Generieren Sie ein LDAP-Client-Zertifikat für die gegenseitige Authentifizierung mit OpenSSL. Die endgültige Ausgabe ist ein PKCS#12-Zertifikat, das in einem Java-Schlüsselspeicher gespeichert ist.
Vorbereitungen
Erforderliche Rolle: Administrator
Warum und wann dieser Vorgang ausgeführt wird
Weitere Informationen zum Generieren von Zertifikaten finden Sie in der OpenSSL-Dokumentation. Diese Schritte setzen voraus, dass Sie Zugriff auf OpenSSL haben.
Geben Sie diese Befehle in eine Befehlszeilenschnittstelle ein.
Prozedur
-
Generieren Sie ein selbstsigniertes Client-Zertifikat.
Beispiel: Mit diesem Befehl wird das Client-Zertifikat „test1-cert.crt“ basierend auf dem privaten Schlüssel „test1-key.key“ erstellt.
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout test1-key.key -out test1-cert.crt
-
Konvertieren Sie sowohl die Zertifikatdatei als auch den privaten Schlüssel in PKCS#12 (eine Datei mit der Erweiterung „.pfx“ oder „.p12“).
Beispielsweise konvertiert dieser Befehl das Client-Zertifikat und den privaten Schlüssel in ein PKCS#12-Zertifikat mit der Bezeichnung test1-certificate.pfx.
openssl pkcs12 -export -out test1-certificate.pfx -inkey test1-key.key -in test1-cert.crt
-
Generieren Sie den Java Key Store, und importieren Sie die pkcs12-Datei in den Java Key Store.
Beispiel: Dieser Befehl importiert das Zertifikat in den Java-Schlüsselspeicher test1.jks.
keytool -importkeystore -srckeystore test1-certificate.pfx -srcstoretype PKCS12 -destkeystore test1.jks
-
Laden Sie das Zertifikat aus der Schlüsselspeicherdatei (
test1.jks) in die Instanz hoch.
Hinweis: Wenn Sie zum Hochladen in eine lokale Instanz ein Zertifikat mit der Erweiterung „.jks“ verwenden und die Fehlermeldung „Kein gültiges Zertifikat für die Verarbeitung des Anwendungsuploads gefunden“ angezeigt wird, verwenden Sie stattdessen ein Zertifikat mit der Erweiterung „.pfx“.