請使用提供的工具來建立新的自簽憑證。
開始之前
您需要有安裝期間指定給金鑰儲存庫的密碼。如果您不知道這個密碼,請查看 bfinstall/Apache/tomcat/conf/server.xml。SSL/HTTP 連接器的 keystorePass 屬性包含此密碼。
關於這項作業
這項程序說明如何取代在 Build Forge 安裝期間自動建立的憑證。其會以下列內容建立憑證:
- 金鑰儲存庫:buildForgeKeyStore.p12
- 期限:15 年(設為 5475 天)
- 主體 DN:CN=hostname,其中 hostname 是完整主機名稱。
請使用 openssl 和 ibmjdk 工具來建立憑證。這些工具都隨附於 Build Forge 軟體中。
需要五個金鑰儲存庫:
- buildForgeKeyStore.p12 - 金鑰儲存庫,憑證與金鑰的儲存器
- buildForgeTrustStore.p12 - 信任儲存庫,憑證與金鑰的儲存器
- buildForgeKey.pem - PEM 金鑰儲存庫
- buildForgeCert.pem - 公開憑證
- buildForgeCA.pem - PEM 憑證管理中心 (CA)
註: 範例指令使用了換行以便於閱讀。請勿在指令中使用換行。請當成一個字串或使用行接續字元(Windows 為 ^,UNIX 或 Linux 為 \)來輸入。
重要: 所有金鑰儲存庫都使用相同的密碼。其在範例中會顯示為 password。
程序
- 登入其中安裝 Build Forge 引擎的主機。
- 將工具目錄放在 PATH 中。
- <bfinstall>/openssl
- <bfinstall>/ibmjdk/bin
- 將 openssl 目錄放在 LD_LIBRARY_PATH 中。
- 建立金鑰儲存庫 buildForgeKeyStore.p12、憑證和公開私密金鑰配對。
- 在暫存目錄中,執行 keytool 來建立金鑰儲存庫:
keytool -genkey -alias buildforge
-keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
-keystore buildForgeKeyStore.p12
-storepass password
-storetype pkcs12
- 將金鑰儲存庫檔 (buildForgeKeyStore.p12) 複製到 <bfinstall>/keystore。其會改寫現有的檔案。
- 匯出公開憑證。 在 <bfinstall>/keystore 目錄中,執行下列指令:
keytool -export -alias buildforge
-file cert.der -keystore buildForgeKeyStore.p12
-storepass password
-storetype pkcs12
- 建立信任儲存庫。
- 在暫存目錄中,執行 keytool 來建立信任儲存庫:
cd /temp
keytool -import -noprompt -trustcacerts -alias buildforge
-file cert.der -keystore buildForgeTrustStore.p12
-storepass password
-storetype pkcs12
- 將信任儲存庫檔 (buildForgeTrustStore.p12) 複製到 <bfinstall>/keystore。其會改寫現有的檔案。
- 將公開用戶端憑證放在 buildForgeCert.pem 中 在 <bfinstall>/keystore 目錄中,執行下列指令:
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12 -passin pass:password
-out buildForgeCert.pem
- 將憑證和金鑰放在 buildForgeKey.pem 中 在 <bfinstall>/keystore 目錄中,執行下列指令:
openssl pkcs12
-in buildForgeKeyStore.p12 -passin pass:password
-passout pass:password -out buildForgeKey.pem
- 建立「PEM 憑證管理中心」buildForgeCA.pem。 其是 buildForgeKey.pem 的副本。在 <bfinstall>/keystore 目錄中,執行下列指令:
cat buildForgeCert.pem > buildForgeCA.pem
下一步
buildForgeKey.pem 是受密碼保護的 PEM 金鑰儲存庫。在啟動期間,Apache 伺服器會提示您輸入密碼。如果您不要系統在啟動期間提示您輸入這個密碼,請產生不受密碼保護的 PEM 金鑰儲存庫供 Apache 伺服器使用。
如果要從私密金鑰移除密碼,您可以執行下列步驟。確定
buildForgeKeyForApache.pem 檔可供需要存取執行 Build Forge 之處理程序 ID 的人員讀取。
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem