Conversion de fichiers de clés PEM en fichiers de clés Build Forge

Les fichiers de clés PEM reçus d'une autorité de certification peuvent être convertis en fichiers de clés pour l'utilisation avec Build Forge.

Avant de commencer

Téléchargez les fichiers de règles sans restriction pour votre kit de développement de logiciels. Ce prérequis s'applique uniquement si votre taille de clé est trop grande pour les fichiers de règles avec restriction. Téléchargez les fichiers sur https://www14.software.ibm.com/webapp/iwm/web/reg/signup.do?source=jcesdk&lang=en_US&S_PKG=142ww.
Remarque : Vous devez utiliser l'utilitaire d'outil de clé fourni par IBM.

Pourquoi et quand exécuter cette tâche

Si vous disposez d'un jeu de fichiers PEM provenant d'une autorité de certification, vous devez utiliser ces fichiers pour créer un jeu de de fichiers de clés SSL et JSSE pour Build Forge.

Procédure

  1. Incluez les répertoires d'outils Build Forge dans votre PATH.
    • <rép_install_bf>/openssl
    • <rép_install_bf>/ibmjdk/bin pour Windows
    • <rép_install_bf>server/ibmjdk/bin pour UNIX ou Linux
    Pour UNIX et Linux, incluez le répertoire suivant dans LD_LIBRARY_PATH :
    <rép_install_bf>/openssl
  2. Convertissez les fichiers PEM en fichier de clés PKCS12.

    Utilisez la commande suivante :

    openssl pkcs12 
            -export 
            -name "buildforge" 
            -out buildForgeKeyStore.p12 
            -inkey <clé.pem> 
            -passin pass:<motdepassepem>
            -in <crt.pem>
            -password pass:<motdepassebf>
  3. Vérifiez que le certificat a été ajouté et qu'il est lisible.
    keytool -v
            -list
            -keystore buildForgeKeyStore.p12
            -storepass <motdepassebf>
            -storetype pkcs12

    Si vous obtenez une erreur concernant une taille de clé invalide, téléchargez des fichiers de règle sans limitations. Suivez les instructions du début de cette section.

  4. Exportez le certificat public.

    Dans une fenêtre de commande, accédez à <rép_install_bf>/keystore, puis exécutez la commande suivante :

    keytool -export
            -alias buildforge
            -file cert.der
            -keystore buildForgeKeyStore.p12
            -storepass <motdepassebf>
            -storetype pkcs12
    • Le certificat est stocké dans le fichier cert.der.
    • Utilisez le même <motdepassebf_bf> que celui indiqué pour les fichiers de clés lors de l'installation. Dans le cas contraire, vous devez changer la configuration.
  5. Créez le fichier de clés certifiées et importez le certificat public.

    Dans une fenêtre de commande, accédez à <rép_install_bf>/keystore, puis exécutez la commande suivante :

    keytool -import
            -noprompt -trustcacerts
            -alias buildforge
            -file cert.der
            -keystore buildForgeTrustStore.p12
            -storepass <motdepassebf>
            -storetype pkcs12
  6. Placez le certificat client public dans buildForgeCert.pem.

    Dans une fenêtre de commande, accédez à <rép_install_bf>/keystore, puis exécutez la commande suivante :

    openssl pkcs12 -clcerts -nokeys
            -in buildForgeKeyStore.p12
            -passin: pass:<motdepassebf>
            -out buildForgeCert.pem
  7. Placez le certificat et les clés dans buildForgeKey.pem

    Dans une fenêtre de commande, accédez à <rép_install_bf>/keystore, puis exécutez la commande suivante :

    openssl pkcs12
            -in buildForgeKeyStore.p12
            -passin pass:<motdepassebf>
            -passout pass:<motdepassebf>
            -out buildForgeKey.pem
  8. Créez le fichier buildForgeCA.pem de l'autorité de certification PEM.
    1. Téléchargez le certificat racine CA dans <rép_install_bf>/keystore. Il est appelé CARootCert.crt. Il doit être ajouté à vos fichiers de clés PEM et peut être importé dans buildForgeTrustStore.p12.
    2. Dans une fenêtre de commande, accédez à <installbf>/keystore, puis exécutez les commandes suivantes :
      cat CARootCert.crt > buildForgeCA.pem
      keytool -import -noprompt -v -trustcacerts
              -alias "CA Root" 
              -file CARootCert.crt
              -keystore buildForgeTrustStore.p12
              -storepass <motdepassebf>
              -storetype pkcs12

Résultats

Build Forge utilise un fichier de clés PEM protégé par mot de passe, buildForgeKey.pem. Le serveur Apache vous invite à entrer le mot de passe lors du démarrage.
Si vous ne voulez pas être invité à entrer le mot de passe au démarrage, générez un magasin de clés PEM non protégé par mot de passe et utilisé par le serveur Apache. La commande suivante est un exemple.
openssl rsa -in buildForgeKey.pem 
            -passin pass:<motdepasse>
            -out buildForgeKeyForApache.pem

Assurez-vous que le fichier de clés PEM non protégé peut être lu par tout utilisateur qui doit accéder à l'ID du processus qui exécute Build Forge.


Feedback