Criando um Novo Certificado Autoassinado

Use as ferramentas fornecidas para criar um novo certificado autoassinado.

Antes de Iniciar

É necessária a senha especificada para o keystore durante a instalação. Se não souber qual é, procure em bfinstall/Apache/tomcat/conf/server.xml. O atributo keystorePass no conector SSL/HTTP contém a senha.

Sobre Esta Tarefa

Esse procedimento descreve como substituir um certificado criado automaticamente durante uma instalação do Build Forge. Ele cria um certificado com as seguintes propriedades:

Use as ferramentas openssl e ibmjdk para criar o certificado. As ferramentas estão incluídas no software do Build Forge.

Cinco keystores são necessários:

Nota: Quebras de linha são usadas para maior clareza dos comandos de exemplo. Não use-as no comando. Digite-o como uma única sequência ou use o caractere de continuação de linha (^ para Windows, \ para UNIX ou Linux).
Importante: A mesma senha é usada para todos os keystores. Ela é mostrada como password nos exemplos.

Procedimento

  1. Efetue logon no host onde o mecanismo Build Forge está instalado.
  2. Coloque os diretórios de ferramenta em seu PATH.
    • <bfinstall>/openssl
    • <bfinstall>/ibmjdk/bin
  3. Coloque o diretório openssl em LD_LIBRARY_PATH.
    • <bfinstall>/openssl
  4. Crie o keystore buildForgeKeyStore.p12, o certificado e o par de chaves pública/privada.
    1. No diretório temporário, execute o keytool para criar o keystore:
      keytool -genkey -alias buildforge
      -keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
      -keystore buildForgeKeyStore.p12
      -storepass password
      -storetype pkcs12
    2. Copie o arquivo keystore (buildForgeKeyStore.p12) para <bfinstall>/keystore. Ele sobrescreverá o arquivo existente.
  5. Exporte o certificado público. No diretório <bfinstall>/keystore, execute este comando:
    keytool -export -alias buildforge
    -file cert.der -keystore buildForgeKeyStore.p12
    -storepass password
    -storetype pkcs12
  6. Crie o truststore.
    1. No diretório temporário, execute o keytool para criar o truststore:
      cd /temp
      keytool -import -noprompt -trustcacerts -alias buildforge
      -file cert.der -keystore buildForgeTrustStore.p12
      -storepass password
      -storetype pkcs12
    2. Copie o arquivo truststore (buildForgeTrustStore.p12) para <bfinstall>/keystore. Ele sobrescreverá o arquivo existente.
  7. Coloque o certificado de cliente público em buildForgeCert.pem No diretório <bfinstall>/keystore, execute este comando:
    openssl pkcs12 -clcerts -nokeys
    -in buildForgeKeyStore.p12 -passin pass:password
    -out buildForgeCert.pem
  8. Coloque o certificado e as chaves em buildForgeKey.pem No diretório <bfinstall>/keystore, execute este comando:
    openssl pkcs12
    -in buildForgeKeyStore.p12 -passin pass:password
    -passout pass:password -out buildForgeKey.pem
  9. Crie a Autoridade de Certificação PEM buildForgeCA.pem. Ela é uma cópia de buildForgeKey.pem. No diretório <bfinstall>/keystore, execute este comando:
    cat buildForgeCert.pem > buildForgeCA.pem

O que Fazer Depois

O buildForgeKey.pem é um keystore PEM protegido por senha. O servidor Apache solicita a senha durante a inicialização. Se você não quiser ser solicitado a informar essa senha durante a inicialização, gere um keystore PEM que não seja protegido por senha para uso do servidor Apache.

Para remover a senha da chave privada, é possível executar a etapa a seguir. Certifique-se de que o arquivo buildForgeKeyForApache.pem seja legível por aqueles que precisam de acesso ao ID do processo que executa o Build Forge.
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem

Feedback