Von einer Zertifizierungsstelle empfangene PEM-Keystores können in mit Build Forge einsetzbare Keystores konvertiert werden.
Vorbereitende Schritte
Laden Sie die uneingeschränkten Richtliniendateien für Ihr Software-Development-Kit herunter. Dies ist nur erforderlich, wenn Ihre Schlüssel für die uneingeschränkten Richtliniendateien zu groß sind. Laden Sie die Dateien unter folgender URL herunter: https://www14.software.ibm.com/webapp/iwm/web/reg/signup.do?source=jcesdk&lang=en_US&S_PKG=142ww
Anmerkung: Sie müssen das von IBM bereitgestellte Dienstprogramm "keytool" verwenden.
Informationen zu diesem Vorgang
Wenn Sie über eine Gruppe von PEM-Dateien von einer Zertifizierungsstelle
verfügen, müssen Sie diese verwenden, um eine Gruppe von OpenSSL- und JSSE-Keystores für
Build Forge zu erstellen.
Vorgehensweise
- Fügen Sie die Build Forge-Toolverzeichnisse in Ihre PATH-Anweisung ein.
- <bf-installationsverzeichnis>/openssl
- <bf-installationsverzeichnis>/ibmjdk/bin für Windows
- <bf-installationsverzeichnis>server/ibmjdk/bin für UNIX oder Linux
Fügen Sie für UNIX und Linux das folgende Verzeichnis in LD_LIBRARY_PATH hinzu:
<bf-installationsverzeichnis>/openssl
- Konvertieren Sie die PEM-Dateien in einen PKCS12-Keystore.
Verwenden Sie den folgenden Befehl:
openssl pkcs12
-export
-name "buildforge"
-out buildForgeKeyStore.p12
-inkey <schlüssel.pem>
-passin pass:<pem-kennwort>
-in <zertifikat.pem>
-password pass:<bf-kennwort>
- Prüfen Sie, ob das Zertifikat hinzugefügt wurde und lesbar ist.
keytool -v
-list
-keystore buildForgeKeyStore.p12
-storepass <bf-kennwort>
-storetype pkcs12
Wenn Sie einen Fehler wegen einer ungültigen
Schlüsselgröße erhalten, laden Sie Richtliniendateien herunter, für die keine
Einschränkungen bestehen. Anweisungen hierzu stehen am Anfang dieses Abschnitts.
- Exportieren Sie das öffentliche Zertifikat.
Wechseln Sie in einem Befehlsfenster zu
<bf-installationsverzeichnis>/keystore
und führen Sie dann folgenden Befehl aus:
keytool -export
-alias buildforge
-file cert.der
-keystore buildForgeKeyStore.p12
-storepass <bf-kennwort>
-storetype pkcs12
- Das Zertifikat ist in der Datei cert.der gespeichert.
- Verwenden Sie das <bf-kennwort>, das bei der Installation für Keystores angegeben wurde. Andernfalls müssen Sie die Konfiguration ändern.
- Erstellen Sie den Truststore und importieren Sie das öffentliche Zertifikat.
Wechseln Sie in einem Befehlsfenster zu <bf-installationsverzeichnis>/keystore und führen Sie dann folgenden Befehl aus:
keytool -import
-noprompt -trustcacerts
-alias buildforge
-file cert.der
-keystore buildForgeTrustStore.p12
-storepass <bf-kennwort>
-storetype pkcs12
- Fügen Sie das öffentliche Clientzertifikat zu buildForgeCert.pem hinzu.
Wechseln Sie in einem Befehlsfenster zu
<bf-installationsverzeichnis>/keystore
und führen Sie dann folgenden Befehl aus:
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12
-passin: pass:<bf-kennwort>
-out buildForgeCert.pem
- Fügen Sie das Zertifikat und die Schlüssel zu buildForgeKey.pem hinzu.
Wechseln Sie in einem Befehlsfenster zu
<bf-installationsverzeichnis>/keystore
und führen Sie dann folgenden Befehl aus:
openssl pkcs12
-in buildForgeKeyStore.p12
-passin pass:<bf-kennwort>
-passout pass:<bf-kennwort>
-out buildForgeKey.pem
- Erstellen Sie die Datei buildForgeCA.pem für die PEM-Zertifizierungsstelle.
- Laden Sie das Stammzertifikat der Zertifizierungsstelle in <bf-installationsverzeichnis>/keystore herunter. Der Name des Zertifikats lautet CARootCert.crt. Es muss Ihren PEM-Keystores hinzugefügt werden und kann in buildForgeTrustStore.p12 importiert werden.
- Wechseln Sie in einem Befehlsfenster zu
<bf-installationsverzeichnis>/keystore
und führen Sie dann folgende Befehle aus:
cat CARootCert.crt > buildForgeCA.pem
keytool -import -noprompt -v -trustcacerts
-alias "CA Root"
-file CARootCert.crt
-keystore buildForgeTrustStore.p12
-storepass <bf-kennwort>
-storetype pkcs12
Ergebnisse
In Build Forge wird ein kennwortgeschützter PEM-Keystore mit dem Namen buildForgeKey.pem verwendet.
Beim Start des Apache-Servers wird das Kennwort abgefragt.
Wenn Sie beim Start nicht zur Eingabe des Kennworts aufgefordert werden möchten, generieren Sie einen PEM-Keystore, der nicht kennwortgeschützt ist, und legen Sie fest, dass dieser vom Apache-Server verwendet wird. Dazu kann z. B. der folgende Befehl verwendet werden.
openssl rsa -in buildForgeKey.pem
-passin pass:<kennwort>
-out buildForgeKeyForApache.pem
Stellen Sie sicher, dass der ungeschützte PEM-Keystore von jedem Benutzer gelesen werden kann, der Zugriff auf die ID des Prozesses benötigt, in dem Build Forge ausgeführt wird.