Vytvoření digitálního certifikátu pomocí OpenSSL

Digitální certifikáty pro použití v testech můžete vytvořit pomocí programu OpenSSL.

Než začnete

Program OpenSSL je k dispozici prostřednictvím projektu OpenSSL Project na webu http://www.openssl.org/.

Postup

  1. Vytvoření certifikační autority (CA). Pro účely testování funguje tato CA jako uznaná internetová CA, jako je např. VeriSign. Pomocí této CA digitálně podepisujete každý certifikát, který chcete používat pro účely testování.
    1. Vytvořte soubor žádosti o certifikát (CSR). Parametr "subjekt" (-subj) popisuje uživatele certifikátu. Zadejte fiktivní hodnoty, jak je zobrazeno. Následující příkazový řádek nastaví heslo certifikátu abcdefg.

      openssl req -passout pass:abcdefg -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=Rational Performance Tester CA/emailAddress=rpt@abc.ibm.com" -new > waipio.ca.cert.csr

    2. Vytvořte soubor s klíči waipio.ca.key pro uložení soukromého klíče. Tím dojde k odebrání zabezpečení heslem ze souboru žádosti o certifikát, takže nebudete muset zadávat heslo po každém podepsání certifikátu. Vzhledem k tomu, že bylo odebráno zabezpečení heslem, používejte soubor žádosti o certifikát pouze pro účely testování.

      openssl rsa -passin pass:abcdefg -in privkey.pem -out waipio.ca.key

    3. Vytvořte digitální certifikát X.509 ze žádosti o certifikát. Následující příkazový řádek vytvoří certifikát podepsaný soukromým klíčem CA. Certifikát je platný 365 dní.

      openssl x509 -in waipio.ca.cert.csr -out waipio.ca.cert -req -signkey waipio.ca.key -days 365

    4. Vytvořte soubor s kódováním PKCS#12 obsahující certifikát a soukromý klíč. Následující příkazový řádek nastaví heslo souboru P12 na hodnotu default. Produkt Rational Performance Tester používá heslo default standardně pro všechny soubory PKCS#12.

      openssl pkcs12 -passout pass:default -export -nokeys -cacerts -in waipio.ca.cert -out waipio.ca.cert.p12 -inkey waipio.ca.key

    Nyní máte certifikát CA (waipio.ca.cert), který lze nainstalovat na testovaný webový server, a soukromý soubor s klíči (waipio.ca.key), pomocí kterého můžete podepisovat uživatelské certifikáty.
  2. Vytvořte digitální certifikát pro uživatele.
    1. Vytvořte pro daného uživatele soubor CSR. Počáteční heslo nastavte na hodnotu abc. Můžete také poskytnout příslušný subjekt.

      openssl req -passout pass:abc -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=John Smith/emailAddress=smith@abc.ibm.com" -new > johnsmith.cert.csr

    2. Vytvořte soukromý soubor s klíči bez hesla.

      openssl rsa -passin pass:abc -in privkey.pem -out johnsmith.key

    3. Vytvořte pro nového uživatele nový certifikát X.509, digitálně jej podepište pomocí soukromého klíče daného uživatele a certifikujte jej pomocí soukromého klíče CA. Následující příkazový řádek vytvoří certifikát platný po dobu 365 dní.

      openssl x509 -req -in johnsmith.cert.csr -out johnsmith.cert -signkey johnsmith.key -CA waipio.ca.cert -CAkey waipio.ca.key -CAcreateserial -days 365

    4. Volitelné: Vytvořte verzi veřejného klíče kódovanou pomocí DER. Tento soubor obsahuje pouze veřejný klíč, nikoli soukromý klíč. Díky tomu, že neobsahuje soukromý klíč, jej lze sdílet a nemusí být chráněn heslem.

      openssl x509 -in johnsmith.cert -out johnsmith.cert.der -outform DER

    5. Vytvoření souboru kódovaného pomocí PKCS#12. Následující příkazový řádek nastaví heslo souboru P12 na hodnotu default.

      openssl pkcs12 -passout pass:default -export -in johnsmith.cert -out johnsmith.cert.p12 -inkey johnsmith.key

    Opakováním tohoto kroku vytvořte požadovaný počet certifikátů pro účely testování. Zabezpečte přístup k souborům s klíči a až je nebudete potřebovat, je odstraňte. Neodstraňujte soukromý soubor s klíči CA. Soukromý soubor s klíči CA potřebujte k podepisování certifikátů.

Výsledky

Nyní můžete certifikát CA (waipio.ca.cert) nainstalovat do produktu WebSphere. Případně můžete také vytvořit uživatelský certifikát speciálně pro váš webový server a nainstalovat jej do produktu WebSphere.

Uživatelské certifikáty můžete používat jednotlivě pro záznam testů. Chcete-li uživatelské certifikáty (johnsmith.cert.p12) používat během úprav testu a jeho přehrávání, komprimujte je do formátu ZIP, do souboru s příponou .rcs. To vytvoří úložiště digitálních certifikátů. Další informace o úložištích certifikátů viz Vytvoření úložiště digitálních certifikátů. Uživatelské certifikáty můžete také importovat do svého webového prohlížeče, a interaktivně je tak testovat ve vašem prostředí.


Váš názor