Generieren Sie ein LDAP-Client-Zertifikat für die gegenseitige Authentifizierung mit OpenSSL. Die endgültige Ausgabe ist ein PKCS#12-Zertifikat, das in einem Java-Schlüsselspeicher gespeichert ist.
Vorbereitungen
Erforderliche Rolle: admin
Warum und wann dieser Vorgang ausgeführt wird
Weitere Informationen zum Generieren von Zertifikaten finden Sie in der OpenSSL-Dokumentation. Bei diesen Schritten wird davon ausgegangen, dass Sie Zugriff auf OpenSSL haben.
Geben Sie diese Befehle in eine Befehlszeilenschnittstelle ein.
Prozedur
-
Generieren Sie ein selbstsigniertes Client-Zertifikat.
Beispiel: Dieser Befehl erstellt ein Client-Zertifikat test1-cert.crt basierend auf dem privaten Schlüssel test1-key.key.
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout test1-key.key -out test1-cert.crt
-
Konvertieren Sie sowohl die Zertifikatdatei als auch den privaten Schlüssel in PKCS#12 (eine Datei mit der Erweiterung .pfx oder .p12).
Dieser Befehl konvertiert beispielsweise das Client-Zertifikat und den privaten Schlüssel in ein PKCS#12-Zertifikat mit der Bezeichnung test1-certificate.pfx.
openssl pkcs12 -export -out test1-certificate.pfx -inkey test1-key.key -in test1-cert.crt
-
Generieren Sie den Java Key Store, und importieren Sie die pkcs12-Datei darin.
Mit diesem Befehl wird beispielsweise das Zertifikat in den Java-Schlüsselspeicher test1.jks importiert.
keytool -importkeystore -srckeystore test1-certificate.pfx -srcstoretype PKCS12 -destkeystore test1.jks
-
Laden Siedas Zertifikat in die Schlüsselspeicherdatei (
test1.jks) in die Instanz hoch.
Hinweis: Wenn Sie mit einem Zertifikat mit der Erweiterung „.jks“ in eine lokale Instanz hochladen und die Fehlermeldung „Kein gültiges Zertifikat für die Verarbeitung des Anwendungsuploads gefunden“ erhalten, verwenden Sie stattdessen ein Zertifikat mit der Erweiterung „.pfx“.