Digitális tanúsítvány létrehozása OpenSSL segítségével

Az OpenSSL program segítségével létrehozhat tesztekhez használható digitális tanúsítványokat.

Mielőtt elkezdené

Az OpenSSL az OpenSSL projekt weboldalán érhető el a következő címen: http://www.openssl.org/.

Eljárás

  1. Tanúsítványhatóság (CA) létrehozása. Tesztelés céljából ez a CA egy jól ismert internetes CA, például a VeriSign helyét tölti be. A CA segítségével digitálisan aláírhatja a tesztelésre használt tanúsítványokat.
    1. Adjon meg tanúsítványkérés (CSR) fájlt. A "subject" (-subj) a tanúsítvány felhasználóját írja le. Adjon meg mintaértékeket a példa alapján. Az alábbi parancssor a tanúsítvány jelszavát abcdefg értékre állítja be.

      openssl req -passout pass:abcdefg -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=Rational Performance Tester CA/emailAddress=rpt@abc.ibm.com" -new > waipio.ca.cert.csr

    2. Hozzon létre egy waipio.ca.key nevű kulcsfájlt a privát kulcs tárolására. Ez eltávolítja a jelszóvédelmet a tanúsítványkérés fájljából, így tanúsítvány aláírásakor nem kell minden alkalommal beírni a jelszót. Mivel a jelszóvédelem el van távolítva, a tanúsítványkérés fájlt csak tesztelési célra használja.

      openssl rsa -passin pass:abcdefg -in privkey.pem -out waipio.ca.key

    3. Hozzon létre X.509 digitális tanúsítványt a tanúsítványkérésből. A következő parancssor a CA privát kulccsal aláírt tanúsítványt hoz létre. A tanúsítvány 365 napig érvényes.

      openssl x509 -in waipio.ca.cert.csr -out waipio.ca.cert -req -signkey waipio.ca.key -days 365

    4. Hozzon létre a tanúsítványt és a privát kulcsot tartalmazó PKCS#12 kódolású fájlt. A következő parancssor a P12 fájl jelszavát default értékre állítja be. A Rational Performance Tester alapértelmezés szerint a default jelszót használja minden PKCS#12 fájlhoz.

      openssl pkcs12 -passout pass:default -export -nokeys -cacerts -in waipio.ca.cert -out waipio.ca.cert.p12 -inkey waipio.ca.key

    Most már rendelkezik egy CA tanúsítvánnyal (waipio.ca.cert), ami a tesztelt webkiszolgálóra telepíthető, és egy privát kulcsfájllal (waipio.ca.key), ami a felhasználói tanúsítványok aláírására használható.
  2. Hozzon létre digitális tanúsítványt a felhasználó számára.
    1. Hozzon létre CSR-fájlt a felhasználó számára. A kezdeti jelszót állítsa be abc értékre. Választhatóan adjon meg megfelelő tárgyat.

      openssl req -passout pass:abc -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=John Smith/emailAddress=smith@abc.ibm.com" -new > johnsmith.cert.csr

    2. Hozzon létre egy jelszó nélküli privát kulcsfájlt.

      openssl rsa -passin pass:abc -in privkey.pem -out johnsmith.key

    3. Hozzon létre egy új X.509 tanúsítványt az új felhasználó számára, írja alá digitálisan a felhasználó privát kulcsával, és tanúsítsa azt a CA privát kulccsal. A következő parancssor 365 napig érvényes tanúsítványt hoz létre.

      openssl x509 -req -in johnsmith.cert.csr -out johnsmith.cert -signkey johnsmith.key -CA waipio.ca.cert -CAkey waipio.ca.key -CAcreateserial -days 365

    4. Választható: Hozzon létre DER-kódolású nyilvános kulcsot. Ez a fájl csak a nyilvános kulcsot tartalmazza, a privát kulcsot nem. Mivel nem tartalmazza a privát kulcsot, ez megosztható, és nincs szükség a jelszóval való védelmére.

      openssl x509 -in johnsmith.cert -out johnsmith.cert.der -outform DER

    5. Hozzon létre PKCS#12-kódolású fájlt. A következő parancssor a P12 fájl jelszavát default értékre állítja be.

      openssl pkcs12 -passout pass:default -export -in johnsmith.cert -out johnsmith.cert.p12 -inkey johnsmith.key

    Ismételje meg ezt a lépést a teszteléshez szükséges számú digitális tanúsítvány létrehozásához. Tartsa biztonságos helyen a kulcsfájlokat, és törölje azokat, ha már nincs rájuk szüksége. Ne törölje a CA privát kulcsfájlt. A CA privát kulcsfájlra szüksége lesz a tanúsítványok aláírásához.

Eredmények

Most már telepítheti a CA tanúsítványt (waipio.ca.cert) a WebSphere kiszolgálóra. Választhatóan hozzon létre felhasználói tanúsítványt külön a webkiszolgálóhoz, és telepítse azt a WebSphere kiszolgálóra.

Tesztek rögzítéséhez egyénileg használhat felhasználói tanúsítványokat. A teszt szerkesztése és visszajátszása során felhasználói tanúsítványok (johnsmith.cert.p12) használatához tömörítse azokat ZIP-formátumban és .rcs kiterjesztéssel. Ez digitális tanúsítványtárolót hoz létre. A digitális tanúsítványtárolókkal kapcsolatos további információkat itt talál: Digitális tanúsítványtároló létrehozása. A webböngészőbe is importálhat felhasználói tanúsítványokat, hogy interaktív módon tesztelje azokat a környezetében.


Visszajelzés