從「憑證管理中心」接收的 PEM 金鑰儲存庫可以轉換成用於 Build Forge 的金鑰儲存庫。
開始之前
下載適用於您的 SDK 的無限制原則檔。只有當金鑰大小對限制的原則檔而言太大時,才適用這項必要條件。從 https://www14.software.ibm.com/webapp/iwm/web/reg/signup.do?source=jcesdk&lang=en_US&S_PKG=142ww下載檔案
註: 您必須使用 IBM 所提供的 keytool 公用程式。
關於這項作業
如果您有一組來自「憑證管理中心」的 PEM 檔,您必須利用它們來建立一組 OpenSSL 和 JSSE 金鑰儲存庫,以用於 Build Forge。
程序
- 將 Build Forge 工具目錄併入 PATH 中。
- <bfinstall>/openssl
- <bfinstall>/ibmjdk/bin(若為 Windows)
- <bfinstall>server/ibmjdk/bin(若為 UNIX 或 Linux)
如果是 UNIX 和 Linux,請將下列目錄併入 LD_LIBRARY_PATH 中:
<bfinstall>/openssl
- 將 PEM 檔轉換成 PKCS12 金鑰儲存庫。
請使用下列指令:
openssl pkcs12
-export
-name "buildforge"
-out buildForgeKeyStore.p12
-inkey <key.pem>
-passin pass:<pempassword>
-in <crt.pem>
-password pass:<bfpassword>
- 確認憑證已經新增,且可以讀取。
keytool -v
-list
-keystore buildForgeKeyStore.p12
-storepass <bfpassword>
-storetype pkcs12
如果出現金鑰大小無效的錯誤,請下載無限制的原則檔。請使用這一節開頭的指示。
- 匯出公開憑證。
在指令視窗中,跳至 <bfinstall>/keystore,然後執行以下指令:
keytool -export
-alias buildforge
-file cert.der
-keystore buildForgeKeyStore.p12
-storepass <bfpassword>
-storetype pkcs12
- 該憑證會儲存在 cert.der 檔中。
- 使用在安裝期間指定給金鑰儲存庫的相同 <bfpassword>。否則,您需要變更配置。
- 建立信任儲存庫並匯入公開憑證。
在指令視窗中,移至 <bfinstall>/keystore,然後執行以下指令:
keytool -import
-noprompt -trustcacerts
-alias buildforge
-file cert.der
-keystore buildForgeTrustStore.p12
-storepass <bfpassword>
-storetype pkcs12
- 將公開用戶端憑證放在 buildForgeCert.pem 中。
在指令視窗中,跳至 <bfinstall>/keystore,然後執行以下指令:
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12
-passin: pass:<bfpassword>
-out buildForgeCert.pem
- 將憑證和金鑰放在 buildForgeKey.pem 中
在指令視窗中,跳至 <bfinstall>/keystore,然後執行以下指令:
openssl pkcs12
-in buildForgeKeyStore.p12
-passin pass:<bfpassword>
-passout pass:<bfpassword>
-out buildForgeKey.pem
- 建立「PEM 憑證管理中心」buildForgeCA.pem。
- 將 CA 主要憑證下載至 <bfinstall>/keystore。 其名稱為 CARootCert.crt。其需要加入 PEM 金鑰儲存庫中,且可以匯入 buildForgeTrustStore.p12 中。
- 在指令視窗中,跳至 <bfinstall>/keystore,然後執行以下指令:
cat CARootCert.crt > buildForgeCA.pem
keytool -import -noprompt -v -trustcacerts
-alias "CA Root"
-file CARootCert.crt
-keystore buildForgeTrustStore.p12
-storepass <bfpassword>
-storetype pkcs12
結果
Build Forge 會使用受密碼保護的 PEM 金鑰儲存庫 buildForgeKey.pem。在啟動期間,Apache 伺服器會提示您輸入密碼。
如果您不要系統在啟動期間提示您輸入密碼,請產生不受密碼保護的 PEM 金鑰儲存庫,並供 Apache 伺服器使用。以下是範例指令。
openssl rsa -in buildForgeKey.pem
-passin pass:<password>
-out buildForgeKeyForApache.pem
請確定需要存取執行 Build Forge 之處理程序 ID 的任何使用者,可讀取不受保護的 PEM 金鑰儲存庫。