建立新的自簽憑證

請使用提供的工具來建立新的自簽憑證。

開始之前

您需要有安裝期間指定給金鑰儲存庫的密碼。如果您不知道密碼,請查看 bfinstall/Apache/tomcat/conf/server.xml。SSL/HTTP 連接器的 keystorePass 屬性包含此密碼。

關於這項作業

此程序說明如何取代在 Rational® Build Forge® 安裝期間自動建立的憑證。其會以下列內容建立憑證:

若要建立憑證,請使用 opensslibmjdk 工具。這些工具都隨附於 Rational® Build Forge® 軟體中。

需要五個金鑰儲存庫:

註: 在範例指令中,使用了換行以便於閱讀。請勿在指令中使用換行。請當成一個字串或使用行接續字元(Windows 為 ^,UNIX 或 Linux 為 \)來輸入。
重要: 所有金鑰儲存庫都使用相同的密碼。其在範例中會顯示為 password

程序

  1. 登入其中安裝 Rational® Build Forge® 伺服器的主機。
  2. 將工具目錄新增至下面所列的檔案路徑:
    • <bfinstall>/openssl
    • <bfinstall>/ibmjdk/bin
  3. openssl 目錄新增至 LD_LIBRARY_PATH 檔案路徑。 例如,<bfinstall>/openssl
  4. 建立金鑰儲存庫 buildForgeKeyStore.p12、憑證和公開私密金鑰配對。
    1. 在暫存目錄中,使用下列 Script 來建立金鑰儲存庫:
      keytool -genkey -alias buildforge
      -keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
      -keystore buildForgeKeyStore.p12
      -storepass password
      -storetype pkcs12 
    2. 將金鑰儲存庫檔 buildForgeKeyStore.p12 複製到 <bfinstall>/keystore。其會改寫現有的檔案。
  5. <bfinstall>/keystore 目錄中,輸入下列指令來匯出公開憑證:
    keytool -export -alias buildforge
    -file cert.der -keystore buildForgeKeyStore.p12
    -storepass password
    -storetype pkcs12
  6. 建立信任儲存庫:
    1. 從暫存目錄中,執行 keytool 來建立信任儲存庫:
      cd /temp
      keytool -import -noprompt -trustcacerts -alias buildforge
      -file cert.der -keystore buildForgeTrustStore.p12
      -storepass password
      -storetype pkcs12
    2. 將信任儲存庫檔 buildForgeTrustStore.p12 複製到 <bfinstall>/keystore。其會改寫現有的檔案。
  7. 將公開用戶端憑證放在 buildForgeCert.pem 中。<bfinstall>/keystore 目錄中,執行下列指令:
    openssl pkcs12 -clcerts -nokeys
    -in buildForgeKeyStore.p12 -passin pass:password
    -out buildForgeCert.pem
  8. 將憑證和金鑰放在 buildForgeKey.pem<bfinstall>/keystore 目錄中,執行下列指令:
    openssl pkcs12
    -in buildForgeKeyStore.p12 -passin pass:password
    -passout pass:password -out buildForgeKey.pem
  9. <bfinstall>/keystore 目錄中,執行下列指令來建立「PEM 憑證管理中心」buildForgeCA.pem 此指令會建立 buildForgeKey.pem 的副本。
    • Windows:
      copy buildForgeKey.pem buildForgeCA.pem
    • UNIX 和 Linux:
      cat buildForgeKey.pem > buildForgeCA.pem 

下一步

buildForgeKey.pem 是受密碼保護的 PEM 金鑰儲存庫。在啟動期間,Apache 伺服器會提示您輸入密碼。如果您不要系統提示您輸入此密碼,請產生不受密碼保護的 PEM 金鑰儲存庫供 Apache 伺服器使用。

若要從私密金鑰移除密碼,請輸入下面的指令。確定 buildForgeKeyForApache.pem 檔可供需要存取執行 Build Forge 之處理程序 ID 的人員讀取。
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem

意見