Tworzenie certyfikatu cyfrowego przy użyciu programu OpenSSL

Do tworzenia certyfikatów cyfrowych, które mają być używane w testach, można używać programu OpenSSL.

Zanim rozpoczniesz

Program OpenSSL jest dostępny w serwisie http://www.openssl.org/.

Procedura

  1. Utwórz ośrodek certyfikacji. Na potrzeby testowania ten ośrodek certyfikacji zastępuje uznany ośrodek certyfikacji w Internecie, na przykład VeriSign. Służy on do cyfrowego podpisywania każdego certyfikatu, który ma być używany na potrzeby testowania.
    1. Utwórz plik CSR. Podmiot (-subj) określa użytkownika certyfikatu. Wprowadź fikcyjne wartości, tak jak pokazano. W poniższym wierszu komend przedstawiono sposób ustawienia hasła abcdefg dla certyfikatu.

      openssl req -passout pass:abcdefg -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=Rational Performance Tester CA/emailAddress=rpt@abc.ibm.com" -new > waipio.ca.cert.csr

    2. Utwórz plik kluczy waipio.ca.key, aby przechowywać klucz prywatny. Spowoduje to usunięcie zabezpieczenia hasłem z pliku żądania certyfikatu, dzięki czemu nie trzeba wpisywać hasła przy każdym podpisywaniu certyfikatu. Ponieważ zabezpieczenie hasłem zostało usunięte, pliku żądania certyfikatu należy używać tylko na potrzeby testowania.

      openssl rsa -passin pass:abcdefg -in privkey.pem -out waipio.ca.key

    3. Utwórz certyfikat cyfrowy X.509 na podstawie żądania certyfikatu. W poniższym wierszu komend przedstawiono sposób tworzenia certyfikatu podpisanego za pomocą klucza prywatnego ośrodka certyfikacji. Certyfikat jest ważny przez 365 dni.

      openssl x509 -in waipio.ca.cert.csr -out waipio.ca.cert -req -signkey waipio.ca.key -days 365

    4. Utwórz plik zaszyfrowany przy użyciu formatu PKCS#12 zawierający certyfikat i klucz prywatny. W poniższym wierszu komend przedstawiono sposób ustawienia hasła default w pliku P12. W produkcie Rational Performance Tester hasło default jest używane domyślnie w przypadku wszystkich plików PKCS#12.

      openssl pkcs12 -passout pass:default -export -nokeys -cacerts -in waipio.ca.cert -out waipio.ca.cert.p12 -inkey waipio.ca.key

    Teraz dostępny jest certyfikat ośrodka certyfikacji (waipio.ca.cert), który można zainstalować na testowanym serwerze WWW, oraz plik klucza prywatnego (waipio.ca.key), którego można używać do podpisywania certyfikatów użytkownika.
  2. Utwórz certyfikat cyfrowy dla użytkownika.
    1. Utwórz plik CSR dla użytkownika. Jako hasło początkowe ustaw abc. Opcjonalnie podaj odpowiedni podmiot.

      openssl req -passout pass:abc -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=Jan Nowak/emailAddress=nowak@abc.ibm.com" -new > jannowak.cert.csr

    2. Utwórz klucz prywatny bez hasła.

      openssl rsa -passin pass:abc -in privkey.pem -out jannowak.key

    3. Utwórz nowy certyfikat X.509 dla nowego użytkownika, podpisz go cyfrowo przy użyciu klucza prywatnego użytkownika i certyfikuj go za pomocą klucza prywatnego ośrodka certyfikacji. W poniższym wierszu komend przedstawiono sposób tworzenia certyfikatu, który jest ważny przez 365 dni.

      openssl x509 -req -in jannowak.cert.csr -out jannowak.cert -signkey jannowak.key -CA waipio.ca.cert -CAkey waipio.ca.key -CAcreateserial -days 365

    4. Opcjonalne: Utwórz wersję klucza publicznego zakodowaną przy użyciu kodowania DER. Ten plik zawiera tylko klucz publiczny i nie zawiera klucza prywatnego. Ponieważ nie zawiera on klucza prywatnego, może być on współużytkowany i nie musi być chroniony hasłem.

      openssl x509 -in jannowak.cert -out jannowak.cert.der -outform DER

    5. Utwórz plik zakodowany przy użyciu formatu PKCS#12. W poniższym wierszu komend przedstawiono sposób ustawienia hasła default w pliku P12.

      openssl pkcs12 -passout pass:default -export -in jannowak.cert -out jannowak.cert.p12 -inkey jannowak.key

    Ten krok należy powtórzyć, aby utworzyć dowolną liczbę certyfikatów cyfrowych na potrzeby testowania. Pliki kluczy należy zabezpieczyć i usunąć je, gdy nie będą już potrzebne. Nie należy usuwać pliku klucza prywatnego ośrodka certyfikacji. Plik klucza prywatnego ośrodka certyfikacji jest potrzebny do podpisywania certyfikatów.

Wyniki

Teraz można zainstalować certyfikat ośrodka certyfikacji (waipio.ca.cert) w produkcie WebSphere. Opcjonalnie można utworzyć certyfikat użytkownika przeznaczony dla serwera WWW i zainstalować go w produkcie WebSphere.

Certyfikatów użytkownika można używać pojedynczo do rejestrowania testów. Aby używać certyfikatów użytkownika (jannowak.cert.p12) podczas edytowania i odtwarzania testów, należy je skompresować do formatu ZIP w pliku z rozszerzeniem .rcs. Spowoduje to utworzenie bazy certyfikatów cyfrowych. Więcej informacji na temat baz certyfikatów cyfrowych zawiera sekcja Tworzenie bazy certyfikatów cyfrowych. Certyfikaty użytkowników można również zaimportować do przeglądarki WWW w celu ich interaktywnego przetestowania w środowisku użytkownika.


Opinia