Use as ferramentas fornecidas para criar um novo certificado autoassinado.
Antes de Iniciar
É necessária a senha especificada para o keystore durante a instalação. Se você não souber a senha, consulte bfinstall/Apache/tomcat/conf/server.xml.
O atributo keystorePass no conector SSL/HTTP contém a senha.
Sobre Esta Tarefa
Este procedimento descreve como substituir um certificado que foi criado automaticamente durante uma instalação do Rational® Build
Forge®. Ele cria um certificado com as seguintes propriedades:
- Keystore: buildForgeKeyStore.p12
- Expiração: 15 anos (definido como 5475 dias)
- DN do Assunto: CN=hostname, em que hostname é o nome completo do host.
Para criar o certificado, use as ferramentas openssl e ibmjdk.
As ferramentas estão incluídas no software Rational® Build
Forge®.
Cinco
keystores são necessários:
- buildForgeKeyStore.p12 - keystore, contêiner para certificados e chaves
- buildForgeTrustStore.p12 - truststore, contêiner para certificados e chaves
- buildForgeKey.pem - keystore PEM
- buildForgeCert.pem - certificado público
- buildForgeCA.pem - Autoridade de Certificação (CA) PEM
Nota: No exemplo de comandos, quebras de linha são usadas para maior clareza.
Não
use-as no comando. Digite-o como uma única sequência ou use o caractere de continuação de
linha (^ para Windows, \ para UNIX ou Linux).
Importante: A mesma senha é usada para todos os keystores. Ela é mostrada como
password nos exemplos.
Procedimento
- Efetue logon no host onde o servidor Rational® Build
Forge® está instalado.
- Inclua o diretório de ferramentas no caminho de arquivo conforme listado abaixo:
- <bfinstall>/openssl
- <bfinstall>/ibmjdk/bin
- Inclua o diretório openssl no caminho de arquivo LD_LIBRARY_PATH. Por exemplo, <bfinstall>/openssl.
- Crie o keystore buildForgeKeyStore.p12, o certificado e o par de chaves pública/privada.
- Em um diretório temporário, use o script a seguir para criar o keystore:
keytool -genkey -alias buildforge
-keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
-keystore buildForgeKeyStore.p12
-storepass password
-storetype pkcs12
- Copie o arquivo keystore, buildForgeKeyStore.p12, em <bfinstall>/keystore. Ele sobrescreverá o arquivo existente.
- No diretório <bfinstall>/keystore, insira o comando a seguir para exportar o certificado público:
keytool -export -alias buildforge
-file cert.der -keystore buildForgeKeyStore.p12
-storepass password
-storetype pkcs12
- Crie o armazenamento confiável:
- Em um diretório temporário, execute keytool para criar o armazenamento confiável:
cd /temp
keytool -import -noprompt -trustcacerts -alias buildforge
-file cert.der -keystore buildForgeTrustStore.p12
-storepass password
-storetype pkcs12
- Copie o arquivo de armazenamento confiável buildForgeTrustStore.p12 em <bfinstall>/keystore.
Ele sobrescreverá o arquivo existente.
- Coloque o certificado de cliente público em buildForgeCert.pem. No diretório <bfinstall>/keystore,
execute este comando:
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12 -passin pass:password
-out buildForgeCert.pem
- Coloque o certificado e as chaves em buildForgeKey.pem No diretório <bfinstall>/keystore,
execute este comando:
openssl pkcs12
-in buildForgeKeyStore.p12 -passin pass:password
-passout pass:password -out buildForgeKey.pem
- No diretório <bfinstall>/keystore,
execute o seguinte comando para criar a Autoridade de Certificação PEM, buildForgeCA.pem. O comando cria uma cópia de buildForgeKey.pem.
O que Fazer Depois
O buildForgeKey.pem é um keystore PEM protegido por senha.
Durante a inicialização, o servidor Apache solicita uma senha. Se você
não quiser receber essa solicitação de senha, gere um keystore PEM para
o servidor Apache que não seja protegido por senha.
Para
remover a senha da chave privada, insira o comando abaixo.
Certifique-se de que o arquivo
buildForgeKeyForApache.pem
seja legível para aqueles que precisam acessar o ID do processo que
está executando o Build Forge.
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem