Les fichiers de clés PEM reçus d'une autorité de certification peuvent être convertis
en fichiers de clés pour l'utilisation avec Build Forge.
Pourquoi et quand exécuter cette tâche
Si vous disposez d'un jeu de fichiers PEM provenant d'une autorité de certification,
vous devez utiliser ces fichiers pour créer un jeu de de fichiers de clés SSL et JSSE pour
Build Forge.
Procédure
- Incluez les répertoires d'outils Build Forge dans votre PATH.
- <rép_install_bf>/openssl
- <rép_install_bf>/ibmjdk/bin pour Windows
- <rép_install_bf>server/ibmjdk/bin pour UNIX
ou Linux
Pour UNIX et Linux, incluez le répertoire suivant dans LD_LIBRARY_PATH :
<rép_install_bf>/openssl
- Convertissez les fichiers PEM en fichier de clés PKCS12.
Utilisez la commande
suivante :
openssl pkcs12
-export
-name "buildforge"
-out buildForgeKeyStore.p12
-inkey <clé.pem>
-passin pass:<motdepassepem>
-in <crt.pem>
-password pass:<motdepassebf>
- Vérifiez que le certificat a été ajouté et qu'il est lisible.
keytool -v
-list
-keystore buildForgeKeyStore.p12
-storepass <motdepassebf>
-storetype pkcs12
Si vous obtenez une erreur
concernant une taille de clé invalide, téléchargez des fichiers de règle sans limitations. Suivez les instructions
du début de cette section.
- Exportez le certificat public.
Dans une fenêtre
de commande, accédez à <rép_install_bf>/keystore,
puis exécutez la commande suivante :
keytool -export
-alias buildforge
-file cert.der
-keystore buildForgeKeyStore.p12
-storepass <motdepassebf>
-storetype pkcs12
- Le certificat est stocké dans le fichier cert.der.
- Utilisez le même <motdepassebf_bf> que celui indiqué
pour les fichiers de clés lors de l'installation. Dans le cas contraire, vous devez
changer la configuration.
- Créez le fichier de clés certifiées et importez le certificat public.
Dans une fenêtre de commande, accédez à <rép_install_bf>/keystore,
puis exécutez la commande suivante :
keytool -import
-noprompt -trustcacerts
-alias buildforge
-file cert.der
-keystore buildForgeTrustStore.p12
-storepass <motdepassebf>
-storetype pkcs12
- Placez le certificat client public dans buildForgeCert.pem.
Dans une fenêtre de commande, accédez à <rép_install_bf>/keystore,
puis exécutez la commande suivante :
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12
-passin: pass:<motdepassebf>
-out buildForgeCert.pem
- Placez le certificat et les clés dans buildForgeKey.pem
Dans
une fenêtre de commande, accédez à <rép_install_bf>/keystore,
puis exécutez la commande suivante :
openssl pkcs12
-in buildForgeKeyStore.p12
-passin pass:<motdepassebf>
-passout pass:<motdepassebf>
-out buildForgeKey.pem
- Créez le fichier buildForgeCA.pem de l'autorité de certification PEM.
- Téléchargez le certificat racine CA dans <rép_install_bf>/keystore. Il est appelé CARootCert.crt. Il doit être ajouté à vos fichiers de clés PEM
et peut être importé dans buildForgeTrustStore.p12.
- Dans une fenêtre de commande, accédez à <installbf>/keystore,
puis exécutez les commandes suivantes :
cat CARootCert.crt > buildForgeCA.pem
keytool -import -noprompt -v -trustcacerts
-alias "CA Root"
-file CARootCert.crt
-keystore buildForgeTrustStore.p12
-storepass <motdepassebf>
-storetype pkcs12
Résultats
Build Forge utilise un fichier de clés PEM protégé par mot de passe, buildForgeKey.pem.
Le serveur Apache vous invite à entrer le mot de passe lors du démarrage.
Si vous ne
voulez pas être invité à entrer le mot de passe au démarrage, générez un magasin de clés PEM non protégé par mot de passe et utilisé par le serveur Apache. La commande suivante est un exemple.
openssl rsa -in buildForgeKey.pem
-passin pass:<motdepasse>
-out buildForgeKeyForApache.pem
Assurez-vous
que le fichier de clés PEM non protégé peut être lu par tout utilisateur qui doit accéder à
l'ID du processus qui exécute Build Forge.