Utilice las herramientas suministradas para crear un nuevo certificado autofirmado.
Antes de empezar
Necesita la contraseña que se ha especificado para el almacén de claves durante la instalación. Si no conoce la contraseña, acceda a bfinstall/Apache/tomcat/conf/server.xml.
El atributo keystorePass en el conector SSL/HTTP contiene la contraseña.
Acerca de esta tarea
Este procedimiento describe cómo sustituir un certificado creado automáticamente durante una instalación de Rational® Build
Forge®.
Crea un certificado con las siguientes propiedades:
- Almacén de claves: buildForgeKeyStore.p12
- Vencimiento: 15 años (establecido como 5475 días)
- Nombre distinguido de asunto: CN=nombre de host, donde nombre de host es el nombre de host completo.
Utilice las herramientas openssl y ibmjdk para crear el certificado.
Las herramientas se incluyen con el software de Rational® Build
Forge®.
Se necesitan cinco almacenes de claves:
- buildForgeKeyStore.p12: almacén de claves, contenedor para certificados y claves
- buildForgeTrustStore.p12: almacén de confianza, contenedor para certificados y claves
- buildForgeKey.pem: almacén de claves de PEM
- buildForgeCert.pem: certificado público
- buildForgeCA.pem: entidad emisora de certificados de PEM
Nota: En los mandatos de ejemplo, saltos de línea se utilizan para una mayor claridad.
No los utilice en el mandato. Especifíquelo como una serie o utilice el carácter de continuación de línea (^ para Windows, \ para UNIX o Linux).
Importante: Se utiliza la misma contraseña para todos los almacenes de claves. Aparece como contraseña en los ejemplos.
Procedimiento
- Inicie sesión en el host en el que esté instalado el servidor de Rational® Build
Forge®.
- Añada los directorios de la herramienta a la vía de acceso del archivo tal como se indica a continuación:
- <bfinstall>/openssl
- <bfinstall>/ibmjdk/bin
- Añada el directorio openssl a la vía de acceso LD_LIBRARY_PATH. Por ejemplo, <bfinstall>/openssl.
- Cree el almacén de claves buildForgeKeyStore.p12, el certificado y el par de claves pública-privada.
- En un directorio temporal, utilice el siguiente script para crear el almacén de claves:
keytool -genkey -alias buildforge
-keyalg RSA -keysize 1024 -validity 5475 -dname "CN=nombre_host"
-keystore buildForgeKeyStore.p12
-storepass contraseña
-storetype pkcs12
- Copie el archivo de almacén de claves, buildForgeKeyStore.p12,
en <bfinstall>/keystore. Sobrescribe el archivo existente.
- En el directorio <bfinstall>/keystore, especifique el siguiente mandato para exportar el certificado público:
keytool -export -alias buildforge
-file cert.der -keystore buildForgeKeyStore.p12
-storepass contraseña
-storetype pkcs12
- Cree el almacén de confianza:
- En un directorio temporal, ejecute keytool para crear el almacén de confianza:
cd /temp
keytool -import -noprompt -trustcacerts -alias buildforge
-file cert.der -keystore buildForgeTrustStore.p12
-storepass contraseña
-storetype pkcs12
- Copie el archivo del archivo de almacén de confianza buildForgeTrustStore.p12
en <bfinstall>/keystore. Sobrescribe el archivo existente.
- Coloque el certificado de cliente público en buildForgeCert.pem. En el directorio <bfinstall>/keystore, ejecute este mandato:
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12 -passin pass:contraseña
-out buildForgeCert.pem
- Coloque el certificado y las claves en buildForgeKey.pem En el directorio <bfinstall>/keystore, ejecute este mandato:
openssl pkcs12
-in buildForgeKeyStore.p12 -passin pass:contraseña
-passout pass:contraseña -out buildForgeKey.pem
- En el directorio <bfinstall>/keystore,
ejecute el siguiente mandato para crear la entidad emisora de certificados de PEM, buildForgeCA.pem. Este mandato crea una copia de buildForgeKey.pem.
Qué hacer a continuación
El archivo buildForgeKey.pem es un almacén de claves PEM protegido por contraseña.
Durante el arranque, el servidor Apache solicita la contraseña.
Si no desea que se le solicite esta contraseña, genere un almacén de claves PEM para el servidor de Apache que no esté protegido por contraseña.
Para eliminar la contraseña de la clave privada, especifique el siguiente mandato.
Asegúrese de que el archivo
buildForgeKeyForApache.pem es legible para aquellos que necesitan acceder al ID del proceso que ejecuta Build Forge.
openssl rsa -in buildForgeKey.pem -passin pass:contraseña
-out buildForgeKeyForApache.pem