新規自己署名証明書の作成

提供されているツールを使用して、新しい自己署名証明書を作成します。

始める前に

インストール時に鍵ストアに対して指定されたパスワードが必要です。 パスワードが分からない場合は、bfinstall/Apache/tomcat/conf/server.xml を調べてください。 SSL/HTTP コネクターの keystorePass 属性に、パスワードが含まれています。

このタスクについて

この手順では、 Rational® Build Forge® のインストール時に自動生成された証明書を置き換える方法について説明します。以下のプロパティーが指定された証明書を作成します。

  • 鍵ストア: buildForgeKeyStore.p12
  • 有効期限: 15 年 (5475 日として設定)
  • サブジェクト DN: CN=hostname (hostname は完全修飾ホスト名)。

証明書を作成するには、openssl ツールおよび ibmjdk ツールを使用します。これらのツールは、 Rational® Build Forge® ソフトウェアに組み込まれています。

以下の 5 つの鍵ストアが必要です。

  • buildForgeKeyStore.p12 - 証明書および鍵のコンテナーとなる鍵ストア
  • buildForgeTrustStore.p12 - 証明書および鍵のコンテナーとなるトラストストア
  • buildForgeKey.pem - PEM 鍵ストア
  • buildForgeCert.pem - パブリック証明書
  • buildForgeCA.pem - PEM 認証局 (CA)
注: コマンド例では、見やすくするために改行を挿入しています。 実際のコマンドでは、改行は挿入しないでください。 1 つのストリングとして入力するか、行継続文字 (Windows の場合は ^、 UNIX または Linux の場合は ¥) を使用してください。
重要: すべての鍵ストアに同じパスワードが使用されます。この例では、password として示されます。

手順

  1. Rational® Build Forge® サーバーがインストールされているホストにログオンします。
  2. 次のリストにあるようにファイル・パスにツールのディレクトリーを追加します。
    • <bfinstall>/openssl
    • <bfinstall>/ibmjdk/bin
  3. openssl ディレクトリーを LD_LIBRARY_PATH ファイル・パスに追加します。 例えば、<bfinstall>/openssl を追加します。
  4. 鍵ストア buildForgeKeyStore.p12、証明書、および公開鍵と秘密鍵のペアを作成します。
    1. 一時ディレクトリーで、次のスクリプトを使用して鍵ストアを作成します。
      keytool -genkey -alias buildforge
      -keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
      -keystore buildForgeKeyStore.p12
      -storepass password
      -storetype pkcs12 
    2. 鍵ストア・ファイル buildForgeKeyStore.p12<bfinstall>/keystore にコピーします。既存のファイルは上書きされます。
  5. <bfinstall>/keystore ディレクトリーで、次のコマンドを入力して パブリック証明書をエクスポートします。
    keytool -export -alias buildforge
    -file cert.der -keystore buildForgeKeyStore.p12
    -storepass password
    -storetype pkcs12
  6. トラストストアを作成します。
    1. 一時ディレクトリーで、keytool を実行してトラストストアを作成します。
      cd /temp
      keytool -import -noprompt -trustcacerts -alias buildforge
      -file cert.der -keystore buildForgeTrustStore.p12
      -storepass password
      -storetype pkcs12
    2. トラストストア・ファイル buildForgeTrustStore.p12<bfinstall>/keystore にコピーします。既存のファイルは上書きされます。
  7. パブリック・クライアント証明書を buildForgeCert.pem に入れます。 ディレクトリー <bfinstall>/keystore で、以下のコマンドを実行します。
    openssl pkcs12 -clcerts -nokeys
    -in buildForgeKeyStore.p12 -passin pass:password
    -out buildForgeCert.pem
  8. 証明書および鍵を buildForgeKey.pem に入れます。 ディレクトリー <bfinstall>/keystore で、以下のコマンドを実行します。
    openssl pkcs12
    -in buildForgeKeyStore.p12 -passin pass:password
    -passout pass:password -out buildForgeKey.pem
  9. ディレクトリー <bfinstall>/keystore で、 次のコマンドを実行して、PEM 認証局 buildForgeCA.pem を作成します。 次のコマンドは、buildForgeKey.pem のコピーを作成します。
    • Windows:
      copy buildForgeKey.pem buildForgeCA.pem
    • UNIX および Linux
      cat buildForgeKey.pem > buildForgeCA.pem 

次のタスク

buildForgeKey.pem は、パスワード保護された PEM 鍵ストアです。Apache サーバーから始動時にパスワードを求めるプロンプトが出されます。 このようなパスワードを求めるプロンプトが出されないようにする場合は、 パスワード保護されていない PEM 鍵ストアを Apache サーバー用に生成します。

秘密鍵からパスワードを削除するには、次のコマンドを入力します。 Build Forge を実行するプロセスの ID にアクセスする必要のあるユーザーが buildForgeKeyForApache.pem ファイルを 読み取れるようにしてください。
openssl rsa -in buildForgeKey.pem -passin pass:password
-out buildForgeKeyForApache.pem

フィードバック