Utilisez les outils fournis pour créer un certificat autosigné.
Avant de commencer
Vous devez utiliser le mot de passe spécifié pour le magasin de clés lors de
l'installation. Si vous ne connaissez pas le mot de passe, consultez le fichier rép_install_bf/Apache/tomcat/conf/server.xml.
L'attribut keystorePass du connecteur SSL/HTTP contient le mot de passe.
Pourquoi et quand exécuter cette tâche
Cette procédure décrit comment remplacer un certificat créé automatiquement au cours d'une installation de Rational® Build
Forge®. Elle crée un certificat avec les propriétés suivantes :
- Magasin de clés : buildForgeKeyStore.p12
- Expiration : 15 ans (définis comme 5475 jours)
- Nom distinctif du sujet : CN=nom_hôte, où nom_hôte est le nom d'hôte complet.
Pour créer le certificat, utilisez les outils openssl et ibmjdk.
Ils sont inclus avec le logiciel Rational® Build
Forge®.
Cinq fichiers de clés sont nécessaires :
- buildForgeKeyStore.p12 - magasin de clés, conteneur pour les certificats et les clés
- buildForgeTrustStore.p12 - magasin de clés certifiées, conteneur pour les certificats et les clés
- buildForgeKey.pem - magasin de clés PEM
- buildForgeCert.pem - certificat public
- buildForgeCA.pem - autorité de certification PEM
Remarque : Dans les exemples de commandes, les retours à la ligne sont utilisés dans un but de clarté.
Ne les utilisez pas dans la commande. Entrez-la sous la forme d'une chaîne ou utilisez le caractère de continuation de ligne (^ pour Windows, \ pour UNIX ou Linux).
Important : Le même mot de passe est utilisé pour tous les magasins de clés. Il est affiché en tant que mot_de_passe dans les exemples.
Procédure
- Connectez-vous à l'hôte sur lequel le serveur Rational® Build
Forge® est installé.
- Ajoutez les répertoires d'outils dans le chemin de fichier comme répertorié ci-dessous :
- <rép_install_bf>/openssl
- <rép_install_bf>/ibmjdk/bin
- Ajoutez le répertoire openssl dans le chemin de fichier LD_LIBRARY_PATH. Par exemple, <rép_install_bf>/openssl.
- Créez le certificat buildForgeKeyStore.p12 du fichier de clés et la paire de clés
publique-privée.
- Dans un répertoire temporaire, utilisez le script suivant pour créer le magasin de clés :
keytool -genkey -alias buildforge
-keyalg RSA -keysize 1024 -validity 5475 -dname "CN=nom_hôte"
-keystore buildForgeKeyStore.p12
-storepass mot_de_passe
-storetype pkcs12
- Copiez le magasin de clés buildForgeKeyStore.p12 dans <rép_install_bf>/keystore. Il écrase le fichier existant.
- Dans le répertoire <rép_install_bf>/keystore, entrez la commande suivante pour exporter le certificat public :
keytool -export -alias buildforge
-file cert.der -keystore buildForgeKeyStore.p12
-storepass mot_de_passe
-storetype pkcs12
- Créez le magasin de clés certifiées.
- A partir d'un répertoire temporaire, exécutez l'outil de clé pour créer le magasin de clés certifiées :
cd /temp
keytool -import -noprompt -trustcacerts -alias buildforge
-file cert.der -keystore buildForgeTrustStore.p12
-storepass mot_de_passe
-storetype pkcs12
- Copiez le magasin de clés certifiées buildForgeTrustStore.p12 dans <rép_install_bf>/keystore.
Il écrase le fichier existant.
- Placez le certificat client public dans buildForgeCert.pem. Dans le répertoire <rép-install-bf>/keystore, exécutez la commande suivante :
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12 -passin pass:mot_de_passe
-out buildForgeCert.pem
- Placez le certificat et les clés dans buildForgeKey.pem Dans le répertoire <rép-install-bf>/keystore, exécutez la commande suivante :
openssl pkcs12
-in buildForgeKeyStore.p12 -passin pass:mot_de_passe
-passout pass:motdepasse -out buildForgeKey.pem
- Dans le répertoire <rép_install_bf>/keystore, exécutez la commande suivante pour créer l'autorité de certification PEM, buildForgeCA.pem. La commande crée une copie de buildForgeKey.pem.
Que faire ensuite
Le buildForgeKey.pem est un magasin de clés PEM protégé par mot de passe.
Lors du démarrage, le serveur Apache vous invite à entrer le mot de passe. Si vous ne voulez pas être invité à entrer ce mot de passe, générez un magasin de clés PEM non protégé par mot de passe pour le serveur Apache.
Pour supprimer le mot de passe de la clé privée, entrez la commande ci-dessous.
Assurez-vous que le fichier
buildForgeKeyForApache.pem est lisible par les personnes qui doivent accéder à l'ID du processus qui exécute Build Forge.
openssl rsa -in buildForgeKey.pem -passin pass:mot_de_passe
-out buildForgeKeyForApache.pem