Création d'un certificat autosigné

Utilisez les outils fournis pour créer un certificat autosigné.

Avant de commencer

Vous devez utiliser le mot de passe spécifié pour le magasin de clés lors de l'installation. Si vous ne le connaissez pas, consultez le fichier rép_install_bf/Apache/tomcat/conf/server.xml. L'attribut keystorePass du connecteur SSL/HTTP contient le mot de passe.

Pourquoi et quand exécuter cette tâche

Cette procédure décrit comment remplacer un certificat créé automatiquement au cours d'une installation de Build Forge. Elle crée un certificat avec les propriétés suivantes :

Utilisez les outils openssl et ibmjdk pour créer le certificat. Ils sont inclus avec le logiciel Build Forge.

Cinq fichiers de clés sont nécessaires :

Remarque : Les retours à la ligne sont utilisés dans un but de clarté dans les exemples de commandes. Ne les utilisez pas dans la commande. Entrez-la sous la forme d'une chaîne ou utilisez le caractère de continuation de ligne (^ pour Windows, \ pour UNIX ou Linux).
Important : Le même mot de passe est utilisé pour tous les magasins de clés. Il est affiché en tant que mot_de_passe dans les exemples.

Procédure

  1. Connectez-vous à l'hôte sur lequel le moteur Build Forge est installé.
  2. Placez les répertoires d'outil dans votre PATH.
    • <rép_install_bf>/openssl
    • <rép_install_bf>/ibmjdk/bin
  3. Placez le répertoire openssl dans LD_LIBRARY_PATH.
    • <rép_install_bf>/openssl
  4. Créez le certificat buildForgeKeyStore.p12 du fichier de clés et la paire de clés publique-privée.
    1. Dans le répertoire temporaire, exécutez l'outil de clé pour créer le fichier de clés :
      keytool -genkey -alias buildforge
      -keyalg RSA -keysize 1024 -validity 5475 -dname "CN=nom_hôte"
      -keystore buildForgeKeyStore.p12
      -storepass mot_de_passe
      -storetype pkcs12
    2. Copiez le fichier de clés (buildForgeKeyStore.p12) dans <rép_install_bf>/keystore. Il écrase le fichier existant.
  5. Exportez le certificat public. Dans le répertoire <rép_install_bf>/keystore, exécutez la commande suivante :
    keytool -export -alias buildforge
    -file cert.der -keystore buildForgeKeyStore.p12
    -storepass mot_de_passe
    -storetype pkcs12
  6. Créez le fichier de clés certifiées.
    1. Dans le répertoire temporaire, exécutez l'outil de clé pour créer le fichier de clés certifiées :
      cd /temp
      keytool -import -noprompt -trustcacerts -alias buildforge
      -file cert.der -keystore buildForgeTrustStore.p12
      -storepass mot_de_passe
      -storetype pkcs12
    2. Copiez le fichier de clés certifiées (buildForgeTrustStore.p12) dans <rép_install_bf>/keystore. Il écrase le fichier existant.
  7. Placez le certificat client public dans buildForgeCert.pem Dans le répertoire <rép_install_bf>/keystore, exécutez la commande suivante :
    openssl pkcs12 -clcerts -nokeys
    -in buildForgeKeyStore.p12 -passin pass:mot_de_passe
    -out buildForgeCert.pem
  8. Placez le certificat et les clés dans buildForgeKey.pem Dans le répertoire <rép_install_bf>/keystore, exécutez la commande suivante :
    openssl pkcs12
    -in buildForgeKeyStore.p12 -passin pass:mot_de_passe
    -passout pass:motdepasse -out buildForgeKey.pem
  9. Créez l'autorité de certification PEM buildForgeCA.pem. Il s'agit d'une copie de buildForgeKey.pem. Dans le répertoire <rép_install_bf>/keystore, exécutez la commande suivante :
    cat buildForgeCert.pem > buildForgeCA.pem

Que faire ensuite

La fichier de clés PEM buildForgeKey.pem est protégé par un mot de passe. Le serveur Apache vous invite à entrer le mot de passe lors du démarrage. Si vous ne voulez pas être invité à entrer ce mot de passe au démarrage, générez un fichier de clés PEM qui n'est pas protégé par un mot de passe pour l'utilisation avec le serveur Apache.

Pour supprimer le mot de passe d'une clé privée, vous pouvez effectuer l'étape suivante. Assurez-vous que le fichier buildForgeKeyForApache.pem est lisible par les personnes qui doivent accéder à l'ID du processus qui exécute Build Forge.
openssl rsa -in buildForgeKey.pem -passin pass:mot_de_passe
-out buildForgeKeyForApache.pem

Commentaires en retour