認証局から受け取った PEM 鍵ストアは、Build Forge で使用
するための鍵ストアに変換できます。
このタスクについて
認証局から受け取った一連の PEM ファイルがある場合は、それらのファイルを使用して、Build Forge 用の一連の OpenSSL および JSSE 鍵ストアを作成する必要があります。
手順
- パスに Build Forge ツール・ディレクトリーを含めます。
- <bfinstall>/openssl
- <bfinstall>/ibmjdk/bin (Windows の場合)
- <bfinstall>server/ibmjdk/bin (UNIX または Linux の場合)
UNIX および Linux の場合は、LD_LIBRARY_PATH に以下のディレクトリーを組み込みます。
<bfinstall>/openssl
- PEM ファイルを 1 つの PKCS12 鍵ストアに変換します。
以下のコマンドを使用します。
openssl pkcs12
-export
-name "buildforge"
-out buildForgeKeyStore.p12
-inkey <key.pem>
-passin pass:<pempassword>
-in <crt.pem>
-password pass:<bfpassword>
- 証明書が追加され、読み取り可能になっているかを確認します。
keytool -v
-list
-keystore buildForgeKeyStore.p12
-storepass <bfpassword>
-storetype pkcs12
無効な鍵サイズに関するエラーが発生した場合は、無制限のポリシー・ファイルをダウンロードします。このセクションの冒頭に記載されている指示に従ってください。
- パブリック証明書をエクスポートします。
コマンド・ウィンドウで、<bfinstall>/keystore に移動し、以下のコマンドを実行します。
keytool -export
-alias buildforge
-file cert.der
-keystore buildForgeKeyStore.p12
-storepass <bfpassword>
-storetype pkcs12
- 証明書は cert.der ファイルに保管されています。
- インストール時に鍵ストアに指定したものと同じ <bfpassword> を使用してください。
これを使用しない場合、構成を変更する必要があります。
- トラストストアを作成し、パブリック証明書をインポートします。
コマンド・ウィンドウで、<bfinstall>/keystore に移動し、以下のコマンドを実行します。
keytool -import
-noprompt -trustcacerts
-alias buildforge
-file cert.der
-keystore buildForgeTrustStore.p12
-storepass <bfpassword>
-storetype pkcs12
- パブリック・クライアント証明書を buildForgeCert.pem に入れます。
コマンド・ウィンドウで、<bfinstall>/keystore に移動し、以下のコマンドを実行します。
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12
-passin: pass:<bfpassword>
-out buildForgeCert.pem
- 証明書および鍵を buildForgeKey.pem に入れます。
コマンド・ウィンドウで、<bfinstall>/keystore に移動し、以下のコマンドを実行します。
openssl pkcs12
-in buildForgeKeyStore.p12
-passin pass:<bfpassword>
-passout pass:<bfpassword>
-out buildForgeKey.pem
- PEM 認証局 buildForgeCA.pem を作成します。
- CA ルート証明書を <bfinstall>/keystore にダウンロードします。 この証明書は CARootCert.crt と命名されます。これを PEM 鍵ストアに追加し、buildForgeTrustStore.p12 にインポートできるようにする必要があります。
- コマンド・ウィンドウで、<bfinstall>/keystore に移動し、以下のコマンドを実行します。
cat CARootCert.crt > buildForgeCA.pem
keytool -import -noprompt -v -trustcacerts
-alias "CA Root"
-file CARootCert.crt
-keystore buildForgeTrustStore.p12
-storepass <bfpassword>
-storetype pkcs12
タスクの結果
Build Forge は、パスワードで保護された PEM 鍵ストア buildForgeKey.pem を
使用します。Apache サーバーは、始動時にこのパスワードを求めるプロンプトを出します。
始動時にパスワードを求めるプロンプトが表示されないようにするには、
パスワード保護されていない PEM 鍵ストアを生成し、Apache サーバーがその鍵ストアを
使用するようにします。以下のコマンドはその例です。
openssl rsa -in buildForgeKey.pem
-passin pass:<password>
-out buildForgeKeyForApache.pem
必ず、この無保護の PEM 鍵ストアを、Build Forge を実行するプロセスの ID にアクセスする必要のある、すべてのユーザーに対して読み取り可能にしてください。