Neues selbst signiertes Zertifikat erstellen

Mit den verfügbaren Tools können Sie ein neues selbst signiertes Zertifikat erstellen.

Vorbereitende Schritte

Sie benötigen das Kennwort, das während der Installation für den Keystore angegeben wurde. Wenn Sie nicht wissen, wovon die Rede ist, suchen Sie in bfinstall/Apache/tomcat/conf/server.xml. Das keystorePass-Attribut auf dem SSL/HTTP-Connector enthält das Kennwort.

Informationen zu diesem Vorgang

In diesem Verfahren wird beschrieben, wie Sie ein während der Build Forge-Installation automatisch erstelltes Zertifikat ersetzen. Dabei wird ein Zertifikat mit den folgenden Eigenschaften erstellt:

Verwenden Sie zum Erstellen des Zertifikats die Tools openssl und ibmjdk. Die Tools sind in der Build Forge-Software enthalten.

Fünf Keystores sind erforderlich:

Anmerkung: In den Beispielbefehlen wurden zur Verdeutlichung Zeilenumbrüche eingefügt. Verwenden Sie diese im tatsächlichen Befehl nicht. Geben Sie den Befehl als eine Zeichenfolge ein oder verwenden Sie das Zeichen für die Zeilenfortsetzung (^ für Windows, \ für UNIX oder Linux).
Wichtig: Für alle Keystores wird dasselbe Kennwort verwendet. Dieses wird in den Beispielen als kennwort angegeben.

Vorgehensweise

  1. Melden Sie sich an dem Host an, auf dem die Build Forge-Steuerkomponente installiert ist.
  2. Fügen Sie die Toolverzeichnisse in Ihre PATH-Anweisung ein.
    • <bf-installationsverzeichnis>/openssl
    • <bf-installationsverzeichnis>/ibmjdk/bin
  3. Fügen Sie das openssl-Verzeichnis in LD_LIBRARY_PATH ein.
    • <bf-installationsverzeichnis>/openssl
  4. Erstellen Sie den Keystore buildForgeKeyStore.p12, das Zertifikat und das Schlüsselpaar "öffentlich/privat".
    1. Führen Sie im temporären Verzeichnis das Keytool aus, um den Keystore zu erstellen:
      keytool -genkey -alias buildforge
      -keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
      -keystore buildForgeKeyStore.p12
      -storepass kennwort
      -storetype pkcs12
    2. Kopieren Sie die Keystore-Datei (buildForgeKeyStore.p12) in <bf-installationsverzeichnis>/keystore. Sie überschreibt die vorhandene Datei.
  5. Exportieren Sie das öffentliche Zertifikat. Führen Sie den folgenden Befehl im Verzeichnis <bf-installationsverzeichnis>/keystore aus:
    keytool -export -alias buildforge
    -file cert.der -keystore buildForgeKeyStore.p12
    -storepass kennwort
    -storetype pkcs12
  6. Erstellen Sie Truststore.
    1. Führen Sie im temporären Verzeichnis das Keytool aus, um den Keystore zu erstellen:
      cd /temp
      keytool -import -noprompt -trustcacerts -alias buildforge
      -file cert.der -keystore buildForgeTrustStore.p12
      -storepass kennwort
      -storetype pkcs12
    2. Kopieren Sie die Truststore-Datei (buildForgeTrustStore.p12) in <bfinstall>/keystore. Sie überschreibt die vorhandene Datei.
  7. Fügen Sie das öffentliche Zertifikat zu buildForgeCert.pem hinzu. Führen Sie den folgenden Befehl im Verzeichnis <bf-installationsverzeichnis>/keystore aus:
    openssl pkcs12 -clcerts -nokeys
    -in buildForgeKeyStore.p12 -passin pass:kennwort
    -out buildForgeCert.pem
  8. Fügen Sie das Zertifikat und die Schlüssel zu buildForgeKey.pem hinzu. Führen Sie den folgenden Befehl im Verzeichnis <bf-installationsverzeichnis>/keystore aus:
    openssl pkcs12
    -in buildForgeKeyStore.p12 -passin pass:kennwort
    -passout pass:kennwort -out buildForgeKey.pem
  9. Erstellen Sie die Datei buildForgeCA.pem für die PEM-Zertifizierungsstelle. Dies ist eine Kopie von buildForgeKey.pem. Führen Sie den folgenden Befehl im Verzeichnis <bf-installationsverzeichnis>/keystore aus:
    cat buildForgeCert.pem > buildForgeCA.pem

Nächste Schritte

buildForgeKey.pem ist ein kennwortgeschützter PEM-Keystore. Beim Start des Apache-Servers wird das Kennwort abgefragt. Wenn Sie beim Start nicht zur Eingabe des Kennworts aufgefordert werden möchten, generieren Sie einen nicht kennwortgeschützten PEM-Keystore zur Verwendung durch den Apache-Server.

Wenn Sie das Kennwort für den privaten Schlüssel löschen möchten, können Sie folgenden Schritt ausführen. Stellen Sie sicher, dass die Datei buildForgeKeyForApache.pem von denjenigen gelesen werden kann, die Zugriff auf die ID des Prozesses benötigen, in dem Build Forge ausgeführt wird.
openssl rsa -in buildForgeKey.pem -passin pass:kennwort
-out buildForgeKeyForApache.pem

Feedback