Creazione di un keystore privato e di un truststore con certificati autofirmati

È possibile abilitare la crittografia TLS della comunicazione tra un'origine e una destinazione utilizzando i certificati autofirmati.

In questo caso, non esiste un'autorità di certificazione centrale, quindi ogni server deve considerare affidabili i certificati dell'altro server. Questa procedura utilizza i comandi forniti con CDC Replication. Puoi anche utilizzare strumenti di terzi come openssl. Questa procedura utilizza keytool, che si trova in installation_directory/jre64/jre/bin.

Ogni server ha bisogno di una chiave privata e di un certificato autofirmato. È possibile creare una chiave privata e un certificato autofirmato utilizzando il comando keytool -genkeypair . Ad esempio:

keytool -genkeypair -noprompt -alias self -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -dname "CN=hostname.example.com" -validity 365 -keypass password -keystore privatekey.jks -storepass password -storetype JKS

Ogni certificato autofirmato del server deve essere considerato attendibile dagli altri server. Il certificato deve essere esportato da ciascun server e importato sull'altro server. È possibile esportare il certificato autofirmato utilizzando il comando keytool -exportcert . Ad esempio:

keytool -exportcert -noprompt -rfc -alias self -file hostname.crt -keystore privatekey.jks -storepass password -storetype JKS

Ogni server deve considerare attendibile il proprio certificato autofirmato e i certificati di altri server. È possibile importare un certificato autofirmato nel truststore con il comando keytool -importcert . Ad esempio:

keytool -importcert -noprompt -alias hostname -file hostname.crt -keypass password -keystore trust.jks -storepass password -storetype JKS

Nota: il programma di utilità della riga comandi openssl non può creare un truststore PKCS12 compatibile con CDC Replication. Utilizzare keytool invece di openssl. Modificare il parametro -storetype in PKCS12 per creare un truststore PKCS12 .

Se si sta utilizzando una combinazione di certificati autofirmati e certificati firmati da un'autorità di certificazione pubblica, è necessario considerare attendibili le normali autorità di certificazione pubbliche in aggiunta ai certificati autofirmati. È possibile importare le normali autorità di certificazione pubbliche in un nuovo truststore con il comando keytool -importkeystore . Ad esempio:

keytool -importkeystore -noprompt -srckeystore installdir/jre64/jre/lib/security/cacerts -destkeystore trust.jks -deststoretype JKS -srcstorepass changeit -deststorepass password