通过 OpenSSL 创建数字证书

可使用 OpenSSL 程序来创建用于测试的数字证书。

开始之前

OpenSSL 可从 http://www.openssl.org/ 上的 OpenSSL Project 获取。

过程

  1. 创建认证中心 (CA)。 出于测试目的,该 CA 代替了因特网上公认的 CA(例如 VeriSign)。您使用该 CA 以数字方式签署您计划用于测试的每个证书。
    1. 创建证书请求 (CSR) 文件。“主题”(-subj) 描述了证书的用户。如下所示输入哑元值。以下命令行将证书的密码设置为 abcdefg

      openssl req -passout pass:abcdefg -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=Rational Performance Tester CA/emailAddress=rpt@abc.ibm.com" -new > waipio.ca.cert.csr

    2. 创建密钥文件 waipio.ca.key 来存储专用密钥。 这将从证书请求文件除去密码保护,这样就无需在每次签署证书时都输入密码。由于已除去密码保护,请将证书请求文件仅用于测试目的。

      openssl rsa -passin pass:abcdefg -in privkey.pem -out waipio.ca.key

    3. 从证书请求创建 X.509 数字证书。以下命令行创建通过 CA 专用密钥签署的证书。证书有效期为 365 天。

      openssl x509 -in waipio.ca.cert.csr -out waipio.ca.cert -req -signkey waipio.ca.key -days 365

    4. 创建包含证书和专用密钥的 PKCS#12 编码文件。以下命令行将 P12 文件上的密码设置为 default。缺省情况下,Rational® Performance Tester 对所有 PKCS#12 文件使用密码 default

      openssl pkcs12 -passout pass:default -export -nokeys -cacerts -in waipio.ca.cert -out waipio.ca.cert.p12 -inkey waipio.ca.key

    您现在拥有一个可安装到受测试 Web 服务器的 CA 证书 (waipio.ca.cert) 以及一个可用于签署用户证书的专用密钥文件 (waipio.ca.key)。
  2. 为用户创建数字证书。
    1. 为用户创建 CSR 文件。将初始密码设置为 abc。(可选)提供合适的主题。

      openssl req -passout pass:abc -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=John Smith/emailAddress=smith@abc.ibm.com" -new > johnsmith.cert.csr

    2. 创建没有密码的专用密钥文件。

      openssl rsa -passin pass:abc -in privkey.pem -out johnsmith.key

    3. 为新用户创建新的 X.509 证书,使用该用户的专用密钥以数字方式对其进行签署,并使用 CA 专用密钥对其进行认证。以下命令行创建有效期为 365 天的证书。

      openssl x509 -req -in johnsmith.cert.csr -out johnsmith.cert -signkey johnsmith.key -CA waipio.ca.cert -CAkey waipio.ca.key -CAcreateserial -days 365

    4. 可选: 创建公用密钥的 DER 编码版本。该文件仅包含公用密钥,而不包含专用密钥。由于它不包含专用密钥,因此它可以共享,而且不需要受密码保护。

      openssl x509 -in johnsmith.cert -out johnsmith.cert.der -outform DER

    5. 创建 PKCS#12 编码的文件。以下命令行将 P12 文件上的密码设置为 default

      openssl pkcs12 -passout pass:default -export -in johnsmith.cert -out johnsmith.cert.p12 -inkey johnsmith.key

    重复该步骤以创建测试所需的任意数量的数字证书。确保密钥文件安全,当不再需要密钥文件时将其删除。请勿删除 CA 专用密钥文件。您需要 CA 专用密钥文件来签署证书。

结果

现在您可将 CA 证书 (waipio.ca.cert) 安装到 WebSphere®。(可选)专门为您的 Web 服务器创建用户证书,并将其安装到 WebSphere 中。

可单独使用用户证书来记录测试。要在测试编辑和回放期间使用用户证书 (johnsmith.cert.p12),请以 ZIP 格式将其压缩为具有 .rcs 扩展名的文件。这将创建数字证书库。要了解关于数字证书库的更多信息,请参阅创建数字证书库。还可以将用户证书导入到 Web 浏览器中,从而在您的环境中以交互方式对它们进行测试。


反馈