Jeśli połączenie JDBC ma zostać zabezpieczona za pomocą typu asercji "JWT", należy w celu identyfikacji połączenia wygenerować klucz prywatny i certyfikat.
- Wygenerować parę kluczy i magazyn kluczy.
Z wiersza polecenia uruchomić polecenie keytool, używając następującego formatu:
keytool -genkeypair -v -keystore <nazwa magazynu kluczy> -storetype <typ magazynu tj. PKCS12> -storepass <hasło magazynu> -keyalg <algorytm klucza> -keysize <rozmiar klucza> -sigalg <algorytm podpisu> -validity <dni ważności> -alias <alias> -keypass <hasło klucza>
Na przykład:
keytool -genkeypair -v -keystore bijdbckeystore.jks -storetype PKCS12 -storepass password -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -validity 3600 -alias bijdbcclientalias -keypass password
- Wygenerować certyfikat publiczny.
Z wiersza polecenia uruchomić polecenie keytool, używając następującego formatu:
keytool -exportcert -v -alias <alias> -keystore <nazwa magazynu kluczy> -storetype <typ magazynu, taki jak PKCS12> -storepass <hasło magazynu> -file <plik certyfikatu> -rfc
Na przykład:
keytool -exportcert -v -alias bijdbcclientalias -keystore bijdbckeystore.jks -storetype PKCS12 -storepass password -file bijdbcclient.cert -rfc
- Użyć polecenia OpenSSL do wyodrębnienia klucza prywatnego w formacie PKCS8 z pliku magazynu kluczy.
Użyć następującego formatu polecenia:
openssl pkcs12 -in <nazwa pliku magazynu kluczy> -passin pass:<hasło magazynu kluczy> -nodes -nocerts -nomacver > <ścieżka pliku klucza PKCS8>
Na przykład:
openssl pkcs12 -in bijdbckeystore.jks -passin pass:password -nodes -nocerts -nomacver |sed -n '/BEGIN PRIVATE KEY/,$p' > bijdbcclient.pem
- Zapisać wygenerowane klucz i certyfikaty w lokalizacji dostępne dla komputera-klienta.