Generieren Sie ein LDAP-Clientzertifikat für die gegenseitige Authentifizierung mit OpenSSL. Die endgültige Ausgabe ist ein PKCS#12-Zertifikat, das in einem Java-Schlüsselspeicher gespeichert ist.
Vorbereitungen
Erforderliche Rolle: Administrator
Warum und wann dieser Vorgang ausgeführt wird
Siehe OpenSSL-Dokumentation Weitere Informationen zum Generieren von Zertifikaten. Diese Schritte setzen voraus, dass Sie Zugriff auf OpenSSL haben.
Geben Sie diese Befehle in eine Befehlszeilenschnittstelle ein.
Prozedur
-
Generieren Sie ein selbst signiertes Clientzertifikat.
Dieser Befehl erstellt beispielsweise ein Clientzertifikat test1-cert.crt basierend auf dem privaten Schlüssel test1-key.key.
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout test1-key.key -out test1-cert.crt
-
Konvertieren Sie sowohl die Zertifikatdatei als auch den privaten Schlüssel in PKCS#12 (eine Datei mit der Erweiterung .pfx oder .p12).
Dieser Befehl konvertiert beispielsweise das Clientzertifikat und den privaten Schlüssel in ein PKCS#12-Zertifikat namens test1-certificate.pfx.
openssl pkcs12 -export -out test1-certificate.pfx -inkey test1-key.key -in test1-cert.crt
-
Generieren Sie den Java Key Store, und importieren Sie die pkcs12-Datei in ihn.
Dieser Befehl importiert beispielsweise das Zertifikat in den Java-Schlüsselspeicher test1.jks.
keytool -importkeystore -srckeystore test1-certificate.pfx -srcstoretype PKCS12 -destkeystore test1.jks
-
Laden Sie das Zertifikat hoch In der Schlüsselspeicherdatei (
test1.jks ) Zur Instanz.
Hinweis: Wenn Sie ein Zertifikat mit der Erweiterung .jks in eine lokale Instanz hochladen und die Fehlermeldung „kein gültiges Zertifikat zum Verarbeiten des Anwendungs-Uploads gefunden“ erhalten, verwenden Sie stattdessen ein Zertifikat mit der Erweiterung .pfx.