OpenSSL を使用して相互認証用の LDAP クライアント証明書を生成します。最終的な出力は、Java キーストア内に格納される PKCS#12 証明書です。
このタスクについて
証明書の生成の詳細については、OpenSSL のドキュメントを参照してください。これらの手順では、OpenSSL にアクセスできることを前提としています。
コマンドラインインターフェイスで次のコマンドを入力します。
手順
-
自己署名クライアント証明書を生成します。
たとえば、このコマンドは、test1-key.key 秘密キーに基づいてクライアント証明書 test1-cert.crt を作成します。
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout test1-key.key -out test1-cert.crt
-
証明書ファイルと秘密キーの両方を PKCS#12 (.pfx または .p12 拡張子のファイル) に変換します。
たとえば、このコマンドは、クライアント証明書と秘密キーを test1-certificate.pfx と呼ばれる PKCS#12 証明書に変換します。
openssl pkcs12 -export -out test1-certificate.pfx -inkey test1-key.key -in test1-cert.crt
-
Java キーストアを生成し、pkcs12 ファイルをインポートします。
たとえば、このコマンドは、証明書を test1.jks Java キーストアにインポートします。
keytool -importkeystore -srckeystore test1-certificate.pfx -srcstoretype PKCS12 -destkeystore test1.jks
-
Java キーストアファイル (
test1.jks ) の証明書をインスタンスにアップロードします。
注: .jks 拡張子の証明書を使用してオンプレミスのインスタンスにアップロードしているときに、「アプリケーションのアップロードを処理するための有効な証明書が見つかりません」というメッセージが表示された場合は、.pfx 拡張子の証明書を代わりに使用してください。