Tworzenie bazy certyfikatów cyfrowych

Uruchamiany z poziomu wiersza komend program KeyTool umożliwia utworzenie pliku RCS (Rational Certificate Store) zawierającego certyfikaty cyfrowe przeznaczone do używania z testami. Plik RCS (Rational Certificate Store) to skompresowany plik archiwum zawierający co najmniej jeden certyfikat PKCS#12. Do usuwania certyfikatów z bazy certyfikatów można również używać programu KeyTool.

Procedura

  1. Wpisz następującą komendę:

    java -cp katalog_główny_rpt\jdk\jre\bin keytool.exe --store=plik --passphrase=hasło_certyfikatu --add --remove --generate --cert=nazwa_certyfikatu --subject=nazwa_podmiotu --ca-store=baza --ca-cert=nazwa_certyfikatu_ca --ca-passphrase=hasło_certyfikatu_ca --sign --self-sign --algorithm=algorytm {RSA | DSA} --list

    Jeśli wartość zawiera spacje, należy ją ująć w cudzysłów. Zmienna katalog_główny_rpt oznacza typowy katalog instalacyjny. W 64-bitowym systemie Windows 7 katalog ten to domyślnie C:\Program Files\IBM\SDP\jdk\jre\bin.
    Opcja Opis
    --store Ta opcja jest wymagana w przypadku dodawania lub usuwania certyfikatu. Nazwa pliku RCS (Rational Certificate Store). Jeśli podana baza certyfikatów nie ma rozszerzenia RCS, to rozszerzenie zostanie dodane.
    --passphrase Opcjonalna. Hasło do umieszczenia na wygenerowanym certyfikacie. Domyślne hasło to default.
    --add Opcjonalna. Ta opcja umożliwia dodanie certyfikatu do bazy certyfikatów. Gdy jest używana z opcją --generate, powoduje wygenerowanie certyfikatu i dodanie go do bazy certyfikatów.
    --remove Opcjonalna. Ta opcja umożliwia usunięcie certyfikatu z bazy certyfikatów. Nie można jej używać wraz z opcją --add ani --generate.
    --generate Opcjonalna. Ta opcja umożliwia wygenerowanie certyfikatu. Gdy jest używana z opcją --add, powoduje wygenerowanie certyfikatu i dodanie go do bazy certyfikatów.
    --cert Wymagana. Nazwa pliku certyfikatu do dodania, usunięcia lub wygenerowania. Jeśli tworzony jest certyfikat, do nazwy pliku zostanie dołączone rozszerzenie P12.
    --subject Opcjonalna. Nazwa wyróżniająca X.500 certyfikatu. Jeśli nie określono podmiotu, zostanie podany podmiot domyślny. Więcej informacji na temat podmiotów zawiera sekcja Przegląd tworzenia certyfikatów cyfrowych.
    --ca-store Ta opcja jest wymagana w przypadku podpisywania certyfikatu. Nazwa pliku RCS (Rational Certificate Store), z którego ma zostać pobrany certyfikat CA.
    --ca-cert Ta opcja jest wymagana w przypadku podpisywania certyfikatu. Nazwa pliku certyfikatu ośrodka certyfikacji, który ma zostać użyty do podpisania innego certyfikatu.
    --ca-passphrase Ta opcja jest wymagana w przypadku podpisywania certyfikatu. Hasło dla certyfikatu CA.
    --sign Opcjonalna. Ta opcja umożliwia podpisanie wygenerowanego certyfikatu za pomocą określonego certyfikatu CA. Tej opcji nie można używać wraz z opcją --self-sign.
    --self-sign Opcjonalna. Umożliwia samopodpisanie wygenerowanego certyfikatu. Tej opcji nie można używać wraz z opcją --sign.
    --algorithm Opcjonalna. Ta opcja określa używany algorytm szyfrowania. Domyślnie jest to RSA. Dostępne opcje to RSA i DSA.
    --list Opcjonalna. Ta opcja umożliwia wydrukowanie na wyjście standardowe nazw wszystkich certyfikatów w bazie certyfikatów. Tej listy można użyć w celu utworzenia puli danych.
  2. Użyj programu KeyTool, aby utworzyć i dodać wymaganą liczbę certyfikatów cyfrowych. Aby utworzyć pulę danych nazw certyfikatów w bazie certyfikatów, użyj ponownie narzędzia KeyTool z opcją --list. Spowoduje to zapisanie listy nazw, którą można następnie zaimportować do puli danych.

Wyniki

Dostępna jest baza certyfikatów cyfrowych, której można używać z testami. Ponieważ program KeyTool oferuje wiele opcji, może zaistnieć potrzeba utworzenia aliasu lub pliku skryptowego, które będą używane do wywoływania programu KeyTool.

Utworzenie bazy certyfikatów nie wymaga używania programu KeyTool uruchamianego z poziomu wiersza komend. Możliwe jest używanie istniejących certyfikatów PKCS#12 w produkcie Rational Performance Tester. Certyfikaty PKCS#12 można wyeksportować z przeglądarki WWW. Certyfikaty PKCS#12 umożliwiają zakodowanie klucza prywatnego w certyfikacie przy użyciu hasła.

Uwaga: Nie należy używać certyfikatów powiązanych z rzeczywistymi użytkownikami. Certyfikaty powiązane z rzeczywistymi użytkownikami zawierają klucze prywatne, które nie powinny zostać ujawnione nikomu poza właścicielem certyfikatu ani nie powinny być dostępne dla innych osób. Intruz, który uzyskałby dostęp do bazy certyfikatów, miałby dostęp do kluczy prywatnych wszystkich certyfikatów w bazie. Z tego powodu należy utworzyć certyfikaty podpisane przez odpowiedni ośrodek certyfikacji (certificate authority - CA), ale niepowiązane z rzeczywistymi użytkownikami (lub zlecić utworzenie takich certyfikatów).

Opinia