Red Hat Summit15.2. Geração de chaves de criptografia e certificado
15.2.1. Geração de um certificado auto-assinado com o keytool
Copiar o linkLink copiado para a área de transferência!
15.2.1.1. Geração de um par chave
Copiar o linkLink copiado para a área de transferência!
O comando keytool, parte do JDK, é usado para gerar um novo par chave. O keytool pode tanto adicionar um novo par a um novo armazenamento existente ou criar um novo armazenamento ao mesmo tempo que o par chave.
Este par chave será usado para negociar uma criptografia SSL entre o servidor e clientes remotos. O seguinte procedimento gera um par chave e armazena-o num armazenamento chave chamado
localhost.keystore. Você precisará disponibilizar este armazenamento ao invocador EJB3 no servidor. O par chave na nossa amostra será salvo no armazenamento chave sob o alias 'ejb-ssl'. Nós precisaremos deste alias chave, e a senha do par chave que você fornecerá (se alguma), quando configurando o conector Remoto EJB3 no Crie um conector remoto de segurança para o RMI.
Procedimento 15.1. Gere o novo par chave e adicione-o ao "localhost.keystore" do armazenamento chave no diretório config do servidor do JBoss.
Este procedimento gera um novo par chave para a criptografia SSL.
- O seguinte comando criará um par chave de uso com a criptografia SSL:
keytool -genkey -alias ejb-ssl -keystore localhost.keystore -storepass KEYSTORE_PASSWORD -keypass EJB-SSL_KEYPAIR_PASSWORD -dname "CN=SERVER_NAME,OU=QE,O=example.com,L=Brno,C=CZ"
keytool -genkey -alias ejb-ssl -keystore localhost.keystore -storepass KEYSTORE_PASSWORD -keypass EJB-SSL_KEYPAIR_PASSWORD -dname "CN=SERVER_NAME,OU=QE,O=example.com,L=Brno,C=CZ"Copy to Clipboard Copied! Toggle word wrap Toggle overflow Resultado:Um novo par chave será adicionado ao
localhost.keystorede armazenamento chave sob o aliasejb-ssl.Os parâmetros para este comando podem ser encontrados no Parâmetroskeytool
Parâmetros keytool
- alias
- Um token alfanumérico usado para identificar o par chave com o armazenamento chave. O armazenamento chave pode conter as chaves múltiplas. O alias fornece um significado para exclusivamente identificar um par chave com um armazenamento chave. O alias para um par chave deve ser único com o armazenamento chave.
- keystore
- O par chave que será usado para armazenar o par chave. Isto pode ser um caminho de arquivo absoluto ou relativo.
- storepass
- A senha para um armazenamento chave. Caso o armazenamento chave existir, deverá existir também uma senha para o armazenamento chave. Caso a senha do armazenamento chave especificada não existir ainda, ela poderá ser criada e esta será a nova senha. Esta senha é necessária para acessar o armazenamento chave para recuperar ou armazenar chaves e certificados.
- keypass
- A senha para o novo par chave. Esta senha deve ser fornecida para uso de um par chave no futuro.
- dname
- Os detalhes de identificação do certificado.
- CN
- Nome Comum: o nome do servidor. Ele deve coincidir com o nome do servidor conforme retornado aos clientes numa pesquisa JNDI. Caso um cliente tente realizar uma conexão SSL no servidor usando um nome do JNDI e receber um certificado com um nome diferente, a conexão falhará.
- OU
- Unidade Organizacional: o nome da unidade organizacional que é responsável pelo servidor.
- O
- Organização: O nome da organização, às vezes expressado como um URL.
- L
- Localização: a localização do servidor.
- C
- País: duas letras de código do país
Nota
Armazene os arquivos de armazenamento chave num sistema de arquivo de segurança, de leitura apenas pelo proprietário do processo do Servidor do Aplicativo JBoss, para uma melhor prática de proteção.
Perceba que caso nenhum armazenamento for especificado na linha de comando, o
keytool adiciona o novo armazenamento chave chamado keystore, no diretório principal do usuário atual. Este arquivo de armazenamento chave é um arquivo oculto.
15.2.1.2. Exportação de um certificado auto-assinado
Copiar o linkLink copiado para a área de transferência!
Uma vez que um par chave é gerado ao servidor para uso, um certificado deve ser criado. O Procedimento 15.2, “Exportação de um certificado” descreve os passos de exportação da chave
ejb-ssl a partir do armazenamento chave nomeado localhost.keystore.
Procedimento 15.2. Exportação de um certificado
Este procedimento exporta um certificado a partir de um armazenamento chave num arquivo.
- Emita o seguinte comando:
keytool -export -alias ejb-ssl -file mycert.cer -keystore localhost.keystore
keytool -export -alias ejb-ssl -file mycert.cer -keystore localhost.keystoreCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Insira a senha do armazenamento chaveResultado:
O certificado é exportado ao
mycert.cerdo arquivo.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}