將 PEM 金鑰儲存庫轉換成 Build Forge 金鑰儲存庫

從「憑證管理中心」接收的 PEM 金鑰儲存庫可以轉換成用於 Build Forge 的金鑰儲存庫。

開始之前

下載適用於您的 SDK 的無限制原則檔。只有當金鑰大小對限制的原則檔而言太大時,才適用這項必要條件。請從 https://www14.software.ibm.com/webapp/iwm/web/reg/signup.do?source=jcesdk&lang=en_US&S_PKG=142ww 下載檔案。
註: 您必須使用 IBM 所提供的 keytool 公用程式。

關於這項作業

如果您有一組來自「憑證管理中心」的 PEM 檔,您必須利用它們來建立一組 OpenSSL 和 JSSE 金鑰儲存庫,以用於 Build Forge。

程序

  1. 將 Build Forge 工具目錄併入 PATH 中。
    • <bfinstall>/openssl
    • <bfinstall>/ibmjdk/bin(若為 Windows)
    • <bfinstall>server/ibmjdk/bin(若為 UNIX 或 Linux)
    如果是 UNIX 和 Linux,請將下列目錄併入 LD_LIBRARY_PATH 中:
    <bfinstall>/openssl
  2. 將 PEM 檔轉換成 PKCS12 金鑰儲存庫。

    請使用下列指令:

    openssl pkcs12
            -export
            -name "buildforge"
            -out buildForgeKeyStore.p12
            -inkey <key.pem>
            -passin pass:<pempassword>
            -in <crt.pem>
            -password pass:<bfpassword>
  3. 確認憑證已經新增,且可以讀取。
    keytool -v
            -list
            -keystore buildForgeKeyStore.p12
            -storepass <bfpassword>
            -storetype pkcs12

    如果出現金鑰大小無效的錯誤,請下載無限制的原則檔。請使用這一節開頭的指示。

  4. 匯出公開憑證。

    在指令視窗中,跳至 <bfinstall>/keystore,然後執行以下指令:

    keytool -export
            -alias buildforge
            -file cert.der
            -keystore buildForgeKeyStore.p12
            -storepass <bfpassword>
            -storetype pkcs12
    • 該憑證會儲存在 cert.der 檔中。
    • 使用在安裝期間指定給金鑰儲存庫的相同 <bfpassword>。否則,您需要變更配置。
  5. 建立信任儲存庫並匯入公開憑證。

    在指令視窗中,移至 <bfinstall>/keystore,然後執行以下指令:

    keytool -import
            -noprompt -trustcacerts
            -alias buildforge
            -file cert.der
            -keystore buildForgeTrustStore.p12
            -storepass <bfpassword>
            -storetype pkcs12
  6. 將公開用戶端憑證放在 buildForgeCert.pem 中。

    在指令視窗中,跳至 <bfinstall>/keystore,然後執行以下指令:

    openssl pkcs12 -clcerts -nokeys
            -in buildForgeKeyStore.p12
            -passin: pass:<bfpassword>
            -out buildForgeCert.pem
  7. 將憑證和金鑰放在 buildForgeKey.pem 中

    在指令視窗中,跳至 <bfinstall>/keystore,然後執行以下指令:

    openssl pkcs12
            -in buildForgeKeyStore.p12
            -passin pass:<bfpassword>
            -passout pass:<bfpassword>
            -out buildForgeKey.pem
  8. 建立「PEM 憑證管理中心」buildForgeCA.pem。
    1. 將 CA 主要憑證下載至 <bfinstall>/keystore 其名稱為 CARootCert.crt。其需要加入 PEM 金鑰儲存庫中,且可以匯入 buildForgeTrustStore.p12 中。
    2. 在指令視窗中,跳至 <bfinstall>/keystore,然後執行以下指令:
      cat CARootCert.crt > buildForgeCA.pem
      keytool -import -noprompt -v -trustcacerts
              -alias "CA Root"
              -file CARootCert.crt
              -keystore buildForgeTrustStore.p12
              -storepass <bfpassword>
              -storetype pkcs12

結果

Build Forge 會使用受密碼保護的 PEM 金鑰儲存庫 buildForgeKey.pem。在啟動期間,Apache 伺服器會提示您輸入密碼。
如果您不要系統在啟動期間提示您輸入密碼,請產生不受密碼保護的 PEM 金鑰儲存庫,並供 Apache 伺服器使用。以下是範例指令。
openssl rsa -in buildForgeKey.pem
            -passin pass:<password>
            -out buildForgeKeyForApache.pem

請確定需要存取執行 Build Forge 之處理程序 ID 的任何使用者,可讀取不受保護的 PEM 金鑰儲存庫。


意見