Создание хранилища цифровых сертификатов

Программа командной строки KeyTool позволяет создавать файл Rational Certificate Store (RCS), содержащий используемые в тестах цифровые сертификаты. Файл Rational Certificate Store (RCS) - это сжатый архив, который содержит сертификаты PKCS#12. Та же программа KeyTool позволяет удалять сертификаты из хранилища сертификатов.

Процедура

  1. Введите следующую команду:

    java RPT_HOME\jdk\jre\bin keytool.exe --store=file --passphrase=certificate-passphrase --add --remove --generate --cert=certificate-name --subject=subject-name --ca-store=store --ca-cert=ca-certificate-name --ca-passphrase=ca-certificate-passphrase --sign --self-sign --algorithm=algorithm {RSA | DSA} --list

    Если в каком-либо значении есть пробелы, заключите его в кавычки. RPT_HOME - это обычный установочный каталог. В 64-разрядной системе Windows по умолчанию применяется каталог C:\Program Files\IBM\SDP\jdk\jre\bin.
    Опция Описание
    --store Обязательный параметр для добавления или удаления сертификата. Это имя файла Rational Certificate Store (RCS). Если указанное хранилище сертификатов не имеет расширения RCS, расширение будет добавлено.
    --passphrase Необязательный параметр. Пароль, который будет назначен созданному сертификату. Стандартный пароль: default.
    --add Необязательный параметр. Добавляет сертификат в хранилище сертификатов. В комбинации с параметром --generate создает сертификат и добавляет его в хранилище сертификатов.
    --remove Необязательный параметр. Удаляет сертификат из хранилища сертификатов. Не может быть использован вместе с параметром --add или --generate.
    --generate Необязательный параметр. Создает сертификат. В комбинации с параметром --add создает сертификат и добавляет его в хранилище сертификатов.
    --cert Обязательный параметр. Имя добавляемого, удаляемого или создаваемого файла сертификата. При создании сертификата к имени файла добавляется расширение P12.
    --subject Необязательный параметр. Отличительное имя X.500 сертификата. Если субъект не указан, применяется субъект по умолчанию. Дополнительная информация о субъектах приведена в разделе Обзор создания цифровых сертификатов.
    --ca-store Обязательный параметр для подписи сертификата. Это имя файла Rational Certificate Store (RCS), из которого будет получен сертификат CA.
    --ca-cert Обязательный параметр для подписи сертификата. Имя файла сертификата CA, используемого для подписи другого сертификата.
    --ca-passphrase Обязательный параметр для подписи сертификата. Пароль для сертификата CA.
    --sign Необязательный параметр. Подписывает созданный сертификат при помощи указанного сертификата CA. Не может быть использован вместе с параметром --self-sign.
    --self-sign Необязательный параметр. Подписание созданного сертификата его создателем. Не может быть использован вместе с параметром --sign.
    --algorithm Необязательный параметр. Определяет используемый алгоритм шифрования. Значение по умолчанию: RSA. Допустимые значения: RSA и DSA.
    --list Необязательный параметр. Распечатывает имена всех сертификатов в хранилище сертификата в стандартном выводе. Этот список может быть использован для создания пула данных.
  2. Количество цифровых сертификатов, создаваемых или добавляемых при помощи команды KeyTool, не ограничено. Для создания пула данных, содержащего имена сертификатов из хранилища сертификатов, повторите команду KeyTool с параметром --list. Будет записан список имен, которые могут быть импортированы в пул данных.

Результаты

Создано хранилище цифровых сертификатов, которое может быть использовано с тестами. Программа KeyTool имеет много параметров, поэтому для ее вызова рекомендуется создать псевдоним или файл сценария.

Создавать хранилище сертификатов при помощи программы командной строки KeyTool не обязательно. Можно использовать существующие сертификаты PKCS#12 в Rational Performance Tester. Сертификаты PKCS#12 можно экспортировать из веб-браузера. Сертификаты PKCS#12 зашифровывают закрытый ключ в сертификате при помощи пароля.

Прим.: Не рекомендуется использовать сертификаты, связанные с реальными пользователями. Сертификаты, связанные с реальными пользователями, содержат закрытые ключи, которые могут быть известны или доступны только владельцу сертификата. Злоумышленник, которому удастся получить доступ к хранилищу сертификатов, будет иметь доступ к закрытым ключам всех сертификатов хранилища. Поэтому создаваемые сертификаты должны быть подписаны соответствующей сертификатной организацией (CA), но не должны быть связаны с реальными пользователями.

Комментарии