如何使用 Microsoft Keystore 中的現有憑證來更新 Dell 加密服務的憑證

1. 輸入開始 | 執行 | MMC。

圖 56：(僅英文) 執行 MMC

2. 按一下檔案 | 新增/移除嵌入式管理單元。

圖 57：(僅英文) 按一下「新增/移除嵌入式管理單元」

3. 在新增/移除嵌入式管理單元視窗中，選取憑證，然後按一下新增。

圖 58：(僅英文) 新增憑證

4. 出現提示時，選取電腦帳戶選項按鈕，然後按一下下一步。

圖 59：(僅英文) 電腦帳戶

5. 選取本機電腦 (預設選項)，然後按一下完成。

圖 60：(僅英文) 本機電腦：(此主控台正在其中執行的電腦)

6. 在新增/移除嵌入式管理單元視窗中，按一下確定。

圖 61：(僅英文) 按一下「確定」

7. 在 MMC 主控台中，按一下加號 (+) 符號以展開憑證管理單元。

圖 62：(僅英文) 匯入

8. 前往 個人版 |憑證 窗格。
9. 在憑證面板中按一下滑鼠右鍵，然後按一下所有工作 | 匯入以啟動「憑證匯入精靈」。

圖 63：(僅英文) 憑證匯入精靈

10. 依照精靈的指示進行，匯入已簽署的憑證與私密金鑰。認證檔案必須採用容器格式，其中包含最終使用者憑證及其私密金鑰。

圖 64：（僅限英文）按一下「Next」並依照精靈匯入已簽署的憑證

11. 按一下瀏覽。

圖 65：(僅英文) 按一下「瀏覽」

12. 在「開啟」對話方塊中：
    1. 將檔案變更為 個人資訊交換 （*.pfx、*.p12）。
    2. 瀏覽並選取您要匯入的憑證 (此範例中使用 ddpe.pfx 憑證)。
    3. 按一下確定。

圖 66：(僅英文) 個人資訊交換 (*.pfx、*.p12)

13. 在「私密金鑰保護」畫面上：
    1. 您也可以輸入密碼
    2. 勾選將此金鑰標記為可匯出。這可讓您稍後備份或傳輸我們的金鑰。
    3. 勾選包含所有延伸內容。
    4. 按一下下一步。

圖 67：(僅英文) 私密金鑰保護

14. 選取將所有憑證放在下列存放區中：個人，然後按一下下一步。

圖 68：(僅英文) 憑證存放區

15. 按一下完成。

圖 69：(僅限英文) 按一下「完成」

從 MMC 匯出具有私密金鑰和憑證路徑的憑證。

1. 開啟「開始」功能表，然後選取執行。

圖 70：(僅英文) 開啟「執行」 

2. 輸入 MMC，然後按下確定。

圖 71：(僅英文) 輸入 MMC

3. 按一下 MMC 頂端功能表的檔案，然後選取新增/移除嵌入式管理單元。

圖 72：(僅英文) 選取「新增/移除嵌入式管理單元」

4. 從新增/移除嵌入式管理單元視窗的可用管理單元窗格中選取憑證，然後按一下新增 > 按鈕，這會開啟憑證管理單元視窗。

圖 73：(僅英文) 開啟憑證管理單元

5. 選取電腦帳戶選項按鈕，然後按一下下一步 > 按鈕。

圖 74：(僅英文) 電腦帳戶

6. 按一下完成按鈕以關閉憑證管理單元視窗。

圖 75：(僅英文) 本機電腦 (此主控台正在其中執行的電腦)

7. 在新增/移除嵌入式管理單元視窗上按一下確定以完成新增管理單元。

圖 76：(僅英文) 按一下「確定」

8. 在 MMC 視窗中，展開憑證 (本機電腦)和個人資料夾。然後選取憑證資料夾。

圖 77：(僅英文) 選取憑證

9. 判斷您要匯出的憑證。在憑證上按一下滑鼠右鍵，然後選取所有工作，並選擇匯出。

圖 78：(僅英文) 匯出

10. 在憑證匯出精靈上按一下下一步 > 按鈕。

圖 79：(僅英文) 憑證匯出精靈

11. 在匯出私密金鑰畫面上選取是，匯出私密金鑰選項按鈕，然後按一下下一步 > 按鈕。

圖 80：(僅英文) 匯出私密金鑰

12. 在匯出檔案格式畫面上，選取選取個人資訊交換 - PKCS #12 (.PFX)選項按鈕，勾選若可能，包含憑證路徑中的所有憑證和匯出所有展開的內容核取方塊核取方塊，然後按一下下一步。

圖 81：(僅英文) 個人資訊交換 - PKCS#12(.PFX)

