Anweisung für die Erstellung selbst signierter Zertifikate für IBM Cloud Cost and Asset Management

Für die Erstellung von Zertifikaten benötigte Tools

openssl
keytool

Voraussetzung

1) Erstellen Sie in dem Ordner, in dem Zertifikate und Schlüssel erstellt werden sollen, einen Ordner mithilfe des folgenden Befehls:

           mkdir -p demoCA/newcerts

2) Erstellen Sie im oben erstellten Verzeichnis 'demoCA' mit dem folgenden Befehl die Datei index.txt.

           touch demoCA/index.txt

Schritte zum Generieren von Zertifikaten

Gehen Sie wie folgt vor, um mit OpenSSL ein selbst signiertes SSL-Zertifikat zu generieren:

1) rooCA erstellen (wird ohne Kennphrase erstellt)

  a) rootCA-Schlüssel und rootCA-Anforderung generieren.

        openssl req -new -keyout rootCAkey.pem -out rootCAreq.pem -nodes

  b) rootCAcert-Zertifikat generieren, das in weiterführenden Schritten verwendet wird.

        openssl ca -create_serial -out rootCAcert.pem -days 1095 -batch -keyfile rootCAkey.pem -selfsign -extensions  
           v3_ca -infiles rootCAreq.pem

2) Mittel-CA generieren

  a) CAKey und CAreq generieren

         openssl req -new -keyout CAkey.pem -out CAreq.pem -days 365 -nodes

  b) CAcert-Zertifikat auf Basis von rooCA-Schlüssel und rootCA-Zertifikat (in Schritt 1 generiert) generieren.

         openssl ca -cert rootCAcert.pem -keyfile rootCAkey.pem -policy policy_anything -out CAcert.pem -extensions
         v3_ca -infiles CAreq.pem

3) Endgültige Zertifikate erstellen

  a) Zertifikatsschlüssel und Zertifikatsanforderung generieren.

         openssl req -new -keyout certkey.pem -out certreq.pem -days 365 -subj "SUBJ" -nodes

    Im obigen Befehl kann SUBJ ähnlich aussehen wie: "/C=Country/ST=State/O=Organization/OU=Organization
    Unit/CN=Common Name" . Geben Sie die Details entsprechend ein.

  b) Erstellen Sie das Zertifikat basierend auf einer wie oben generierten Zertifikatsanforderung.

        openssl ca -cert CAcert.pem -keyfile CAkey.pem -policy policy_anything -out cert.pem -infiles certreq.pem

4) Schlüssel, Zertifikat und rootCA-Datei umbenennen:

a) mv cert.pem maria_dev.crt

b) mv certkey.pem maria_dev.key

c) cat rootCAcert.pem CAcert.pem > rootCA.pem

Um die Zertifikate zu prüfen, führen Sie folgenden Befehl aus:

    openssl verify -CAfile rootCA.pem maria_dev.crt

Die Antwort sieht für eine erfolgreiche Prüfung wie folgt aus:

    maria_dev.crt: OK

5) Verwenden Sie für grav.crt und grav.key (erforderlich) dasselbe Zertifikat und denselben Schlüssel, das/der für
IBM Cloud Management Platform erstellt wurde.

6) Generieren von cloudMatrix.keystore

a) Erstellen Sie mit folgendem Befehl einen Java-Keystore:

   keytool -genkey -alias "cloudMatrix" -keyalg RSA -keystore cloudMatrix.keystore -validity 10950

   Anmerkung: Notieren Sie sich das eingegebene Kennwort, da es später in die Datei [](https://www.ibm.com/support/knowledgecenter/SSMPHF/pre_ccam_properties.html) eingegeben werden muss.

b) Datenbank-CA-Zertifikat in Keystore importieren:

   keytool -import –alias mariadevCA -file rootCA.pem -keystore cloudMatrix.keystore