Use as ferramentas fornecidas para criar um novo certificado autoassinado.
Antes de Iniciar
É necessária a senha especificada para o keystore durante a instalação. Se não souber qual é, procure em bfinstall/Apache/tomcat/conf/server.xml.
O atributo keystorePass no conector SSL/HTTP contém a senha.
Sobre Esta Tarefa
Esse procedimento descreve como substituir um certificado criado
automaticamente durante uma instalação do Build Forge.
Ele cria um certificado com as seguintes propriedades:
- Keystore: buildForgeKeyStore.p12
- Expiração: 15 anos (definido como 5475 dias)
- DN do Assunto: CN=hostname, em que hostname é o nome completo
do host.
Use as ferramentas openssl e ibmjdk para
criar o certificado. As ferramentas estão incluídas no software do Build Forge.
Cinco
keystores são necessários:
- buildForgeKeyStore.p12 - keystore, contêiner para certificados e chaves
- buildForgeTrustStore.p12 - truststore, contêiner para certificados e chaves
- buildForgeKey.pem - keystore PEM
- buildForgeCert.pem - certificado público
- buildForgeCA.pem - Autoridade de Certificação (CA) PEM
Nota: Quebras de linha são usadas para maior clareza dos comandos de exemplo.
Não
use-as no comando. Digite-o como uma única sequência ou use o caractere de continuação de
linha (^ para Windows, \ para UNIX ou Linux).
Importante: A mesma senha é usada para todos os keystores. Ela é mostrada como
password nos exemplos.
Procedimento
- Efetue logon no host onde o mecanismo Build Forge está instalado.
- Coloque os diretórios de ferramenta em seu PATH.
- <bfinstall>/openssl
- <bfinstall>/ibmjdk/bin
- Coloque o diretório openssl em LD_LIBRARY_PATH.
- Crie o keystore buildForgeKeyStore.p12, o certificado e o par de chaves pública/privada.
- No diretório temporário, execute o keytool para criar o keystore:
keytool -genkey -alias buildforge
-keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
-keystore buildForgeKeyStore.p12
-storepass password
-storetype pkcs12
- Copie o arquivo keystore (buildForgeKeyStore.p12) para <bfinstall>/keystore. Ele sobrescreverá o arquivo existente.
- Exporte o certificado público. No diretório <bfinstall>/keystore,
execute este comando:
keytool -export -alias buildforge
-file cert.der -keystore buildForgeKeyStore.p12
-storepass password
-storetype pkcs12
- Crie o truststore.
- No diretório temporário, execute o keytool para criar o truststore:
cd /temp
keytool -import -noprompt -trustcacerts -alias buildforge
-file cert.der -keystore buildForgeTrustStore.p12
-storepass password
-storetype pkcs12
- Copie o arquivo truststore (buildForgeTrustStore.p12) para <bfinstall>/keystore. Ele sobrescreverá o arquivo existente.
- Coloque o certificado de cliente público em buildForgeCert.pem No diretório <bfinstall>/keystore,
execute este comando:
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12 -passin pass:password
-out buildForgeCert.pem
- Coloque o certificado e as chaves em buildForgeKey.pem No diretório <bfinstall>/keystore,
execute este comando:
openssl pkcs12
-in buildForgeKeyStore.p12 -passin pass:password
-passout pass:password -out buildForgeKey.pem
- Crie a Autoridade de Certificação PEM buildForgeCA.pem. Ela é uma cópia de buildForgeKey.pem. No diretório <bfinstall>/keystore,
execute este comando:
cat buildForgeCert.pem > buildForgeCA.pem
O que Fazer Depois
O buildForgeKey.pem é um keystore PEM protegido por senha.
O servidor Apache solicita a senha durante a inicialização. Se você não quiser ser
solicitado a informar essa senha durante a inicialização, gere um keystore PEM que não
seja protegido por senha para uso do servidor Apache.
Para remover a senha da chave privada, é possível
executar a etapa a seguir. Certifique-se de que o arquivo
buildForgeKeyForApache.pem seja
legível por aqueles que precisam de acesso ao ID do processo que executa
o Build Forge.
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem