DPA: Jak importovat podepsaný certifikát, který obsahuje celý řetězec důvěryhodnosti a soukromý klíč, do DPA - Windows

Někdy už certifikační autorita (CA) uživatele má poskytnutý podepsaný certifikát. Některé uživatelské postupy vyžadují, aby vygenerovali/načetli certifikát tímto způsobem. K tomu obvykle dochází, když certifikační autorita vydává certifikát se zástupnými znaky nebo když server používá více názvů domén.

V těchto případech může být možné jednoduše importovat podepsaný certifikát do apollo.keystore. Pouze tehdy, pokud podepsaný certifikát, který obdrželi, obsahuje úplný řetězec certifikátů a soukromý klíč.

Níže jsou uvedeny formáty certifikátů, které mohou obsahovat privátní klíč:

• PKCS#12 (.pfx nebo .p12) může uložit certifikát serveru, zprostředkující certifikát a soukromý klíč do jednoho souboru .pfx s ochranou heslem. Vzhledem k tomu, že tyto soubory obsahují celý řetězec a privátní klíč, je možné jej importovat přímo do apollo.keystore, ale nezapomeňte, že alias a heslo aliasu jsou k tomu nutné (vlastník certifikátu by měl mít tyto informace).
• PEM (.pem, .crt, .cer nebo .key) může obsahovat certifikát serveru, zprostředkující certifikát a soukromý klíč v jednom souboru. Certifikát serveru a zprostředkující certifikát mohou být také v samostatných souborech .crt nebo .cer a privátní klíč může být v souboru .key. Pokud jsou zprostředkující certifikáty serveru a klíč oddělené, nestačí to k přímému importu.

Zkontrolujte otevřením souboru certifikátu v textovém editoru.

Každý certifikát je obsažen mezi příkazy ---- BEGIN CERTIFICATE---- a ----END CERTIFICATE---- .

Privátní klíč je obsažen mezi příkazy ---- BEGIN RSA PRIVATE KEY----- a -----END RSA PRIVATE KEY----- .

Ujistěte se, že počet certifikátů obsažených v příkazech ---- BEGIN CERTIFICATE---- a ----END CERTIFICATE---- odpovídá počtu certifikátů v řetězci (server a zprostředkující) a končí ---- BEGIN RSA PRIVATE KEY----- a -----END RSA PRIVATE KEY.

Pokud soubor neobsahuje úplný řetězec certifikátů a privátní klíč, je nutné certifikát importovat do úložiště klíčů, ze kterého byl vygenerován. Pokud si nejste jisti řetězem certifikátů, přečtěte si článek znalostní databáze 532108: Jak ručně oddělit serverový, zprostředkující a kořenový certifikát od jednoho podepsaného certifikátu

Po ověření celého řetězce certifikátů a soukromého klíče v jednom souboru získáte následující kroky vše potřebné k importu certifikátu do DPA:

1. Vytvořte kopii apollo.keystore a souborů standalone.xml z dpa\services\standalone\configuration a souboru application-service.conf z dpa\services\executive. Pokud se potřebujete vrátit zpět k původní konfiguraci, můžete tyto soubory použít k obnovení funkčního stavu DPA. Umístěte kopie do složky na ploše, abyste je bezpečně uchovali a předešli záměně.

2. Otevřete kopii souboru standalone.xml a vyhledejte "key-alias". Měl by se zobrazit řádek obsahující alias klíče a heslo podobné tomuto:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Poznamenejte si heslo v tomto řádku. Je to heslo apollo.keystore a je potřeba v dalších krocích.

3. Z instalačního adresáře DPA ve složce services\_jre\bin spusťte následující příkaz:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Poznámka: Zadejte správné umístění souboru podepsaného certifikátu (srckeystore) a apollo.keystore (destkeystore). Další informace o tom, co je třeba zadat, naleznete v následujícím příkladu:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Zobrazte obsah apollo.keystore a ověřte, zda byl podepsaný certifikát správně importován:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Zadejte heslo apollo.keystore)

   Nyní by měl obsahovat položku pro apollokey a novou položku se zástupným znakovým aliasem uživatele (bez ohledu na to, k jakému aliasu byl podepsaný certifikát přiřazen). Měli byste vidět, že se jedná o PrivateKeyEntry a že obsahuje úplný řetěz certifikátů.

5. Restartujte aplikační služby a zkuste se přihlásit do uživatelského rozhraní. Pokud restartování služeb způsobí chybu, nespustí se služba App SVC nebo v tuto chvíli nemáte přístup k uživatelskému rozhraní:

   • Otevřete soubor application-service.conf a vyhledejte "apollo.key". Měli byste vidět, že alias byl aktualizován na alias, který jste importovali (v tomto případě wildcardalias).
   • Otevřete standalone.xml v textovém editoru a vyhledejte "key-alias". Měl by se zobrazit řádek podobný tomu níže, který zobrazuje alias, který jste importovali:

     key-alias="${apollo.keystore.alias:emcdpa}"

   Pokud ne, změňte alias klíče tak, aby odpovídal aliasu přidruženému k podepsanému certifikátu. Zkontrolujte také, zda je heslo stejné jako to, které jste používali po celou dobu.

   Pokud je nutné v těchto souborech změnit alias nebo heslo, potom:

   1. Zastavte aplikační služby.
   2. Upravte a uložte soubory.
   3. Restartujte služby.
   4. Pokud problém přetrvává, obraťte se na podporu DPA.