我们正在与运行 Weblogic 10.3 的组织合作。当我们升级到 SHA2 证书时,他们不再能够与我们的 REST 端点通信。(我们不得不回到 SHA1,而现在很难获得它!)
他们正计划升级到 Weblogic 12(我认为是“12C”),他们报告说他们将无法支持 SHA1,迫使我们在同一时间迁移证书(这似乎是自找麻烦)。
这听起来对吗?
(换句话说:有没有简单的方法在 10.3 上支持 SHA2/256?有没有简单的方法在 12C 上支持 SHA1?)
答案1
微软和谷歌宣布了 SHA-1 弃用计划,这可能会影响到 SHA-1 证书最早在 2015 年 12 月 31 日之后过期的网站。
可以使用不同的“哈希算法”创建证书,包括
1)SHA1:160 位哈希
2)SHA2:两个具有不同块大小的相似哈希函数系列,称为 SHA-256 和 SHA-512(这是一种较新的算法)
直到最近,WebLogic 仅支持 SHA1 算法。但从 WebLogic 10.3.3 开始,SHA2 算法也受支持。
如果您希望使用具有 SHA2 哈希算法的证书,则需要启用 JSSE SSL(信任更强大的证书,例如 SHA2)
Oracle 强烈建议您升级到最新的 WebLogic 维护包和最新的 JDK 补丁,因为 JSSE SSL 和较低的 WebLogic 维护包和 Java 补丁存在一些已知问题。您至少应该使用 WebLogic 10.3.6
您可以在 Oracle Metalink(support.oracle.com)上的官方文档中查看有关 WebLogic 上的 SSL 证书的常见问题解答
从 weblogic 11g(10.3.6)开始支持 SHA2(SHA256 等),但证书仅适用于 JSSE 实现(-Dweblogic.security.SSL.enableJSSE=true)。
在以下情况下,WLS 12.1.X 支持 SHA2 证书和密码套件:
WLS 12.1.1,带有 JDK 7 和 JSSE,使用 JDK 的 Sun JSSE 提供程序(默认)或 RSA JSSE 提供程序启用 WLS 12.1.1,带有 JDK 6 和 JSSE,使用 RSA JSSE 提供程序启用 WLS 12.1.2(或更高版本),带有 JDK 7(或更高版本),使用 JDK 的 Sun JSSE 提供程序(默认)或 RSA JSSE 提供程序启用
如果您使用的是低于 10.3.6 的版本,那么您可以使用 apache/OHS,它将在整个环境前面充当反向代理。反向代理使用最新的 SHA-2 SSL 证书充当客户端连接的 SSL 终止器。
查看以下链接
答案2
10.3.3 及以上版本支持 sha2,以前的 weblogic 不支持。即便如此,从 10.3.3 开始,您需要为 Java 版本添加无限强度的 .jar 文件以支持它,并且可能为每个 weblogic 服务器启用 JSSE SSL。