提供されているツールを使用して、新しい自己署名証明書を作成します。
始める前に
インストール時に鍵ストアに対して指定されたパスワードが必要です。
パスワードが分からない場合は、bfinstall/Apache/tomcat/conf/server.xml を調べてください。
SSL/HTTP コネクターの keystorePass 属性に、パスワードが含まれています。
このタスクについて
この手順では、Build Forge のインストール時に自動生成された証明書を置き換える方法について説明します。
以下のプロパティーが指定された証明書を作成します。
- 鍵ストア: buildForgeKeyStore.p12
- 有効期限: 15 年 (5475 日として設定)
- サブジェクト DN: CN=hostname (ここで、hostname は完全修飾ホスト名)。
証明書の作成には、openssl ツールおよび ibmjdk ツールを使用します。
これらのツールは、Build Forge ソフトウェアに組み込まれています。
以下の 5 つの鍵ストアが必要です。
- buildForgeKeyStore.p12 - 証明書および鍵のコンテナーとなる鍵ストア
- buildForgeTrustStore.p12 - 証明書および鍵のコンテナーとなるトラストストア
- buildForgeKey.pem - PEM 鍵ストア
- buildForgeCert.pem - パブリック証明書
- buildForgeCA.pem - PEM 認証局 (CA)
注: コマンド例では、見やすくするために改行を挿入しています。
実際のコマンドでは、改行は挿入しないでください。
1 つのストリングとして入力するか、行継続文字 (Windows の場合は ^、
UNIX または Linux の場合は ¥) を使用してください。
重要: すべての鍵ストアに同じパスワードが使用されます。この例では、password として示されます。
手順
- Build Forge エンジンがインストールされているホストにログオンします。
- パスにツール・ディレクトリーを含めます。
- <bfinstall>/openssl
- <bfinstall>/ibmjdk/bin
- LD_LIBRARY_PATH に openssl ディレクトリーを置きます。
- 鍵ストア buildForgeKeyStore.p12、証明書、および公開鍵と秘密鍵のペアを作成します。
- 一時ディレクトリーで、以下のように keytool を実行して、鍵ストアを作成します。
keytool -genkey -alias buildforge
-keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
-keystore buildForgeKeyStore.p12
-storepass password
-storetype pkcs12
- 鍵ストア・ファイル (buildForgeKeyStore.p12) を <bfinstall>/keystore にコピーします。
既存のファイルは上書きされます。
- パブリック証明書をエクスポートします。 ディレクトリー <bfinstall>/keystore で、以下のコマンドを実行します。
keytool -export -alias buildforge
-file cert.der -keystore buildForgeKeyStore.p12
-storepass password
-storetype pkcs12
- トラストストアを作成します。
- 一時ディレクトリーで、以下のように keytool を実行して、トラストストアを作成します。
cd /temp
keytool -import -noprompt -trustcacerts -alias buildforge
-file cert.der -keystore buildForgeTrustStore.p12
-storepass password
-storetype pkcs12
- トラストストア・ファイル (buildForgeTrustStore.p12) を <bfinstall>/keystore にコピーします。
既存のファイルは上書きされます。
- パブリック・クライアント証明書を buildForgeCert.pem に入れます。 ディレクトリー <bfinstall>/keystore で、以下のコマンドを実行します。
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12 -passin pass:password
-out buildForgeCert.pem
- 証明書および鍵を buildForgeKey.pem に入れます。 ディレクトリー <bfinstall>/keystore で、以下のコマンドを実行します。
openssl pkcs12
-in buildForgeKeyStore.p12 -passin pass:password
-passout pass:password -out buildForgeKey.pem
- PEM 認証局 buildForgeCA.pem を作成します。 これは、buildForgeKey.pem のコピーです。
ディレクトリー <bfinstall>/keystore で、以下のコマンドを実行します。
cat buildForgeCert.pem > buildForgeCA.pem
次のタスク
buildForgeKey.pem は、パスワード保護された PEM 鍵ストアです。
Apache サーバーは、始動時にこのパスワードを求めるプロンプトを出します。
始動時にパスワードを求めるプロンプトが表示されないようにするには、パスワード保護されていない PEM 鍵ストアを Apache サーバー用に生成します。
秘密鍵からパスワードを除去するには、以下の手順を実行します。必ず、Build Forge を実行するプロセスの ID にアクセスする必要のあるユーザーが、
buildForgeKeyForApache.pem ファイルを読み取れるようにしておいてください。
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem