Neues selbst signiertes Zertifikat erstellen

Mit den verfügbaren Tools können Sie ein neues selbst signiertes Zertifikat erstellen.

Vorbereitende Schritte

Sie benötigen das Kennwort, das während der Installation für den Keystore angegeben wurde. Wenn Sie das Kennwort nicht kennen, suchen Sie in bfinstall/Apache/tomcat/conf/server.xml. Das keystorePass-Attribut auf dem SSL/HTTP-Connector enthält das Kennwort.

Informationen zu diesem Vorgang

In diesem Verfahren wird beschrieben, wie Sie ein während der Rational® Build Forge®-Installation automatisch erstelltes Zertifikat ersetzen. Dabei wird ein Zertifikat mit den folgenden Eigenschaften erstellt:

Verwenden Sie zum Erstellen des Zertifikats die Tools openssl und ibmjdk. Die Tools sind in der Rational® Build Forge®-Software enthalten.

Fünf Keystores sind erforderlich:

Anmerkung: In den Beispielbefehlen wurden zur Verdeutlichung Zeilenumbrüche eingefügt. Verwenden Sie diese im tatsächlichen Befehl nicht. Geben Sie den Befehl als eine Zeichenfolge ein oder verwenden Sie das Zeichen für die Zeilenfortsetzung (^ für Windows, \ für UNIX oder Linux).
Wichtig: Für alle Keystores wird dasselbe Kennwort verwendet. Dieses wird in den Beispielen als kennwort angegeben.

Vorgehensweise

  1. Melden Sie sich an dem Host an, auf dem der Rational® Build Forge®-Server installiert ist.
  2. Fügen Sie dem Dateipfad die unten aufgelisteten Toolverzeichnisse hinzu:
    • <bf-installationsverzeichnis>/openssl
    • <bf-installationsverzeichnis>/ibmjdk/bin
  3. Fügen Sie das Verzeichnis openssl dem Dateipfad LD_LIBRARY_PATH hinzu. Beispiel: <bfinstall>/openssl.
  4. Erstellen Sie den Keystore buildForgeKeyStore.p12, das Zertifikat und das Schlüsselpaar "öffentlich/privat".
    1. Verwenden Sie in einem temporären Verzeichnis das folgende Script zum Erstellen von Keystore:
      keytool -genkey -alias buildforge
      -keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
      -keystore buildForgeKeyStore.p12
      -storepass kennwort
      -storetype pkcs12 
    2. Kopieren Sie die Keystore-Datei buildForgeKeyStore.p12 in <bfinstall>/keystore. Sie überschreibt die vorhandene Datei.
  5. Geben Sie im Verzeichnis <bfinstall>/keystore den folgenden Befehl ein, um das öffentliche Zertifikat zu exportieren:
    keytool -export -alias buildforge
    -file cert.der -keystore buildForgeKeyStore.p12
    -storepass kennwort
    -storetype pkcs12
  6. Erstellen Sie Truststore:
    1. Führen Sie im temporären Verzeichnis das Keytool aus, um den Keystore zu erstellen:
      cd /temp
      keytool -import -noprompt -trustcacerts -alias buildforge
      -file cert.der -keystore buildForgeTrustStore.p12
      -storepass kennwort
      -storetype pkcs12
    2. Kopieren Sie die Truststore-Datei buildForgeTrustStore.p12 in <bfinstall>/keystore. Sie überschreibt die vorhandene Datei.
  7. Fügen Sie das öffentliche Zertifikat zu buildForgeCert.pem hinzu. Führen Sie den folgenden Befehl im Verzeichnis <bf-installationsverzeichnis>/keystore aus:
    openssl pkcs12 -clcerts -nokeys
    -in buildForgeKeyStore.p12 -passin pass:kennwort
    -out buildForgeCert.pem
  8. Fügen Sie das Zertifikat und die Schlüssel zu buildForgeKey.pem hinzu. Führen Sie den folgenden Befehl im Verzeichnis <bf-installationsverzeichnis>/keystore aus:
    openssl pkcs12
    -in buildForgeKeyStore.p12 -passin pass:kennwort
    -passout pass:kennwort -out buildForgeKey.pem
  9. Führen Sie im Verzeichnis <bf-installationsverzeichnis>/keystore den folgenden Befehl aus, um die PEM Certificate Authority zu erstellen: buildForgeCA.pem. Dieser Befehl erstellt eine Kopie von buildForgeKey.pem.
    • Windows:
      copy buildForgeKey.pem buildForgeCA.pem
    • UNIX und Linux:
      cat buildForgeKey.pem > buildForgeCA.pem 

Nächste Schritte

"buildForgeKey.pem" ist ein kennwortgeschützter PEM-Keystore. Während des Starts fordert der Apache-Server Sie zur Eingabe des Kennworts auf. Wenn Sie nicht zur Eingabe des Kennworts aufgefordert werden möchten, erstellen Sie ein PEM-Keystore für den Apache-Server, das nicht kennwortgeschützt ist.

Wenn Sie das Kennwort für den privaten Schlüssel löschen möchten, geben Sie den Befehl unten ein. Stellen Sie sicher, dass die Datei buildForgeKeyForApache.pem von denjenigen gelesen werden kann, die Zugriff auf die ID des Prozesses benötigen, in dem Build Forge ausgeführt wird.
openssl rsa -in buildForgeKey.pem -passin pass:kennwort
-out buildForgeKeyForApache.pem

Feedback