可使用 OpenSSL 程序来创建用于测试的数字证书。
过程
- 创建认证中心 (CA)。 出于测试目的,该 CA 代替了因特网上公认的 CA(例如 VeriSign)。您使用该 CA 以数字方式签署您计划用于测试的每个证书。
- 创建证书请求 (CSR) 文件。“主题”(-subj) 描述了证书的用户。如下所示输入哑元值。以下命令行将证书的密码设置为 abcdefg。
openssl req -passout pass:abcdefg -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=Rational
Performance Tester CA/emailAddress=rpt@abc.ibm.com" -new
> waipio.ca.cert.csr
- 创建密钥文件 waipio.ca.key 来存储专用密钥。 这将从证书请求文件除去密码保护,这样就无需在每次签署证书时都输入密码。由于已除去密码保护,请将证书请求文件仅用于测试目的。
openssl
rsa -passin pass:abcdefg -in privkey.pem -out waipio.ca.key
- 从证书请求创建 X.509 数字证书。以下命令行创建通过 CA 专用密钥签署的证书。证书有效期为 365 天。
openssl x509 -in waipio.ca.cert.csr -out waipio.ca.cert
-req -signkey waipio.ca.key -days 365
- 创建包含证书和专用密钥的 PKCS#12 编码文件。以下命令行将 P12 文件上的密码设置为 default。缺省情况下,Rational® Performance Tester 对所有 PKCS#12 文件使用密码 default。
openssl pkcs12
-passout pass:default -export -nokeys -cacerts -in waipio.ca.cert
-out waipio.ca.cert.p12 -inkey waipio.ca.key
您现在拥有一个可安装到受测试 Web 服务器的 CA 证书 (waipio.ca.cert) 以及一个可用于签署用户证书的专用密钥文件 (waipio.ca.key)。
- 为用户创建数字证书。
- 为用户创建 CSR 文件。将初始密码设置为 abc。(可选)提供合适的主题。
openssl req -passout pass:abc -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM
Software Group/CN=John Smith/emailAddress=smith@abc.ibm.com" -new > johnsmith.cert.csr
- 创建没有密码的专用密钥文件。
openssl rsa -passin pass:abc -in privkey.pem -out johnsmith.key
- 为新用户创建新的 X.509 证书,使用该用户的专用密钥以数字方式对其进行签署,并使用 CA 专用密钥对其进行认证。以下命令行创建有效期为 365 天的证书。
openssl x509 -req
-in johnsmith.cert.csr -out johnsmith.cert -signkey johnsmith.key
-CA waipio.ca.cert -CAkey waipio.ca.key -CAcreateserial -days 365
- 可选: 创建公用密钥的 DER 编码版本。该文件仅包含公用密钥,而不包含专用密钥。由于它不包含专用密钥,因此它可以共享,而且不需要受密码保护。
openssl x509 -in johnsmith.cert -out johnsmith.cert.der -outform
DER
- 创建 PKCS#12 编码的文件。以下命令行将 P12 文件上的密码设置为 default。
openssl pkcs12 -passout pass:default
-export -in johnsmith.cert -out johnsmith.cert.p12 -inkey johnsmith.key
重复该步骤以创建测试所需的任意数量的数字证书。确保密钥文件安全,当不再需要密钥文件时将其删除。请勿删除 CA 专用密钥文件。您需要 CA 专用密钥文件来签署证书。
结果
现在您可将 CA 证书 (waipio.ca.cert) 安装到 WebSphere®。(可选)专门为您的 Web 服务器创建用户证书,并将其安装到 WebSphere 中。
可单独使用用户证书来记录测试。要在测试编辑和回放期间使用用户证书 (johnsmith.cert.p12),请以 ZIP 格式将其压缩为具有 .rcs 扩展名的文件。这将创建数字证书库。要了解关于数字证书库的更多信息,请参阅创建数字证书库。还可以将用户证书导入到 Web 浏览器中,从而在您的环境中以交互方式对它们进行测试。