Mit den verfügbaren Tools können Sie ein neues selbst signiertes Zertifikat erstellen.
Vorbereitende Schritte
Sie benötigen das Kennwort, das während der Installation
für den Keystore angegeben wurde. Wenn Sie das Kennwort nicht kennen, suchen Sie in
bfinstall/Apache/tomcat/conf/server.xml.
Das keystorePass-Attribut auf dem SSL/HTTP-Connector
enthält das Kennwort.
Informationen zu diesem Vorgang
In diesem Verfahren wird beschrieben, wie Sie ein während der Rational® Build
Forge®-Installation automatisch erstelltes Zertifikat ersetzen. Dabei wird ein Zertifikat mit den folgenden Eigenschaften erstellt:
- Keystore: buildForgeKeyStore.p12
- Ablauf: 15 Jahre (als 5475 Tage angegeben)
- Registrierter Name des Zertifikatsinhabers: CN=hostname,
wobei hostname der vollständig qualifizierte Hostname ist.
Verwenden Sie zum Erstellen des Zertifikats die Tools openssl und ibmjdk.
Die Tools sind in der Rational® Build
Forge®-Software enthalten.
Fünf Keystores sind erforderlich:
- buildForgeKeyStore.p12: Keystore, Container für Zertifikate und Schlüssel
- buildForgeTrustStore.p12: Truststore, Container für Zertifikate und Schlüssel
- buildForgeKey.pem: PEM-Keystore
- buildForgeCert.pem: öffentliches Zertifikat
- buildForgeCA.pem: PEM-Zertifizierungsstelle
Anmerkung: In den Beispielbefehlen wurden zur Verdeutlichung Zeilenumbrüche eingefügt.
Verwenden Sie diese im tatsächlichen Befehl nicht. Geben Sie den Befehl als eine Zeichenfolge ein oder verwenden Sie das Zeichen für die Zeilenfortsetzung (^ für Windows, \ für UNIX oder Linux).
Wichtig: Für alle Keystores wird dasselbe Kennwort verwendet. Dieses wird in den Beispielen als kennwort angegeben.
Vorgehensweise
- Melden Sie sich an dem Host an, auf dem der Rational® Build
Forge®-Server installiert ist.
- Fügen Sie dem Dateipfad die unten aufgelisteten Toolverzeichnisse hinzu:
- <bf-installationsverzeichnis>/openssl
- <bf-installationsverzeichnis>/ibmjdk/bin
- Fügen Sie das Verzeichnis openssl dem Dateipfad LD_LIBRARY_PATH hinzu. Beispiel: <bfinstall>/openssl.
- Erstellen Sie den Keystore
buildForgeKeyStore.p12, das Zertifikat und das
Schlüsselpaar "öffentlich/privat".
- Verwenden Sie in einem temporären Verzeichnis das folgende Script zum Erstellen von Keystore:
keytool -genkey -alias buildforge
-keyalg RSA -keysize 1024 -validity 5475 -dname "CN=hostname"
-keystore buildForgeKeyStore.p12
-storepass kennwort
-storetype pkcs12
- Kopieren Sie die Keystore-Datei
buildForgeKeyStore.p12 in
<bfinstall>/keystore. Sie überschreibt
die vorhandene Datei.
- Geben Sie im Verzeichnis <bfinstall>/keystore den folgenden Befehl ein, um das öffentliche Zertifikat zu exportieren:
keytool -export -alias buildforge
-file cert.der -keystore buildForgeKeyStore.p12
-storepass kennwort
-storetype pkcs12
- Erstellen Sie Truststore:
- Führen Sie im temporären Verzeichnis das Keytool aus, um
den Keystore zu erstellen:
cd /temp
keytool -import -noprompt -trustcacerts -alias buildforge
-file cert.der -keystore buildForgeTrustStore.p12
-storepass kennwort
-storetype pkcs12
- Kopieren Sie die Truststore-Datei
buildForgeTrustStore.p12 in
<bfinstall>/keystore.
Sie überschreibt
die vorhandene Datei.
- Fügen Sie das öffentliche Zertifikat zu buildForgeCert.pem hinzu. Führen Sie den folgenden Befehl im Verzeichnis <bf-installationsverzeichnis>/keystore aus:
openssl pkcs12 -clcerts -nokeys
-in buildForgeKeyStore.p12 -passin pass:kennwort
-out buildForgeCert.pem
- Fügen Sie das Zertifikat und die Schlüssel zu buildForgeKey.pem hinzu. Führen Sie den folgenden Befehl im Verzeichnis <bf-installationsverzeichnis>/keystore aus:
openssl pkcs12
-in buildForgeKeyStore.p12 -passin pass:kennwort
-passout pass:kennwort -out buildForgeKey.pem
- Führen Sie im Verzeichnis <bf-installationsverzeichnis>/keystore den folgenden Befehl aus, um die PEM Certificate Authority zu erstellen: buildForgeCA.pem. Dieser Befehl erstellt eine Kopie von buildForgeKey.pem.
Nächste Schritte
"buildForgeKey.pem" ist ein kennwortgeschützter PEM-Keystore.
Während des Starts fordert der Apache-Server Sie zur Eingabe des Kennworts auf. Wenn Sie nicht zur Eingabe des Kennworts aufgefordert werden möchten, erstellen Sie ein PEM-Keystore für den Apache-Server, das nicht kennwortgeschützt ist.
Wenn Sie das Kennwort für den privaten Schlüssel löschen möchten, geben Sie den Befehl unten ein.
Stellen Sie sicher, dass die Datei
buildForgeKeyForApache.pem von denjenigen
gelesen werden kann, die Zugriff auf die ID des Prozesses benötigen,
in dem Build Forge ausgeführt wird.
openssl rsa -in buildForgeKey.pem -passin pass:kennwort
-out buildForgeKeyForApache.pem