PEM 鍵ストアの Build Forge 鍵ストアへの変換

認証局から受け取った PEM 鍵ストアは、Build Forge で使用 するための鍵ストアに変換できます。

始める前に

SDK 用に、無制限のポリシー・ファイルをダウンロードします。 この前提条件は、使用する鍵サイズが制限付きポリシー・ファイルに 対して大きすぎる場合にのみ該当します。ファイルは、https://www14.software.ibm.com/webapp/iwm/web/reg/signup.do?source=jcesdk&lang=en_US&S_PKG=142wwからダウンロードします。
注: IBM が提供する keytool ユーティリティーを使用する必要があります。

このタスクについて

認証局から受け取った一連の PEM ファイルがある場合は、それらのファイルを使用して、Build Forge 用の一連の OpenSSL および JSSE 鍵ストアを作成する必要があります。

手順

  1. パスに Build Forge ツール・ディレクトリーを含めます。
    • <bfinstall>/openssl
    • <bfinstall>/ibmjdk/bin (Windows の場合)
    • <bfinstall>server/ibmjdk/bin (UNIX または Linux の場合)
    UNIX および Linux の場合は、LD_LIBRARY_PATH に以下のディレクトリーを組み込みます。
    <bfinstall>/openssl
  2. PEM ファイルを 1 つの PKCS12 鍵ストアに変換します。

    以下のコマンドを使用します。

    openssl pkcs12 
            -export 
            -name "buildforge" 
            -out buildForgeKeyStore.p12 
            -inkey <key.pem> 
            -passin pass:<pempassword>
            -in <crt.pem>
            -password pass:<bfpassword>
  3. 証明書が追加され、読み取り可能になっているかを確認します。
    keytool -v
            -list
            -keystore buildForgeKeyStore.p12
            -storepass <bfpassword>
            -storetype pkcs12

    無効な鍵サイズに関するエラーが発生した場合は、無制限のポリシー・ファイルをダウンロードします。このセクションの冒頭に記載されている指示に従ってください。

  4. パブリック証明書をエクスポートします。

    コマンド・ウィンドウで、<bfinstall>/keystore に移動し、以下のコマンドを実行します。

    keytool -export
            -alias buildforge
            -file cert.der
            -keystore buildForgeKeyStore.p12
            -storepass <bfpassword>
            -storetype pkcs12
    • 証明書は cert.der ファイルに保管されています。
    • インストール時に鍵ストアに指定したものと同じ <bfpassword> を使用してください。 これを使用しない場合、構成を変更する必要があります。
  5. トラストストアを作成し、パブリック証明書をインポートします。

    コマンド・ウィンドウで、<bfinstall>/keystore に移動し、以下のコマンドを実行します。

    keytool -import
            -noprompt -trustcacerts
            -alias buildforge
            -file cert.der
            -keystore buildForgeTrustStore.p12
            -storepass <bfpassword>
            -storetype pkcs12
  6. パブリック・クライアント証明書を buildForgeCert.pem に入れます。

    コマンド・ウィンドウで、<bfinstall>/keystore に移動し、以下のコマンドを実行します。

    openssl pkcs12 -clcerts -nokeys
            -in buildForgeKeyStore.p12
            -passin: pass:<bfpassword>
            -out buildForgeCert.pem
  7. 証明書および鍵を buildForgeKey.pem に入れます。

    コマンド・ウィンドウで、<bfinstall>/keystore に移動し、以下のコマンドを実行します。

    openssl pkcs12
            -in buildForgeKeyStore.p12
            -passin pass:<bfpassword>
            -passout pass:<bfpassword>
            -out buildForgeKey.pem
  8. PEM 認証局 buildForgeCA.pem を作成します。
    1. CA ルート証明書を <bfinstall>/keystore にダウンロードします。 この証明書は CARootCert.crt と命名されます。これを PEM 鍵ストアに追加し、buildForgeTrustStore.p12 にインポートできるようにする必要があります。
    2. コマンド・ウィンドウで、<bfinstall>/keystore に移動し、以下のコマンドを実行します。
      cat CARootCert.crt > buildForgeCA.pem
      keytool -import -noprompt -v -trustcacerts
              -alias "CA Root" 
              -file CARootCert.crt
              -keystore buildForgeTrustStore.p12
              -storepass <bfpassword>
              -storetype pkcs12

タスクの結果

Build Forge は、パスワードで保護された PEM 鍵ストア buildForgeKey.pem を 使用します。Apache サーバーは、始動時にこのパスワードを求めるプロンプトを出します。
始動時にパスワードを求めるプロンプトが表示されないようにするには、 パスワード保護されていない PEM 鍵ストアを生成し、Apache サーバーがその鍵ストアを 使用するようにします。以下のコマンドはその例です。
openssl rsa -in buildForgeKey.pem 
            -passin pass:<password>
            -out buildForgeKeyForApache.pem

必ず、この無保護の PEM 鍵ストアを、Build Forge を実行するプロセスの ID にアクセスする必要のある、すべてのユーザーに対して読み取り可能にしてください。


フィードバック