새 자체 서명된 인증서 작성

제공된 도구를 사용하여 새 자체 서명된 인증서를 작성합니다.

시작하기 전에

설치 중에 키 저장소에 대해 지정한 비밀번호가 필요합니다. 모르는 경우 bfinstall/Apache/tomcat/conf/server.xml에서 찾아보십시오. SSL/HTTP 커넥터의 keystorePass 속성에 비밀번호가 포함되어 있습니다.

이 태스크 정보

이 프로시저에서는 Build Forge를 설치하는 동안 자동으로 작성된 인증서를 바꾸는 방법에 대해 설명합니다. 다음 특성이 포함된 인증서가 작성됩니다.

opensslibmjdk 도구를 사용하여 인증서를 작성합니다. 도구는 Build Forge 소프트웨어에 포함되어 있습니다.

다음과 같은 다섯 개의 키 저장소가 필요합니다.

참고: 예제 명령에서는 정확성을 위해 행 바꾸기가 사용됩니다. 명령에는 행 바꾸기를 사용하지 마십시오. 하나의 문자열로 입력하거나 행 연속 문자(Windows의 경우 ^, UNIX 또는 Linux의 경우 \)를 사용합니다.
중요사항: 모든 키 저장소에 동일한 비밀번호가 사용됩니다. 예제에서는 password로 표시됩니다.

프로시저

  1. Build Forge 엔진이 설치되어 있는 호스트에 로그온하십시오.
  2. 경로에 도구 디렉토리를 배치하십시오.
    • <bfinstall>/openssl
    • <bfinstall>/ibmjdk/bin
  3. LD_LIBRARY_PATH에 openssl 디렉토리를 배치하십시오.
    • <bfinstall>/openssl
  4. buildForgeKeyStore.p12 키 저장소, 인증서 및 공개-개인 키 쌍을 작성하십시오.
    1. 임시 디렉토리에서 keytool을 실행하여 키 저장소를 작성하십시오.
      keytool -genkey -alias buildforge
      -keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
      -keystore buildForgeKeyStore.p12
      -storepass password
      -storetype pkcs12
    2. 키 저장소 파일(buildForgeKeyStore.p12)을 <bfinstall>/keystore로 복사하십시오. 이는 기존 파일을 겹쳐씁니다.
  5. 공용 인증서를 내보내십시오. <bfinstall>/keystore 디렉토리에서 이 명령을 실행하십시오.
    keytool -export -alias buildforge
    -file cert.der -keystore buildForgeKeyStore.p12
    -storepass password
    -storetype pkcs12
  6. 신뢰 저장소를 작성하십시오.
    1. 임시 디렉토리에서 keytool을 실행하여 신뢰 저장소를 작성하십시오.
      cd /temp
      keytool -import -noprompt -trustcacerts -alias buildforge
      -file cert.der -keystore buildForgeTrustStore.p12
      -storepass password
      -storetype pkcs12
    2. 신뢰 저장소 파일(buildForgeTrustStore.p12)을 <bfinstall>/keystore에 복사하십시오. 이는 기존 파일을 겹쳐씁니다.
  7. buildForgeCert.pem에 공용 클라이언트 인증서를 배치하십시오. <bfinstall>/keystore 디렉토리에서 이 명령을 실행하십시오.
    openssl pkcs12 -clcerts -nokeys
    -in buildForgeKeyStore.p12 -passin pass:password
    -out buildForgeCert.pem
  8. buildForgeKey.pem에 인증서 및 키를 배치하십시오. <bfinstall>/keystore 디렉토리에서 이 명령을 실행하십시오.
    openssl pkcs12
    -in buildForgeKeyStore.p12 -passin pass:password
    -passout pass:password -out buildForgeKey.pem
  9. PEM CA(Certificate Authority) buildForgeCA.pem을 작성하십시오. 이는 buildForgeKey.pem의 사본입니다. <bfinstall>/keystore 디렉토리에서 이 명령을 실행하십시오.
    cat buildForgeCert.pem > buildForgeCA.pem

다음에 수행할 작업

buildForgeKey.pem은 비밀번호로 보호된 PEM 키 저장소입니다. Apache 서버에서 시작 중에 비밀번호를 프롬프트합니다. 시작 중에 비밀번호에 대한 프롬프트를 표시하지 않으려면 Apache 서버에서 사용할 비밀번호로 보호되지 않는 PEM 키 저장소를 생성합니다.

개인 키에서 비밀번호를 제거하려면 다음 단계를 수행할 수 있습니다. Build Forge를 실행하는 프로세스의 ID에 액세스해야 하는 사용자가 buildForgeKeyForApache.pem 파일을 읽을 수 있는지 확인해야 합니다.
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem

피드백