請使用提供的工具來建立新的自簽憑證。
開始之前
您需要有安裝期間指定給金鑰儲存庫的密碼。如果您不知道密碼,請查看 bfinstall/Apache/tomcat/conf/server.xml。SSL/HTTP 連接器的 keystorePass 屬性包含此密碼。
關於這項作業
此程序說明如何取代在 Rational® Build
Forge® 安裝期間自動建立的憑證。其會以下列內容建立憑證:
- 金鑰儲存庫:buildForgeKeyStore.p12
- 期限:15 年(設為 5475 天)
- 主體 DN:CN=hostname,其中 hostname 是完整主機名稱。
若要建立憑證,請使用 openssl 和 ibmjdk 工具。這些工具都隨附於 Rational® Build
Forge® 軟體中。
需要五個金鑰儲存庫:
- buildForgeKeyStore.p12 - 金鑰儲存庫,憑證與金鑰的儲存器
- buildForgeTrustStore.p12 - 信任儲存庫,憑證與金鑰的儲存器
- buildForgeKey.pem - PEM 金鑰儲存庫
- buildForgeCert.pem - 公開憑證
- buildForgeCA.pem - PEM 憑證管理中心 (CA)
註: 在範例指令中,使用了換行以便於閱讀。請勿在指令中使用換行。請當成一個字串或使用行接續字元(Windows 為 ^,UNIX 或 Linux 為 \)來輸入。
重要: 所有金鑰儲存庫都使用相同的密碼。其在範例中會顯示為 password。
程序
- 登入其中安裝 Rational® Build
Forge® 伺服器的主機。
- 將工具目錄新增至下面所列的檔案路徑:
- <bfinstall>/openssl
- <bfinstall>/ibmjdk/bin
- 將 openssl 目錄新增至 LD_LIBRARY_PATH 檔案路徑。 例如,<bfinstall>/openssl。
- 建立金鑰儲存庫 buildForgeKeyStore.p12、憑證和公開私密金鑰配對。
- 在暫存目錄中,使用下列 Script 來建立金鑰儲存庫:
keytool -genkey -alias buildforge
-keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
-keystore buildForgeKeyStore.p12
-storepass password
-storetype pkcs12
- 將金鑰儲存庫檔 buildForgeKeyStore.p12 複製到 <bfinstall>/keystore。其會改寫現有的檔案。
- 在 <bfinstall>/keystore 目錄中,輸入下列指令來匯出公開憑證:
keytool -export -alias buildforge
-file cert.der -keystore buildForgeKeyStore.p12
-storepass password
-storetype pkcs12
- 建立信任儲存庫:
- 從暫存目錄中,執行 keytool 來建立信任儲存庫:
cd /temp
keytool -import -noprompt -trustcacerts -alias buildforge
-file cert.der -keystore buildForgeTrustStore.p12
-storepass password
-storetype pkcs12
- 將信任儲存庫檔 buildForgeTrustStore.p12 複製到 <bfinstall>/keystore。其會改寫現有的檔案。
- 將公開用戶端憑證放在 buildForgeCert.pem 中。 在 <bfinstall>/keystore 目錄中,執行下列指令:
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12 -passin pass:password
-out buildForgeCert.pem
- 將憑證和金鑰放在 buildForgeKey.pem 中 在 <bfinstall>/keystore 目錄中,執行下列指令:
openssl pkcs12
-in buildForgeKeyStore.p12 -passin pass:password
-passout pass:password -out buildForgeKey.pem
- 在 <bfinstall>/keystore 目錄中,執行下列指令來建立「PEM 憑證管理中心」buildForgeCA.pem。 此指令會建立 buildForgeKey.pem 的副本。
下一步
buildForgeKey.pem 是受密碼保護的 PEM 金鑰儲存庫。在啟動期間,Apache 伺服器會提示您輸入密碼。如果您不要系統提示您輸入此密碼,請產生不受密碼保護的 PEM 金鑰儲存庫供 Apache 伺服器使用。
若要從私密金鑰移除密碼,請輸入下面的指令。確定
buildForgeKeyForApache.pem 檔可供需要存取執行 Build Forge 之處理程序 ID 的人員讀取。
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem