Vous pouvez utiliser
le programme OpenSSL pour créer des certificats numériques pour utilisation avec des tests.
Pourquoi et quand exécuter cette tâche
Pour créer un certificat numérique avec OpenSSL, procédez comme suit :
Procédure
- Créez une autorité de certification (CA). Pour les tests, cette autorité de certification prend la place d'une autorité de certification reconnue sur Internet, telle VeriSign. Cette autorité de certification permet de signer numériquement chaque certificat que vous envisagez d'utiliser pour les tests.
- Créez un fichier de demande de certificat (CSR). Le "sujet" (-subj) décrit l'utilisateur du certificat. Entrez
des valeurs, comme cela est présenté. La ligne de commande suivante définit le mot de passe pour le certificat en abcdefg.
openssl req -passout pass:abcdefg -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=Rational Performance Tester CA/emailAddress=rpt@abc.ibm.com" -new > waipio.ca.cert.csr
- Créez un fichier de clés, waipio.ca.key, dans lequel stocker la clé privée. Cela permet de retirer la protection par mot de passe du fichier de demande de certificat. Il n'est donc
pas nécessaire d'entrer le mot de passe à chaque signature de certificat. Etant donné que la protection par mot
de passe a été retirée, utilisez le fichier de demande de certificat à des fins de tests uniquement.
openssl rsa -passin pass:abcdefg -in privkey.pem -out waipio.ca.key
- Créez un certificat numérique X.509 à partir de la demande de certificat. La ligne de commande suivante crée
un certificat signé à l'aide de la clé privée CA. Le certificat est valide pendant 365 jours.
openssl x509 -in waipio.ca.cert.csr -out waipio.ca.cert -req -signkey waipio.ca.key -days 365
- Créez un fichier codé PKCS#12 contenant le certificat et la clé privée. La ligne de commande suivante
définit le mot de passe sur le fichier P12 en valeur par défaut. Rational Performance Tester utilise
le mot de passe valeur par défaut pour tous les fichiers PKCS#12 par défaut.
openssl pkcs12 -passout pass:default -export -nokeys -cacerts -in waipio.ca.cert -out waipio.ca.cert.p12 -inkey waipio.ca.key
Vous disposez maintenant d'un certificat CA (waipio.ca.cert), qui peut être installé sur le serveur
Web sous test et un fichier de clés privées (waipio.ca.key) que vous pouvez utiliser pour signer des certificats utilisateur.
- Créez un certificat numérique pour un utilisateur.
- Créez un fichier CSR pour l'utilisateur. Définissez le mot de passe d'origine en abc. Vous pouvez
également indiquer un sujet approprié.
openssl req -passout pass:abc -subj "/C=US/ST=IL/L=Chicago/O=IBM Corporation/OU=IBM Software Group/CN=John Smith/emailAddress=smith@abc.ibm.com" -new > johnsmith.cert.csr
- Créez un fichier de clés privées sans mot de passe.
openssl rsa -passin pass:abc -in privkey.pem -out johnsmith.key
- Créez un certificat X.509 pour le nouvel utilisateur, signez-le numériquement à l'aide de la clé privée de l'utilisateur et
certifiez-le à l'aide de la clé privée CA. La
ligne de commande suivante crée un certificat qui est valide pendant 365 jours.
openssl x509 -req -in johnsmith.cert.csr -out johnsmith.cert -signkey johnsmith.key -CA waipio.ca.cert -CAkey waipio.ca.key -CAcreateserial -days 365
- Facultatif : Créez une version codée DER de la clé publique. Ce fichier contient uniquement la clé publique et non la clé privée. Etant donné qu'il ne contient
pas la clé privée, il peut être partagé et il n'est pas nécessaire de le protéger par mot de passe.
openssl x509 -in johnsmith.cert -out johnsmith.cert.der -outform DER
- Créez un fichier codé PKCS#12. La ligne de commande suivante
définit le mot de passe sur le fichier P12 en valeur par défaut.
openssl pkcs12 -passout pass:default -export -in johnsmith.cert -out johnsmith.cert.p12 -inkey johnsmith.key
Répétez cette procédure pour créer le nombre de certificats numériques nécessaires pour les tests. Conservez les fichiers
de clés sécurisées et supprimez-les lorsqu'ils ne sont plus nécessaires. Ne supprimez pas le fichier de clés privées CA. Vous
devez disposer du fichier de clés privées CA pour signer des certificats.
Résultats
Vous pouvez maintenant installer le certificat CA (waipio.ca.cert)
dans WebSphere. Il est
également possible de créer un certificat utilisateur spécifiquement pour votre serveur Web et de l'installer
dans WebSphere.
Vous pouvez
utiliser des certificats utilisateur individuellement pour enregistrer des tests. Pour utiliser les certificats
utilisateur (johnsmith.cert.p12) lors de l'édition et de la lecture de tests, compressez-les
au format ZIP dans un fichier ayant l'extension .rcs. Cette action permet de créer un espace de stockage de certificats
numériques. Pour plus d'informations sur les espaces de stockage de certificats numériques, voir
Création d'un espace de stockage de certificats numériques.
Vous pouvez également importer des certificats numériques dans votre navigateur
Web pour les tester de façon interactive dans votre environnement.