建立新的自簽憑證

請使用提供的工具來建立新的自簽憑證。

開始之前

您需要有安裝期間指定給金鑰儲存庫的密碼。如果您不知道這個密碼,請查看 bfinstall/Apache/tomcat/conf/server.xml。SSL/HTTP 連接器的 keystorePass 屬性包含此密碼。

關於這項作業

這項程序說明如何取代在 Build Forge 安裝期間自動建立的憑證。其會以下列內容建立憑證:

請使用 opensslibmjdk 工具來建立憑證。這些工具都隨附於 Build Forge 軟體中。

需要五個金鑰儲存庫:

註: 範例指令使用了換行以便於閱讀。請勿在指令中使用換行。請當成一個字串或使用行接續字元(Windows 為 ^,UNIX 或 Linux 為 \)來輸入。
重要: 所有金鑰儲存庫都使用相同的密碼。其在範例中會顯示為 password

程序

  1. 登入其中安裝 Build Forge 引擎的主機。
  2. 將工具目錄放在 PATH 中。
    • <bfinstall>/openssl
    • <bfinstall>/ibmjdk/bin
  3. openssl 目錄放在 LD_LIBRARY_PATH 中。
    • <bfinstall>/openssl
  4. 建立金鑰儲存庫 buildForgeKeyStore.p12、憑證和公開私密金鑰配對。
    1. 在暫存目錄中,執行 keytool 來建立金鑰儲存庫:
      keytool -genkey -alias buildforge
      -keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
      -keystore buildForgeKeyStore.p12
      -storepass password
      -storetype pkcs12
    2. 將金鑰儲存庫檔 (buildForgeKeyStore.p12) 複製到 <bfinstall>/keystore。其會改寫現有的檔案。
  5. 匯出公開憑證。<bfinstall>/keystore 目錄中,執行下列指令:
    keytool -export -alias buildforge
    -file cert.der -keystore buildForgeKeyStore.p12
    -storepass password
    -storetype pkcs12
  6. 建立信任儲存庫。
    1. 在暫存目錄中,執行 keytool 來建立信任儲存庫:
      cd /temp
      keytool -import -noprompt -trustcacerts -alias buildforge
      -file cert.der -keystore buildForgeTrustStore.p12
      -storepass password
      -storetype pkcs12
    2. 將信任儲存庫檔 (buildForgeTrustStore.p12) 複製到 <bfinstall>/keystore。其會改寫現有的檔案。
  7. 將公開用戶端憑證放在 buildForgeCert.pem<bfinstall>/keystore 目錄中,執行下列指令:
    openssl pkcs12 -clcerts -nokeys
    -in buildForgeKeyStore.p12 -passin pass:password
    -out buildForgeCert.pem
  8. 將憑證和金鑰放在 buildForgeKey.pem<bfinstall>/keystore 目錄中,執行下列指令:
    openssl pkcs12
    -in buildForgeKeyStore.p12 -passin pass:password
    -passout pass:password -out buildForgeKey.pem
  9. 建立「PEM 憑證管理中心」buildForgeCA.pem 其是 buildForgeKey.pem 的副本。在 <bfinstall>/keystore 目錄中,執行下列指令:
    cat buildForgeCert.pem > buildForgeCA.pem

下一步

buildForgeKey.pem 是受密碼保護的 PEM 金鑰儲存庫。在啟動期間,Apache 伺服器會提示您輸入密碼。如果您不要系統在啟動期間提示您輸入這個密碼,請產生不受密碼保護的 PEM 金鑰儲存庫供 Apache 伺服器使用。

如果要從私密金鑰移除密碼,您可以執行下列步驟。確定 buildForgeKeyForApache.pem 檔可供需要存取執行 Build Forge 之處理程序 ID 的人員讀取。
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem

意見