Utilice las herramientas suministradas para crear un nuevo certificado autofirmado.
Antes de empezar
Necesita la contraseña que se ha especificado para el almacén de claves durante la instalación. Si no la
sabe, acceda a bfinstall/Apache/tomcat/conf/server.xml.
El atributo keystorePass en el conector SSL/HTTP contiene la contraseña.
Acerca de esta tarea
Este procedimiento describe cómo sustituir un certificado creado automáticamente durante una instalación de Build Forge.
Crea un certificado con las siguientes propiedades:
- Almacén de claves: buildForgeKeyStore.p12
- Vencimiento: 15 años (establecido como 5475 días)
- Nombre distinguido de asunto: CN=nombre de host, donde nombre de host es el nombre de host completo.
Utilice las herramientas openssl y ibmjdk para crear el certificado. Las herramientas se incluyen con el software de Build Forge.
Se necesitan cinco almacenes de claves:
- buildForgeKeyStore.p12: almacén de claves, contenedor para certificados y claves
- buildForgeTrustStore.p12: almacén de confianza, contenedor para certificados y claves
- buildForgeKey.pem: almacén de claves de PEM
- buildForgeCert.pem: certificado público
- buildForgeCA.pem: entidad emisora de certificados de PEM
Nota: En los mandatos del ejemplo se utilizan saltos de línea para mayor claridad.
No los utilice en el mandato. Especifíquelo como una serie o utilice el carácter de continuación de línea (^ para Windows, \ para UNIX o Linux).
Importante: Se utiliza la misma contraseña para todos los almacenes de claves. Aparece como contraseña en los ejemplos.
Procedimiento
- Inicie sesión en el host en el que esté instalado el motor Build Forge.
- Coloque los directorios de la herramienta en la VÍA DE ACCESO.
- <bfinstall>/openssl
- <bfinstall>/ibmjdk/bin
- Ponga el directorio openssl en LD_LIBRARY_PATH.
- Cree el almacén de claves buildForgeKeyStore.p12, el certificado y el par de claves pública-privada.
- En el directorio temporal, ejecute keytool para crear el almacén de claves:
keytool -genkey -alias buildforge
-keyalg RSA -keysize 1024 -validity 5475 -dname "CN=nombre_host"
-keystore buildForgeKeyStore.p12
-storepass contraseña
-storetype pkcs12
- Copie el archivo de almacén de claves (buildForgeKeyStore.p12)
en <bfinstall>/keystore. Sobrescribe el archivo existente.
- Exporte el certificado público. En el directorio <bfinstall>/keystore, ejecute este mandato:
keytool -export -alias buildforge
-file cert.der -keystore buildForgeKeyStore.p12
-storepass contraseña
-storetype pkcs12
- Crear el almacén de confianza.
- En el directorio temporal, ejecute keytool para crear el almacén de confianza:
cd /temp
keytool -import -noprompt -trustcacerts -alias buildforge
-file cert.der -keystore buildForgeTrustStore.p12
-storepass contraseña
-storetype pkcs12
- Copie el archivo de archivo de almacén de confianza (buildForgeTrustStore.p12)
en <bfinstall>/keystore. Sobrescribe el archivo existente.
- Coloque el certificado de cliente público en buildForgeCert.pem En el directorio <bfinstall>/keystore, ejecute este mandato:
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12 -passin pass:contraseña
-out buildForgeCert.pem
- Coloque el certificado y las claves en buildForgeKey.pem En el directorio <bfinstall>/keystore, ejecute este mandato:
openssl pkcs12
-in buildForgeKeyStore.p12 -passin pass:contraseña
-passout pass:contraseña -out buildForgeKey.pem
- Cree la entidad emisora de certificados de PEM buildForgeCA.pem. Es una copia de buildForgeKey.pem. En el directorio <bfinstall>/keystore, ejecute este mandato:
cat buildForgeCert.pem > buildForgeCA.pem
Qué hacer a continuación
buildForgeKey.pem es un almacén de claves de PEM protegido por contraseña.
El servidor Apache solicita la contraseña durante el inicio. Si no desea que se le solicite contraseña durante el inicio, genere un almacén de claves de PEM que no esté protegido por contraseña para uso del servidor Apache.
Para eliminar la contraseña de clave privada, puede ejecutar el siguiente paso. Asegúrese de que el archivo
buildForgeKeyForApache.pem puedan leerlo aquellos que necesiten acceder al ID del proceso que ejecute Build Forge.
openssl rsa -in buildForgeKey.pem -passin pass:contraseña
-out buildForgeKeyForApache.pem