Do tworzenia certyfikatów cyfrowych,
które mają być używane w testach, można używać programu OpenSSL.
Procedura
- Utwórz ośrodek certyfikacji. Na potrzeby testowania ten ośrodek certyfikacji zastępuje uznany
ośrodek certyfikacji w Internecie, na przykład VeriSign. Służy on do
cyfrowego podpisywania każdego certyfikatu, który ma być używany na potrzeby
testowania.
- Utwórz plik CSR. Podmiot (-subj) określa użytkownika certyfikatu. Wprowadź fikcyjne wartości, tak jak pokazano. W poniższym wierszu komend przedstawiono
sposób ustawienia hasła abcdefg dla certyfikatu.
openssl req -passout
pass:abcdefg -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=Rational
Performance Tester CA/emailAddress=rpt@abc.ibm.com" -new
> waipio.ca.cert.csr
- Utwórz plik kluczy waipio.ca.key, aby przechowywać
klucz prywatny. Spowoduje to usunięcie zabezpieczenia hasłem z pliku żądania certyfikatu,
dzięki czemu nie trzeba wpisywać hasła przy każdym podpisywaniu certyfikatu. Ponieważ
zabezpieczenie hasłem zostało usunięte, pliku żądania certyfikatu należy
używać tylko na potrzeby testowania.
openssl
rsa -passin pass:abcdefg -in privkey.pem -out waipio.ca.key
- Utwórz certyfikat cyfrowy X.509 na podstawie żądania certyfikatu. W poniższym wierszu komend przedstawiono
sposób tworzenia certyfikatu podpisanego za pomocą klucza prywatnego ośrodka
certyfikacji. Certyfikat jest ważny przez 365 dni.
openssl x509 -in waipio.ca.cert.csr -out waipio.ca.cert
-req -signkey waipio.ca.key -days 365
- Utwórz plik zaszyfrowany przy użyciu formatu PKCS#12 zawierający
certyfikat i klucz prywatny. W poniższym wierszu komend przedstawiono
sposób ustawienia hasła default w pliku P12. W
produkcie Rational Performance Tester
hasło default jest używane domyślnie w przypadku
wszystkich plików PKCS#12.
openssl pkcs12
-passout pass:default -export -nokeys -cacerts -in waipio.ca.cert
-out waipio.ca.cert.p12 -inkey waipio.ca.key
Teraz dostępny jest certyfikat ośrodka certyfikacji
(waipio.ca.cert), który można zainstalować na
testowanym serwerze WWW, oraz plik klucza prywatnego
(waipio.ca.key), którego można używać do podpisywania
certyfikatów użytkownika.
- Utwórz certyfikat cyfrowy dla użytkownika.
- Utwórz plik CSR dla użytkownika. Jako hasło początkowe ustaw abc. Opcjonalnie
podaj odpowiedni podmiot.
openssl req -passout pass:abc -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM
Software Group/CN=Jan Nowak/emailAddress=nowak@abc.ibm.com" -new >
jannowak.cert.csr
- Utwórz klucz prywatny bez hasła.
openssl rsa -passin pass:abc -in privkey.pem -out jannowak.key
- Utwórz nowy certyfikat X.509 dla nowego użytkownika, podpisz go cyfrowo
przy użyciu klucza prywatnego użytkownika i certyfikuj go za pomocą klucza
prywatnego ośrodka certyfikacji. W poniższym wierszu komend przedstawiono
sposób tworzenia certyfikatu, który jest ważny przez 365 dni.
openssl x509 -req
-in jannowak.cert.csr -out jannowak.cert -signkey jannowak.key
-CA waipio.ca.cert -CAkey waipio.ca.key -CAcreateserial -days 365
- Opcjonalne: Utwórz wersję klucza publicznego zakodowaną przy użyciu kodowania DER. Ten plik zawiera tylko klucz publiczny i nie zawiera klucza prywatnego. Ponieważ
nie zawiera on klucza prywatnego, może być on współużytkowany i nie musi
być chroniony hasłem.
openssl x509 -in jannowak.cert -out jannowak.cert.der -outform
DER
- Utwórz plik zakodowany przy użyciu formatu PKCS#12. W poniższym wierszu komend przedstawiono
sposób ustawienia hasła default w pliku P12.
openssl pkcs12 -passout pass:default
-export -in jannowak.cert -out jannowak.cert.p12 -inkey jannowak.key
Ten krok należy powtórzyć, aby utworzyć dowolną liczbę certyfikatów
cyfrowych na potrzeby testowania. Pliki kluczy należy zabezpieczyć i usunąć je, gdy nie będą już potrzebne. Nie należy usuwać pliku klucza prywatnego ośrodka
certyfikacji. Plik klucza prywatnego ośrodka certyfikacji jest potrzebny do
podpisywania certyfikatów.
Wyniki
Teraz można zainstalować certyfikat ośrodka certyfikacji
(waipio.ca.cert) w
produkcie WebSphere. Opcjonalnie
można utworzyć certyfikat użytkownika przeznaczony dla serwera WWW i
zainstalować go w produkcie WebSphere.
Certyfikatów
użytkownika można używać pojedynczo do rejestrowania testów. Aby używać
certyfikatów użytkownika (jannowak.cert.p12) podczas
edytowania i odtwarzania testów, należy je skompresować do formatu ZIP w pliku
z rozszerzeniem .rcs. Spowoduje to utworzenie bazy certyfikatów cyfrowych. Więcej informacji na temat baz certyfikatów cyfrowych
zawiera sekcja Tworzenie bazy certyfikatów cyfrowych. Certyfikaty użytkowników
można również zaimportować do przeglądarki WWW w celu ich interaktywnego
przetestowania w środowisku użytkownika.