새 자체 서명된 인증서 작성

제공된 도구를 사용하여 새 자체 서명된 인증서를 작성합니다.

시작하기 전에

설치 중에 키 저장소에 대해 지정한 비밀번호가 필요합니다. 비밀번호를 모르는 경우, bfinstall/Apache/tomcat/conf/server.xml에서 찾아보십시오. SSL/HTTP 커넥터의 keystorePass 속성에 비밀번호가 포함되어 있습니다.

이 태스크 정보

이 프로시저에서는 Rational® Build Forge®를 설치하는 동안 자동으로 작성된 인증서를 바꾸는 방법에 대해 설명합니다. 다음 특성이 포함된 인증서가 작성됩니다.

인증서를 작성하려면 opensslibmjdk 도구를 사용하십시오. 도구는 Rational® Build Forge® 소프트웨어에 포함되어 있습니다.

다음과 같은 다섯 개의 키 저장소가 필요합니다.

참고: 예제 명령에서는 정확성을 위해 행 바꾸기가 사용됩니다. 명령에는 행 바꾸기를 사용하지 마십시오. 하나의 문자열로 입력하거나 행 연속 문자(Windows의 경우 ^, UNIX 또는 Linux의 경우 \)를 사용합니다.
중요사항: 모든 키 저장소에 동일한 비밀번호가 사용됩니다. 예제에서는 password로 표시됩니다.

프로시저

  1. Rational® Build Forge® 서버가 설치되어 있는 호스트에 로그온하십시오.
  2. 아래에 표시된 대로 파일 경로에 도구 디렉토리를 추가하십시오.
    • <bfinstall>/openssl
    • <bfinstall>/ibmjdk/bin
  3. openssl 디렉토리를 LD_LIBRARY_PATH 파일 경로에 추가하십시오 (예: <bfinstall>/openssl).
  4. buildForgeKeyStore.p12 키 저장소, 인증서 및 공개-개인 키 쌍을 작성하십시오.
    1. 임시 디렉토리에서 다음 스크립트를 사용하여 키 저장소를 작성하십시오.
      keytool -genkey -alias buildforge
      -keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
      -keystore buildForgeKeyStore.p12
      -storepass password
      -storetype pkcs12 
    2. 키 저장소 파일 buildForgeKeyStore.p12<bfinstall>/keystore로 복사하십시오. 이는 기존 파일을 겹쳐씁니다.
  5. <bfinstall>/keystore 디렉토리에서 다음 명령을 입력하여 공용 인증서를 내보내십시오.
    keytool -export -alias buildforge
    -file cert.der -keystore buildForgeKeyStore.p12
    -storepass password
    -storetype pkcs12
  6. 신뢰 저장소를 작성하십시오.
    1. 임시 디렉토리에서 keytool을 실행하여 신뢰 저장소를 작성하십시오.
      cd /temp
      keytool -import -noprompt -trustcacerts -alias buildforge
      -file cert.der -keystore buildForgeTrustStore.p12
      -storepass password
      -storetype pkcs12
    2. 신뢰 저장소 파일 buildForgeTrustStore.p12<bfinstall>/keystore로 복사하십시오. 이는 기존 파일을 겹쳐씁니다.
  7. buildForgeCert.pem에 공용 클라이언트 인증서를 배치하십시오. <bfinstall>/keystore 디렉토리에서 다음 명령을 실행하십시오.
    openssl pkcs12 -clcerts -nokeys
    -in buildForgeKeyStore.p12 -passin pass:password
    -out buildForgeCert.pem
  8. buildForgeKey.pem에 인증서 및 키를 배치하십시오. <bfinstall>/keystore 디렉토리에서 다음 명령을 실행하십시오.
    openssl pkcs12
    -in buildForgeKeyStore.p12 -passin pass:password
    -passout pass:password -out buildForgeKey.pem
  9. <bfinstall>/keystore 디렉토리에서 다음 명령을 실행하여 PEM CA(buildForgeCA.pem)를 작성하십시오. 명령은 buildForgeKey.pem 사본을 작성합니다.
    • Windows:
      copy buildForgeKey.pem buildForgeCA.pem
    • UNIX 및 Linux:
      cat buildForgeKey.pem > buildForgeCA.pem 

다음에 수행할 작업

buildForgeKey.pem은 비밀번호로 보호된 PEM 키 저장소입니다. 시작 중에 Apache 서버가 비밀번호를 입력하도록 표시합니다. 이 비밀번호에 대한 프롬프트를 표시하지 않으려면 Apache 서버에 대해 비밀번호로 보호되지 않는 PEM 키 저장소를 생성하십시오.

개인 키에서 비밀번호를 제거하려면 아래 명령을 입력하십시오. Build Forge를 실행하는 프로세스의 ID에 액세스해야 하는 사용자가 buildForgeKeyForApache.pem 파일을 읽을 수 있는지 확인해야 합니다.
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem

피드백