13. 為檔案指派密碼，然後按一下下一步 > 按鈕。

圖 82：(僅英文) 建立密碼

14. 選擇匯出檔案的位置和名稱，然後按一下下一步。

圖 83：（僅限英文）選擇匯出檔案的位置和名稱

15. 按下完成按鈕。

圖 84：(僅限英文) 按一下「完成」

• 在 C 的根目錄上建立名為 Cert 的資料夾，然後將從「從 MMC 匯出具有私密金鑰和憑證路徑的憑證」步驟匯出的 PFX 移動至此資料夾內。
• 從 C：\Program Files\Dell\Enterprise Edition\Security Server\Conf 目錄中取得 cacerts 檔案的複本，並將其複製到 C：\Cert 資料夾。
• 從匯出的憑證取得別名名稱。
  • 開啟管理命令列提示字元。
  • 在命令提示字元中，將 Java bin 目錄新增至路徑。下列範例命令會使用 JAVA bin 資料夾的預設安裝資料夾，且可能需要更新。
  • Set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

圖 85：(僅英文) 輸入 set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

• 從命令提示字元前往 C:\Cert 資料夾。
• 執行金鑰工具公用程式，列出匯出憑證中的資訊。匯出憑證 (PFX) 時，必須更新以下命令的值。執行命令後，必須提供匯出憑證的密碼才能存取資訊。
  • 命令：
    • keytool -list -v -keystore -storetype PKCS12
  • 參數：
    • - 匯出的認證檔案名稱

圖 86：(僅英文) 輸入 keytool -list -v -keystore -storetype PKCS12

• 從上一個命令的輸出中，記下別名名稱之後的值。
• 將憑證匯入 cacerts 檔案。
  • 從第一個步驟中開啟的命令提示字元中，執行金鑰工具公用程式，將匯出的 PFX 檔案匯入 cacerts 檔案。必須使用在目前過程中所收集的資訊更新下列命令。執行命令後，必須提供匯出憑證的密碼才能存取資訊以進行匯入。
  • 關閉命令提示字元。
    • 命令：
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • 參數：
      • - 匯出的認證檔案名稱
      • - 之前所記錄的別名名稱
      • - 更新的 cacerts 檔案名稱。
      • - 保護儲存在 cacerts 檔案中所有資訊的密碼。這必須符合 cacerts 別名密碼的值。
      • - 儲存在 cacerts 檔案下的憑證資訊別名。建議執行此作業，使其成為 ddpe (但並非必要)。
      • - 保護儲存在 cacerts 檔案中特定別名之資訊的密碼。這必須符合 的值。

圖 87：(僅英文) 輸入 keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass

• 備份 Java 服務的現有 cacerts 檔案：
  • 停止以下清單中的每個服務。視環境架構和安裝的伺服器版本而定，清單中的所有服務可能不存在。
  • 將現有的 cacerts 檔案重新命名為 cacerts。DDMMYY，其中 DDMMYY 是兩位數的日、月、年格式。cacerts 檔案位於服務安裝資料夾的 conf 資料夾中。
    • 法規遵循報表程式 - 法規遵循報表程式服務的預設位置是 C:\Program Files\Dell\Enterprise Edition\Compliance Reporter。
    • 裝置伺服器 - 裝置伺服器服務的預設位置是 C:\Program Files\Dell\Enterprise Edition\Device Server。
    • 身分識別伺服器 - 身分識別伺服器服務的預設位置是 C:\Program Files\Dell\Enterprise Edition\Identity Server。
    • 安全性伺服器 - 安全性伺服器服務的預設位置是 C:\Program Files\Dell\Enterprise Edition\Security Server。
    • 主控台 Web 服務 - 主控台 Web 服務的預設位置是 C:\Program Files\Dell\Enterprise Edition\Console。
    注意：主控台 Web 服務已在 Dell Security Management Server (之前稱為 Dell Data Protection | Enterprise Edition) 中淘汰。
• 將產生的 cacerts 檔案複製到每個已備份服務的 conf 資料夾中。

