Tworzenie bazy certyfikatów cyfrowych

Uruchamiany z poziomu wiersza komend program KeyTool umożliwia utworzenie pliku RCS (Rational Certificate Store) zawierającego certyfikaty cyfrowe przeznaczone do używania z testami. Plik RCS (Rational Certificate Store) to skompresowany plik archiwum zawierający co najmniej jeden certyfikat PKCS#12. Do usuwania certyfikatów z bazy certyfikatów można również używać programu KeyTool.

O tym zadaniu

Produkt Rational Performance Tester pełni funkcję proxy rejestrującego wymianę danych między przeglądarką i aplikacją serwera. Jeśli zabezpieczona strona jest rejestrowana za pomocą produktu Rational Performance Tester, przeglądarka uzyskuje certyfikat z delegacją uprawnień produktu.

Procedura

  1. W narzędziu wiersza komend przejdź do katalogu zawierającego program narzędziowy KeyTool. Domyślnie znajduje się on w następującym położeniu: C:\Program Files\IBM\SDP\jdk\jre\bin.
  2. Wpisz następującą komendę:

    keytool.exe -genkeypair -alias nazwa_certyfikatu -keystore nazwa_magazynu_kluczy -storepass hasło -validity 365 -keyalg RSA -keysize 2048 -storetype pkcs12

    Więcej informacji o parametrach dotyczących generowania certyfikatów można znaleźć w oficjalnej dokumentacji programu KeyTool http://docs.oracle.com/javase/6/docs/technotes/tools/solaris/keytool.html?cm_mc_uid=73131314022614726114038&cm_mc_sid_50200000=1473502911#genkeypairCmd.

    Opcja Opis
    -genkeypair Służy do generowania kluczy publicznych i prywatnych w celu utworzenia par kluczy.
    -alias Alias certyfikatu w magazynie kluczy. Możliwe, że nie zostanie on nigdy użyty, jednak wszystkie nowe certyfikaty w magazynie kluczy muszą mieć własny alias.
    -keystore Nazwa pliku magazynu kluczy, który zostanie wygenerowany w wyniku wykonania komendy. Plik zawiera certyfikat i odpowiadający mu klucz prywatny. Ten magazyn kluczy może zostać ponownie użyty do wygenerowania kolejnych certyfikatów. Jeden magazyn kluczy może zawierać wiele certyfikatów.
    -storepass

    Hasło zabezpieczające plik magazynu kluczy. Należy podać je za każdym razem, gdy użytkownik podpisuje dokument.

    -validity Liczba dni, w ciągu których certyfikat jest ważny. Możesz wybrać wartość większą niż 365.
    -keyalg Algorytm, który generuje klucze szyfrujące odpowiadające certyfikatowi. Dostępne wartości to RSA i DSA.
    -keysize Długość kluczy szyfrujących. Im dłuższy klucz, tym bezpieczniejszy podpis.
    -storetype Format pliku magazynu kluczy. Magazyny kluczy PKCS#12 (PFX) są rozpoznawane przez wiele innych programów, a pliki PKCS#12 można importować do magazynu kluczy systemu Windows (należy dwukrotnie kliknąć magazyn kluczy i postępować zgodnie z podanymi instrukcjami).
  3. Podczas generowania certyfikatu zostanie wyświetlona prośba o podanie informacji o użytkowniku. Wprowadź wymagane informacje.Narzędzie wiersza komend
  4. Jeśli podczas używania magazynu kluczy zostanie wyświetlona prośba o podanie hasła, podaj to samo hasło, które zostało wprowadzone w wierszu komend. Plik magazynu kluczy (.pfx) został zapisany w bieżącym katalogu.

Wyniki

Dostępna jest baza certyfikatów cyfrowych, której można używać z testami. Ponieważ program KeyTool oferuje wiele opcji, może zaistnieć potrzeba utworzenia aliasu lub pliku skryptowego, które będą używane do wywoływania programu KeyTool. Użyj programu KeyTool, aby utworzyć i dodać wymaganą liczbę certyfikatów cyfrowych. Aby utworzyć pulę danych nazw certyfikatów w bazie certyfikatów, użyj ponownie narzędzia KeyTool z opcją -list. Spowoduje to zapisanie listy nazw, którą można następnie zaimportować do puli danych.

Co dalej

Przed rozpoczęciem rejestrowania aplikacji, która wymaga certyfikacji klienta, zaimportuj certyfikat do projektu Rational Performance Tester. Więcej informacji na temat importowania certifikatów i rejestrowania testów zawiera temat Rejestrowanie testu.

Utworzenie bazy certyfikatów nie wymaga używania programu KeyTool uruchamianego z poziomu wiersza komend. Możliwe jest używanie istniejących certyfikatów PKCS#12 w produkcie Rational Performance Tester. Certyfikaty PKCS#12 można wyeksportować z przeglądarki WWW. Certyfikaty PKCS#12 umożliwiają zakodowanie klucza prywatnego w certyfikacie przy użyciu hasła.

Uwaga: Nie należy używać certyfikatów powiązanych z rzeczywistymi użytkownikami. Certyfikaty powiązane z rzeczywistymi użytkownikami zawierają klucze prywatne, które nie powinny zostać ujawnione nikomu poza właścicielem certyfikatu ani nie powinny być dostępne dla innych osób. Intruz, który uzyskałby dostęp do bazy certyfikatów, miałby dostęp do kluczy prywatnych wszystkich certyfikatów w bazie. Z tego powodu należy utworzyć certyfikaty podpisane przez odpowiedni ośrodek certyfikacji (certificate authority - CA), ale niepowiązane z rzeczywistymi użytkownikami (lub zlecić utworzenie takich certyfikatów).

Opinia