Privaten Keystore und Truststore mit selbst signierten Zertifikaten erstellen

Sie können die TLS-Verschlüsselung der Kommunikation zwischen einer Quelle und einem Ziel aktivieren, indem Sie selbst signierte Zertifikate verwenden.

In diesem Fall gibt es keine zentrale Zertifizierungsstelle und jeder Server muss den Zertifikaten des anderen Servers vertrauen. In dieser Prozedur werden Befehle verwendet, die mit CDC Replicationgeliefert werden. Sie können auch Tools anderer Anbieter wie 'openssl' verwenden. In dieser Prozedur wird keytoolverwendet, das sich unter installation_directory/jre64/jre/binbefindet.

Jeder Server benötigt einen privaten Schlüssel und ein selbst signiertes Zertifikat. Mit dem Befehl keytool -genkeypair können Sie einen privaten Schlüssel und ein selbst signiertes Zertifikat generieren. Zum Beispiel:

keytool -genkeypair -noprompt -alias self -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -dname "CN=hostname.example.com" -validity 365 -keypass password -keystore privatekey.jks -storepass password -storetype JKS

Die anderen Server müssen dem selbst signierten Zertifikat jedes Servers vertrauen. Das Zertifikat muss auf jedem Server exportiert und auf dem anderen Server importiert werden. Sie können das selbst signierte Zertifikat mit dem Befehl keytool -exportcert exportieren. Zum Beispiel:

keytool -exportcert -noprompt -rfc -alias self -file hostname.crt -keystore privatekey.jks -storepass password -storetype JKS

Jeder Server muss seinem eigenen selbst signierten Zertifikat und den Zertifikaten anderer Server vertrauen. Sie können ein selbst signiertes Zertifikat mit dem Befehl keytool -importcert in den Truststore importieren. Zum Beispiel:

keytool -importcert -noprompt -alias hostname -file hostname.crt -keypass password -keystore trust.jks -storepass password -storetype JKS

Hinweis: Das Befehlszeilendienstprogramm openssl kann keinen PKCS12 -Truststore erstellen, der mit CDC Replicationkompatibel ist. Verwenden Sie 'keytool' anstelle von 'openssl'. Ändern Sie den Wert des Parameters '-storetype' in PKCS12, um einen PKCS12-Truststore zu erstellen.

Wenn Sie eine Kombination aus selbst signierten Zertifikaten und von einer öffentlichen Zertifizierungsstelle signierten Zertifikaten verwenden, müssen Sie neben den selbst signierten Zertifikaten auch den normalen öffentlichen Zertifizierungsstellen vertrauen. Sie können die normalen öffentlichen Zertifizierungsstellen mit dem Befehl keytool -importkeystore in einen neuen Truststore importieren. Zum Beispiel:

keytool -importkeystore -noprompt -srckeystore installdir/jre64/jre/lib/security/cacerts -destkeystore trust.jks -deststoretype JKS -srcstorepass changeit -deststorepass password