• 以新的 cacerts 值更新 application.properties 和 eserver.properties 檔案。

  
  圖 88：(僅英文) 更新 application.preperties 和 eserver.properties

  • 開啟 application.properties/eserver.properties 檔案，並更新下列值。可能不會在每個服務的一或多個組態檔案中顯示所有的值。如果並未顯示值，便請略過，然後更新檔案中其餘的值。
  • eserver.keystore.password - 這必須使用 java 金鑰存放區檔案、cacerts 和指派的密碼更新。此值的格式必須如下範例所示。
    • eserver.keystore.password=password
  • keystore.password - 這必須使用 java 金鑰存放區檔案、cacerts 和別名密碼更新。此值的格式必須如下範例所示。
    • keystore.password = CLR(password)
  • 服務啟動後，此值即會加密，且設定看起來類似。
    • keystore.password = ENC(encrypted password)
  • keystore.alias.ssl - 此值區分大小寫，且必須與 cacerts 別名完全相符。
  • keystore.alias.signing - 此值區分大小寫，且必須與 cacerts 別名完全相符。
  • 範例檔案位置和組態設定
  • 安全性伺服器：
    • application.properties 檔案位置
    • application.properties 設定
    • keystore.password=CLR(changeit)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • 法規遵循報表程式：

    
    圖 89：(僅英文) eserver.properties

    • eserver.properties 檔案位置
    • eserver.properties 設定
    • eserver.keystore.password=changeit
  • 裝置伺服器：
    • application.properties 檔案位置

      
      圖 90：(僅英文) application.properties

      • application.properties 設定
      • keystore.password=CLR(changeit)
      • keystore.alias.ssl=ddpe
• 重新開機在前一個步驟中停止的服務。
• 瀏覽至 https://server:8443/xapi/、https://server:8084/reporter 和 https://server:8081/xapi，針對各個 URL 執行下列步驟，以驗證指紋
  • 按一下鎖定圖示。

    
    圖 91：(僅英文) 前往伺服器 URL

  • 按一下檢視憑證。

    
    圖 92：(僅英文) 檢視憑證

  • 按一下詳細資料標籤。

    
    圖 93：（僅限英文）按一下 [Details] （詳細資料） 標籤

  • 向下捲動並按一下指紋以檢視指紋，驗證每個服務是否使用正確的憑證。

    
    圖 94：(僅英文) 按一下「指紋」

注意：使用 Windows 驗證至 SQL 時，可能無法匯入 DM 憑證。執行「測試資料庫組態」動作以啟用此選項。

• 使用「伺服器組態工具」更新 .net 服務憑證。
  • 停止「核心伺服器」與「相容性伺服器」服務。
  • 啟動「伺服器組態工具」，從動作功能表項目中選取配置憑證，隨即會開啟組態精靈。

    
    圖 95：(僅英文) 配置憑證

  • 按一下下一步按鈕，然後在憑證精靈模式畫面上選取進階選項按鈕，然後按一下下一步。

    
    圖 96：(僅英文) 進階

  • 在核心伺服器 SSL 憑證畫面上：選取選取憑證選項按鈕，然後按一下下一步。

    
    圖 97：(僅英文) 選取憑證

  • 在「選取核心伺服器 SSL 憑證」畫面上，按一下瀏覽…按鈕。
  • 接著在瀏覽憑證畫面上選取要使用的憑證，然後按一下確定。
  • 回到選取核心伺服器 SSL 憑證畫面後，按一下下一步。

    
    圖 98：(僅英文) 選取憑證，然後按一下「下一步」

  • 重複 訊息安全性憑證的步驟。
  • 按一下完成。
• 更新 Dell Manager 憑證。
  • 從動作功能表項目中選取匯入 DM 憑證。

    
    圖 99：(僅英文) 匯入 DM 憑證

  • 找到匯出的 PFX 檔案，然後按一下開啟按鈕。

    
    圖 100：(僅英文) 開啟匯出的 PFX 檔案

  • 將密碼輸入至匯出的 PFX 檔案，然後按一下確定按鈕。

    
    圖 101：(僅英文) 輸入密碼

  • 關閉「伺服器組態工具」，並啟動「核心伺服器」和「相容性伺服器」服務。

在全新安裝或升級 Dell Data Protection | Encryption 8.x 的主安裝程式後，可能會導致「安全性伺服器」產生的憑證遺失資訊。可能遺失的資訊可能包括但不限於：簽署伺服器的別名無法提供預設的完整網域名稱 (FQDN)，或「安全性伺服器」可能完全沒有伺服器憑證。本文將說明如何解決此問題。

錯誤訊息

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

因應措施

為了解決此問題，僅使用 Keytool 無法正確產生更換憑證。您需要執行下列步驟以產生更換憑證。

1. 將目前的安全性伺服器 cacerts 檔案替換為從裝置伺服器複製而來的 cacerts 檔案。
2. 如果安全性伺服器服務正在執行中，請停止此服務。
3. 重新命名在 \Program Files\…\Security Server\conf 資料夾 中的cacerts 檔案，以作為備份。
4. 從 DS\conf folder 將 cacerts 檔案複製至 Security Server\conf 資料夾。
5. 從命令提示字元執行 keytool，並找到 cacerts 檔案的別名。

6. 輸入Keystore 密碼