PEM 키 저장소를 Build Forge 키 저장소로 변환

CA(Certificate Authority)에서 받은 PEM 키 저장소를 Build Forge에서 사용할 수 있는 키 저장소로 변환할 수 있습니다.

시작하기 전에

SDK에 대한 제한되지 않은 정책 파일을 다운로드합니다. 이 전제조건은 제한된 정책 파일에 대한 키 크기가 너무 큰 경우에만 적용됩니다. https://www14.software.ibm.com/webapp/iwm/web/reg/signup.do?source=jcesdk&lang=en_US&S_PKG=142ww에서 파일을 다운로드하십시오.
참고: IBM에서 제공하는 keytool 유틸리티를 사용해야 합니다.

이 태스크 정보

인증 기관으로부터 받은 PEM 파일 세트가 있는 경우 해당 파일을 사용하여 Build Forge에 적합한 OpenSSL 및 JSSE 키 저장소 세트를 작성해야 합니다.

프로시저

  1. 경로에 Build Forge 도구 디렉토리를 포함하십시오.
    • <bfinstall>/openssl
    • <bfinstall>/ibmjdk/bin(Windows의 경우)
    • <bfinstall>server/ibmjdk/bin(UNIX 또는 Linux의 경우)
    UNIX 및 Linux의 경우 LD_LIBRARY_PATH에 다음 디렉토리를 포함시키십시오.
    <bfinstall>/openssl
  2. PEM 파일을 PKCS12 키 저장소로 변환하십시오.

    다음 명령을 사용하십시오.

    openssl pkcs12 
            -export 
            -name "buildforge" 
            -out buildForgeKeyStore.p12 
            -inkey <key.pem> 
            -passin pass:<pempassword>
            -in <crt.pem>
            -password pass:<bfpassword>
  3. 인증서가 추가되었으며 읽을 수 있는지 확인하십시오.
    keytool -v
            -list
            -keystore buildForgeKeyStore.p12
            -storepass <bfpassword>
            -storetype pkcs12

    올바르지 않은 키 크기에 대한 오류가 발생하는 경우 제한사항이 없는 정책 파일을 다운로드하십시오. 이 절의 시작 부분에 있는 지시사항을 사용하십시오.

  4. 공용 인증서를 내보내십시오.

    명령 창에서 <bfinstall>/keystore로 이동하고 이 명령을 실행하십시오.

    keytool -export
            -alias buildforge
            -file cert.der
            -keystore buildForgeKeyStore.p12
            -storepass <bfpassword>
            -storetype pkcs12
    • 인증서가 cert.der 파일에 저장됩니다.
    • 설치 중에 키 저장소에 지정된 동일한 <bfpassword>를 사용하십시오. 그렇지 않으면 구성을 변경해야 합니다.
  5. 신뢰 저장소를 작성하고 공용 인증서를 가져오십시오.

    명령 창에서 <bfinstall>keystore로 이동한 후 다음 명령을 실행하십시오.

    keytool -import
            -noprompt -trustcacerts
            -alias buildforge
            -file cert.der
            -keystore buildForgeTrustStore.p12
            -storepass <bfpassword>
            -storetype pkcs12
  6. buildForgeCert.pem에 공용 클라이언트 인증서를 배치하십시오.

    명령 창에서 <bfinstall>/keystore로 이동하고 이 명령을 실행하십시오.

    openssl pkcs12 -clcerts -nokeys
            -in buildForgeKeyStore.p12
            -passin: pass:<bfpassword>
            -out buildForgeCert.pem
  7. buildForgeKey.pem에 인증서 및 키를 배치하십시오.

    명령 창에서 <bfinstall>/keystore로 이동하고 이 명령을 실행하십시오.

    openssl pkcs12
            -in buildForgeKeyStore.p12
            -passin pass:<bfpassword>
            -passout pass:<bfpassword>
            -out buildForgeKey.pem 
  8. PEM CA(Certificate Authority) buildForgeCA.pem을 작성하십시오.
    1. <bfinstall>/keystore에 CA 루트 인증서를 다운로드하십시오. 인증서 이름은 CARootCert.crt입니다. 이 인증서를 PEM 키 저장소에 추가해야 하며, buildForgeTrustStore.p12로 가져올 수 있습니다.
    2. 명령 창에서 <bfinstall>/keystore로 이동하고 이 명령을 실행하십시오.
      cat CARootCert.crt > buildForgeCA.pem
      keytool -import -noprompt -v -trustcacerts
              -alias "CA Root" 
              -file CARootCert.crt
              -keystore buildForgeTrustStore.p12
              -storepass <bfpassword>
              -storetype pkcs12

결과

Build Forge에서 비밀번호로 보호된 PEM 키 저장소인 buildForgeKey.pem을 사용합니다. Apache 서버에서 시작 중에 비밀번호를 프롬프트합니다.
시작 중에 비밀번호에 대한 프롬프트를 표시하지 않으려면 비밀번호로 보호되지 않는 PEM 키 저장소를 생성하고 Apache 서버에서 해당 키 저장소를 사용하도록 합니다. 다음 명령을 예로 들 수 있습니다.
openssl rsa -in buildForgeKey.pem 
            -passin pass:<password>
            -out buildForgeKeyForApache.pem

Build Forge가 실행되는 프로세스의 ID에 액세스해야 하는 모든 사용자가 보호되지 않는 PEM 키 저장소를 읽을 수 있어야 합니다.


피드백