Создание хранилища цифровых сертификатов

Программа командной строки KeyTool позволяет создавать файл Rational Certificate Store (RCS), содержащий используемые в тестах цифровые сертификаты. Файл Rational Certificate Store (RCS) - это сжатый архив, который содержит сертификаты PKCS#12. Та же программа KeyTool позволяет удалять сертификаты из хранилища сертификатов.

Об этой задаче

Rational Performance Tester выполняет роль прокси между браузером и приложением на сервере, обеспечивая регистрацию обмена данными. В случае записи защищенной страницы с помощью Rational Performance Tester браузеру передается промежуточный сертификат продукта.

Процедура

  1. В инструменте командной строки перейдите в каталог, содержащий утилиту Keytool. По умолчанию эта утилита расположена в каталоге C:\Program Files\IBM\SDP\jdk\jre\bin.
  2. Введите следующую команду:

    keytool.exe -genkeypair -alias имя-сертификата -keystore имя-хранилища-ключей -storepass пароль -validity 365 -keyalg RSA -keysize 2048 -storetype pkcs12

    Дополнительная информация о параметрах создания сертификатов приведена в документации по инструменту keytool.

    Опция Описание
    -genkeypair Создание открытого и личного ключей для пары ключей.
    -alias Псевдоним сертификата в хранилище ключей. Он может не использоваться, однако каждый новый сертификат в хранилище ключей должен иметь собственный псевдоним.
    -keystore Имя файла хранилища ключей, создаваемого в результате выполнения этой команды. Оно содержит сертификат и соответствующий личный ключ. Это хранилище ключей можно указывать при создании других сертификатов. Одно хранилище ключей может содержать несколько сертификатов.
    -storepass

    Пароль файла хранилища ключей. Пароль запрашивается каждый раз при подписании документов.

    -validity Срок действия сертификата в днях. Можно ввести значение больше 365.
    -keyalg Алгоритм создания криптографических ключей для сертификата. Можно использовать ключи RSA или DSA.
    -keysize Длина криптографических ключей. Чем больше длина, тем надежней подпись.
    -storetype Формат файла хранилища ключей. Хранилища ключей PKCS#12 (PFX) поддерживаются множеством программ. Кроме того, файл PKCS#12 можно импортировать в хранилище ключей Windows (дважды щелкните на нем и следуйте инструкциям).
  3. В процессе создания сертификата может запрашиваться различная информация. Введите требуемую информацию. Инструмент командной строки
  4. Если при обращении к хранилищу ключей будет запрошен пароль, введите пароль, указанный в командной строке. Файл хранилища ключей (.pfx) сохранен в текущем каталоге.

Результаты

Создано хранилище цифровых сертификатов, которое может быть использовано с тестами. Программа KeyTool имеет много параметров, поэтому для ее вызова рекомендуется создать псевдоним или файл сценария. Количество цифровых сертификатов, создаваемых или добавляемых при помощи команды KeyTool, не ограничено. Для создания пула данных, содержащего имена сертификатов из хранилища сертификатов, повторите команду KeyTool с параметром -list. Будет записан список имен, которые могут быть импортированы в пул данных.

Дальнейшие действия

Перед тем как приступить к записи приложения, требующего сертификат клиента, импортируйте сертификат в проект Rational Performance Tester. Дополнительная информация об импорте сертификата и записи теста приведена в разделе Запись теста.

Создавать хранилище сертификатов при помощи программы командной строки KeyTool не обязательно. Можно использовать существующие сертификаты PKCS#12 в Rational Performance Tester. Сертификаты PKCS#12 можно экспортировать из веб-браузера. Сертификаты PKCS#12 зашифровывают закрытый ключ в сертификате при помощи пароля.

Прим.: Не рекомендуется использовать сертификаты, связанные с реальными пользователями. Сертификаты, связанные с реальными пользователями, содержат закрытые ключи, которые могут быть известны или доступны только владельцу сертификата. Злоумышленник, которому удастся получить доступ к хранилищу сертификатов, будет иметь доступ к закрытым ключам всех сертификатов хранилища. Поэтому создаваемые сертификаты должны быть подписаны соответствующей сертификатной организацией (CA), но не должны быть связаны с реальными пользователями.

Комментарии