Création d'un certificat numérique avec OpenSSL

Vous pouvez utiliser le programme OpenSSL pour créer des certificats numériques pour utilisation avec des tests.

Avant de commencer

OpenSSL est disponible à partir du projet OpenSSL à l'adresse http://www.openssl.org/.

Pourquoi et quand exécuter cette tâche

Pour créer un certificat numérique avec OpenSSL, procédez comme suit :

Procédure

  1. Créez une autorité de certification (CA). Pour les tests, cette autorité de certification prend la place d'une autorité de certification reconnue sur Internet, telle VeriSign. Cette autorité de certification permet de signer numériquement chaque certificat que vous envisagez d'utiliser pour les tests.
    1. Créez un fichier de demande de certificat (CSR). Le "sujet" (-subj) décrit l'utilisateur du certificat. Entrez des valeurs, comme cela est présenté. La ligne de commande suivante définit le mot de passe pour le certificat en abcdefg.

      openssl req -passout pass:abcdefg -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=Rational Performance Tester CA/emailAddress=rpt@abc.ibm.com" -new > waipio.ca.cert.csr

    2. Créez un fichier de clés, waipio.ca.key, dans lequel stocker la clé privée. Cela permet de retirer la protection par mot de passe du fichier de demande de certificat. Il n'est donc pas nécessaire d'entrer le mot de passe à chaque signature de certificat. Etant donné que la protection par mot de passe a été retirée, utilisez le fichier de demande de certificat à des fins de tests uniquement.

      openssl rsa -passin pass:abcdefg -in privkey.pem -out waipio.ca.key

    3. Créez un certificat numérique X.509 à partir de la demande de certificat. La ligne de commande suivante crée un certificat signé à l'aide de la clé privée CA. Le certificat est valide pendant 365 jours.

      openssl x509 -in waipio.ca.cert.csr -out waipio.ca.cert -req -signkey waipio.ca.key -days 365

    4. Créez un fichier codé PKCS#12 contenant le certificat et la clé privée. La ligne de commande suivante définit le mot de passe sur le fichier P12 en valeur par défaut. Rational Performance Tester utilise le mot de passe valeur par défaut pour tous les fichiers PKCS#12 par défaut.

      openssl pkcs12 -passout pass:default -export -nokeys -cacerts -in waipio.ca.cert -out waipio.ca.cert.p12 -inkey waipio.ca.key

    Vous disposez maintenant d'un certificat CA (waipio.ca.cert), qui peut être installé sur le serveur Web sous test et un fichier de clés privées (waipio.ca.key) que vous pouvez utiliser pour signer des certificats utilisateur.
  2. Créez un certificat numérique pour un utilisateur.
    1. Créez un fichier CSR pour l'utilisateur. Définissez le mot de passe d'origine en abc. Vous pouvez également indiquer un sujet approprié.

      openssl req -passout pass:abc -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=John Smith/emailAddress=smith@abc.ibm.com" -new > johnsmith.cert.csr

    2. Créez un fichier de clés privées sans mot de passe.

      openssl rsa -passin pass:abc -in privkey.pem -out johnsmith.key

    3. Créez un certificat X.509 pour le nouvel utilisateur, signez-le numériquement à l'aide de la clé privée de l'utilisateur et certifiez-le à l'aide de la clé privée CA. La ligne de commande suivante crée un certificat qui est valide pendant 365 jours.

      openssl x509 -req -in johnsmith.cert.csr -out johnsmith.cert -signkey johnsmith.key -CA waipio.ca.cert -CAkey waipio.ca.key -CAcreateserial -days 365

    4. Facultatif : Créez une version codée DER de la clé publique. Ce fichier contient uniquement la clé publique et non la clé privée. Etant donné qu'il ne contient pas la clé privée, il peut être partagé et il n'est pas nécessaire de le protéger par mot de passe.

      openssl x509 -in johnsmith.cert -out johnsmith.cert.der -outform DER

    5. Créez un fichier codé PKCS#12. La ligne de commande suivante définit le mot de passe sur le fichier P12 en valeur par défaut.

      openssl pkcs12 -passout pass:default -export -in johnsmith.cert -out johnsmith.cert.p12 -inkey johnsmith.key

    Répétez cette procédure pour créer le nombre de certificats numériques nécessaires pour les tests. Conservez les fichiers de clés sécurisées et supprimez-les lorsqu'ils ne sont plus nécessaires. Ne supprimez pas le fichier de clés privées CA. Vous devez disposer du fichier de clés privées CA pour signer des certificats.

Résultats

Vous pouvez maintenant installer le certificat CA (waipio.ca.cert) dans WebSphere. Il est également possible de créer un certificat utilisateur spécifiquement pour votre serveur Web et de l'installer dans WebSphere.

Vous pouvez utiliser des certificats utilisateur individuellement pour enregistrer des tests. Pour utiliser les certificats utilisateur (johnsmith.cert.p12) lors de l'édition et de la lecture de tests, compressez-les au format ZIP dans un fichier ayant l'extension .rcs. Cette action permet de créer un espace de stockage de certificats numériques. Pour plus d'informations sur les espaces de stockage de certificats numériques, voir Création d'un espace de stockage de certificats numériques. Vous pouvez également importer des certificats numériques dans votre navigateur Web pour les tester de façon interactive dans votre environnement.


Retour d'informations