PEM-Keystores in Build Forge-Keystores konvertieren

Von einer Zertifizierungsstelle empfangene PEM-Keystores können in mit Build Forge einsetzbare Keystores konvertiert werden.

Vorbereitende Schritte

Laden Sie die uneingeschränkten Richtliniendateien für Ihr Software-Development-Kit herunter. Dies ist nur erforderlich, wenn Ihre Schlüssel für die uneingeschränkten Richtliniendateien zu groß sind. Laden Sie die Dateien von https://www14.software.ibm.com/webapp/iwm/web/reg/signup.do?source=jcesdk&lang=en_US&S_PKG=142ww herunter.
Anmerkung: Sie müssen das von IBM bereitgestellte Dienstprogramm keytool verwenden.

Informationen zu diesem Vorgang

Wenn Sie über eine Gruppe von PEM-Dateien von einer Zertifizierungsstelle verfügen, müssen Sie diese verwenden, um eine Gruppe von OpenSSL- und JSSE-Keystores für Build Forge zu erstellen.

Vorgehensweise

  1. Fügen Sie die Build Forge-Toolverzeichnisse in Ihre PATH-Anweisung ein.
    • <bf-installationsverzeichnis>/openssl
    • <bf-installationsverzeichnis>/ibmjdk/bin für Windows
    • <bf-installationsverzeichnis>server/ibmjdk/bin für UNIX oder Linux
    Fügen Sie für UNIX und Linux das folgende Verzeichnis in LD_LIBRARY_PATH hinzu:
    <bf-installationsverzeichnis>/openssl
  2. Konvertieren Sie die PEM-Dateien in einen PKCS12-Keystore.

    Verwenden Sie den folgenden Befehl:

    openssl pkcs12
            -export
            -name "buildforge"
            -out buildForgeKeyStore.p12
            -inkey <schlüssel.pem> 
            -passin pass:<pem-kennwort>
            -in <zertifikat.pem>
            -password pass:<bf-kennwort>
  3. Prüfen Sie, ob das Zertifikat hinzugefügt wurde und lesbar ist.
    keytool -v
            -list
            -keystore buildForgeKeyStore.p12
            -storepass <bf-kennwort>
            -storetype pkcs12

    Wenn Sie einen Fehler wegen einer ungültigen Schlüsselgröße erhalten, laden Sie Richtliniendateien herunter, für die keine Einschränkungen bestehen. Anweisungen hierzu stehen am Anfang dieses Abschnitts.

  4. Exportieren Sie das öffentliche Zertifikat.

    Wechseln Sie in einem Befehlsfenster zu <bf-installationsverzeichnis>/keystore und führen Sie dann folgenden Befehl aus:

    keytool -export
            -alias buildforge
            -file cert.der
            -keystore buildForgeKeyStore.p12
            -storepass <bf-kennwort>
            -storetype pkcs12
    • Das Zertifikat ist in der Datei cert.der gespeichert.
    • Verwenden Sie das <bf-kennwort>, das bei der Installation für Keystores angegeben wurde. Andernfalls müssen Sie die Konfiguration ändern.
  5. Erstellen Sie den Truststore und importieren Sie das öffentliche Zertifikat.

    Wechseln Sie in einem Befehlsfenster zu <bf-installationsverzeichnis>/keystore und führen Sie dann folgenden Befehl aus:

    keytool -import
            -noprompt -trustcacerts
            -alias buildforge
            -file cert.der
            -keystore buildForgeTrustStore.p12
            -storepass <bf-kennwort>
            -storetype pkcs12
  6. Fügen Sie das öffentliche Clientzertifikat zu buildForgeCert.pem hinzu.

    Wechseln Sie in einem Befehlsfenster zu <bf-installationsverzeichnis>/keystore und führen Sie dann folgenden Befehl aus:

    openssl pkcs12 -clcerts -nokeys
            -in buildForgeKeyStore.p12
            -passin: pass:<bf-kennwort>
            -out buildForgeCert.pem
  7. Fügen Sie das Zertifikat und die Schlüssel zu buildForgeKey.pem hinzu.

    Wechseln Sie in einem Befehlsfenster zu <bf-installationsverzeichnis>/keystore und führen Sie dann folgenden Befehl aus:

    openssl pkcs12
            -in buildForgeKeyStore.p12
            -passin pass:<bf-kennwort>
            -passout pass:<bf-kennwort>
            -out buildForgeKey.pem
  8. Erstellen Sie die Datei buildForgeCA.pem für die PEM-Zertifizierungsstelle.
    1. Laden Sie das Stammzertifikat der Zertifizierungsstelle in <bf-installationsverzeichnis>/keystore herunter. Der Name des Zertifikats lautet CARootCert.crt. Es muss Ihren PEM-Keystores hinzugefügt werden und kann in buildForgeTrustStore.p12 importiert werden.
    2. Wechseln Sie in einem Befehlsfenster zu <bf-installationsverzeichnis>/keystore und führen Sie dann folgende Befehle aus:
      cat CARootCert.crt > buildForgeCA.pem
      keytool -import -noprompt -v -trustcacerts
              -alias "CA Root"
              -file CARootCert.crt
              -keystore buildForgeTrustStore.p12
              -storepass <bf-kennwort>
              -storetype pkcs12

Ergebnisse

In Build Forge wird ein kennwortgeschützter PEM-Keystore mit dem Namen buildForgeKey.pem verwendet. Beim Start des Apache-Servers wird das Kennwort abgefragt.
Wenn Sie beim Start nicht zur Eingabe des Kennworts aufgefordert werden möchten, generieren Sie einen PEM-Keystore, der nicht kennwortgeschützt ist, und legen Sie fest, dass dieser vom Apache-Server verwendet wird. Dazu kann z. B. der folgende Befehl verwendet werden.
openssl rsa -in buildForgeKey.pem
            -passin pass:<kennwort>
            -out buildForgeKeyForApache.pem

Stellen Sie sicher, dass der ungeschützte PEM-Keystore von jedem Benutzer gelesen werden kann, der Zugriff auf die ID des Prozesses benötigt, in dem Build Forge ausgeführt wird.