey C:\wat\server.key -certfile C:\wat\ca.crt -out C:\wat\ewallet.p12

openssl会要求输入密码，该密码不能为空，命令执行完后会生成ewallet.p12文件.对于第三方证书，ohs目前只支持这种类型，并且生成的文件名ewallet.p12也不能修改
执行完命令语句后可以看到文件夹里面生成了文件：ewallet.p12

image.png

5、将ewallet.p12、server.crt、server.key、ca.crt文件上传到OHS服务器
6、执行命令，生成jks文件

orapki wallet pkcs12_to_jks -wallet <ewallet.p12的文件路径> -pwd <密码> -jksKeyStoreLoc <生成ewallet.jks的存储路径> -jksKeyStorepwd <密码>

For example：

/home/oracle/fmwhome/ohs/oracle_common/bin/orapki wallet pkcs12_to_jks -wallet /home/oracle/fmwhome/cwallet/ewallet.p12 -pwd Aa111111 -jksKeyStoreLoc /home/oracle/fmwhome/cwallet/ewallet.jks -jksKeyStorepwd Aa111111

7、如果还没有创建wallet，则需要先创建wallet

/home/oracle/fmwhome/ohs/oracle_common/bin/orapki wallet create -wallet <wallet_path> -auto_login

For example：

/home/oracle/fmwhome/ohs/oracle_common/bin/orapki wallet create -wallet /home/oracle/fmwhome/esbwallet -auto_login

8、执行命令，清除wallet中的证书

orapki wallet remove -wallet <wallet的绝对路径> -trusted_cert_all -pwd <wallet的密码>

For example：

/home/oracle/fmwhome/ohs/oracle_common/bin/orapki wallet remove -wallet /home/oracle/fmwhome/esbwallet -trusted_cert_all -pwd Aa111111

9、执行命令，向wallet中导入jks文件

orapki wallet jks_to_pkcs12 -wallet <wallet的绝对路径> -pwd <wallet的密码> -keystore <ewallet.jks的绝对路径> -jkspwd <ewallet.jks文件的密码>

For example：

/home/oracle/fmwhome/ohs/oracle_common/bin/orapki wallet jks_to_pkcs12 -wallet /home/oracle/fmwhome/esbwallet -pwd Aa111111 -keystore /home/oracle/fmwhome/cwallet/ewallet.jks -jkspwd Aa111111

10、修改改/home/oracle/fmwhome/ohs/user_projects/domains/ohs_domain/config/fmwconfig/components/OHS/instances/ohs1/ssl.conf文件将
SSLWallet "{COMPONENT_TYPE}/${COMPONENT_NAME}/keysstores/default"
修改为：
SSLWallet "/home/oracle/fmwhome/esbwallet”(自己的wallet地址)
11、重新启动ohs实例
12、重新导入各方系统证书