Los almacenes de claves de PEM recibidos de una entidad emisora de certificados pueden convertirse en almacenes de claves para uso con Build Forge.
Antes de empezar
Descargue los archivos de políticas no restringidas para el kit de desarrollo de software. Este requisito previo sólo se aplica si el tamaño de clave es demasiado grande para los archivos de políticas restringidas. Descargue los archivos de https://www14.software.ibm.com/webapp/iwm/web/reg/signup.do?source=jcesdk&lang=en_US&S_PKG=142ww
Nota: Debe
utilizar el programa de utilidad keytool suministrado por IBM.
Acerca de esta tarea
Si tiene un conjunto de archivos de PEM de una entidad
emisora de certificados, deberá utilizarlos para crear un conjunto de
almacenes de claves OpenSSL y JSSE para Build Forge.
Procedimiento
- Incluya los directorios de la herramienta Build Forge en la VÍA DE ACCESO.
- <bfinstall>/openssl
- <bfinstall>/ibmjdk/bin para Windows
- <bfinstall>server/ibmjdk/bin para UNIX o Linux
Para UNIX y Linux, incluya el siguiente directorio en LD_LIBRARY_PATH:
<bfinstall>/openssl
- Convierta los archivos de PEM en un almacén de claves PKCS12.
Utilice el siguiente mandato:
openssl pkcs12
-export
-name "buildforge"
-out buildForgeKeyStore.p12
-inkey <key.pem>
-passin pass:<pempassword>
-in <crt.pem>
-password pass:<bfpassword>
- Compruebe que se ha añadido el certificado y que puede leerse.
keytool -v
-list
-keystore buildForgeKeyStore.p12
-storepass <bfpassword>
-storetype pkcs12
Si recibe un error de tamaño
de clave no válido, descargue los archivos de políticas no
restringidas. Siga las instrucciones que se ofrecen al comienzo de
esta sección.
- Exporte el certificado público.
En una ventana de mandatos, vaya a <bfinstall>/keystore y, a continuación, ejecute este mandato:
keytool -export
-alias buildforge
-file cert.der
-keystore buildForgeKeyStore.p12
-storepass <bfpassword>
-storetype pkcs12
- El certificado se almacena en el archivo cert.der.
- Utilice la misma <bfpassword> que especificó para almacenes de claves durante la instalación. En caso contrario, deberá cambiar la configuración.
- Cree el almacén de confianza e importe el certificado público.
En una ventana de mandatos, vaya a <bfinstall>/keystore, luego ejecute este mandato:
keytool -import
-noprompt -trustcacerts
-alias buildforge
-file cert.der
-keystore buildForgeTrustStore.p12
-storepass <bfpassword>
-storetype pkcs12
- Coloque el certificado de cliente público en buildForgeCert.pem.
En una ventana de mandatos, vaya a <bfinstall>/keystore y, a continuación, ejecute este mandato:
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12
-passin: pass:<bfpassword>
-out buildForgeCert.pem
- Coloque el certificado y las claves en buildForgeKey.pem
En una ventana de mandatos, vaya a <bfinstall>/keystore y, a continuación, ejecute este mandato:
openssl pkcs12
-in buildForgeKeyStore.p12
-passin pass:<bfpassword>
-passout pass:<bfpassword>
-out buildForgeKey.pem
- Cree la entidad emisora de certificados de PEM buildForgeCA.pem.
- Descargue el certificado root de la entidad emisora de certificados en <bfinstall>/keystore. Se llama CARootCert.crt. Debe agregarse a los almacenes de claves de PEM y se puede importar a buildForgeTrustStore.p12.
- En una ventana de mandatos, vaya a <bfinstall>/keystore y, a continuación, ejecute estos mandatos:
cat CARootCert.crt > buildForgeCA.pem
keytool -import -noprompt -v -trustcacerts
-alias "CA Root"
-file CARootCert.crt
-keystore buildForgeTrustStore.p12
-storepass <bfpassword>
-storetype pkcs12
Resultados
Build Forge utiliza un almacén de claves de PEM protegido por contraseña, buildForgeKey.pem.
El servidor Apache solicita la contraseña durante el inicio.
Si no desea que se le solicite contraseña durante el inicio, genere entonces un almacén de claves de PEM que no esté protegido por contraseña y haga que el servidor Apache lo utilice. El siguiente mandato es un ejemplo.
openssl rsa -in buildForgeKey.pem
-passin pass:<password>
-out buildForgeKeyForApache.pem
Asegúrese de que el almacén de claves de PEM no protegido puede ser leído por cualquier usuario que necesite acceder al ID del proceso que ejecuta Build Forge.