Criando um Novo Certificado Autoassinado

Use as ferramentas fornecidas para criar um novo certificado autoassinado.

Antes de Iniciar

É necessária a senha especificada para o keystore durante a instalação. Se você não souber a senha, consulte bfinstall/Apache/tomcat/conf/server.xml. O atributo keystorePass no conector SSL/HTTP contém a senha.

Sobre Esta Tarefa

Este procedimento descreve como substituir um certificado que foi criado automaticamente durante uma instalação do Rational® Build Forge®. Ele cria um certificado com as seguintes propriedades:

Para criar o certificado, use as ferramentas openssl e ibmjdk. As ferramentas estão incluídas no software Rational® Build Forge®.

Cinco keystores são necessários:

Nota: No exemplo de comandos, quebras de linha são usadas para maior clareza. Não use-as no comando. Digite-o como uma única sequência ou use o caractere de continuação de linha (^ para Windows, \ para UNIX ou Linux).
Importante: A mesma senha é usada para todos os keystores. Ela é mostrada como password nos exemplos.

Procedimento

  1. Efetue logon no host onde o servidor Rational® Build Forge® está instalado.
  2. Inclua o diretório de ferramentas no caminho de arquivo conforme listado abaixo:
    • <bfinstall>/openssl
    • <bfinstall>/ibmjdk/bin
  3. Inclua o diretório openssl no caminho de arquivo LD_LIBRARY_PATH. Por exemplo, <bfinstall>/openssl.
  4. Crie o keystore buildForgeKeyStore.p12, o certificado e o par de chaves pública/privada.
    1. Em um diretório temporário, use o script a seguir para criar o keystore:
      keytool -genkey -alias buildforge
      -keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
      -keystore buildForgeKeyStore.p12
      -storepass password
      -storetype pkcs12 
    2. Copie o arquivo keystore, buildForgeKeyStore.p12, em <bfinstall>/keystore. Ele sobrescreverá o arquivo existente.
  5. No diretório <bfinstall>/keystore, insira o comando a seguir para exportar o certificado público:
    keytool -export -alias buildforge
    -file cert.der -keystore buildForgeKeyStore.p12
    -storepass password
    -storetype pkcs12
  6. Crie o armazenamento confiável:
    1. Em um diretório temporário, execute keytool para criar o armazenamento confiável:
      cd /temp
      keytool -import -noprompt -trustcacerts -alias buildforge
      -file cert.der -keystore buildForgeTrustStore.p12
      -storepass password
      -storetype pkcs12
    2. Copie o arquivo de armazenamento confiável buildForgeTrustStore.p12 em <bfinstall>/keystore. Ele sobrescreverá o arquivo existente.
  7. Coloque o certificado de cliente público em buildForgeCert.pem. No diretório <bfinstall>/keystore, execute este comando:
    openssl pkcs12 -clcerts -nokeys
    -in buildForgeKeyStore.p12 -passin pass:password
    -out buildForgeCert.pem
  8. Coloque o certificado e as chaves em buildForgeKey.pem No diretório <bfinstall>/keystore, execute este comando:
    openssl pkcs12
    -in buildForgeKeyStore.p12 -passin pass:password
    -passout pass:password -out buildForgeKey.pem
  9. No diretório <bfinstall>/keystore, execute o seguinte comando para criar a Autoridade de Certificação PEM, buildForgeCA.pem. O comando cria uma cópia de buildForgeKey.pem.
    • Windows:
      copy buildForgeKey.pem buildForgeCA.pem
    • UNIX e Linux:
      cat buildForgeKey.pem > buildForgeCA.pem 

O que Fazer Depois

O buildForgeKey.pem é um keystore PEM protegido por senha. Durante a inicialização, o servidor Apache solicita uma senha. Se você não quiser receber essa solicitação de senha, gere um keystore PEM para o servidor Apache que não seja protegido por senha.

Para remover a senha da chave privada, insira o comando abaixo. Certifique-se de que o arquivo buildForgeKeyForApache.pem seja legível para aqueles que precisam acessar o ID do processo que está executando o Build Forge.
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem

Feedback