DPA: Sådan importeres et signeret certifikat, der indeholder hele kæden af tillid og privat nøgle, til DPA - Windows

Nogle gange har en brugers nøglecenter (CA) allerede et leveret signeret certifikat. Nogle brugeres procedurer kræver, at de genererer\henter et certifikat på denne måde. Det sker typisk, når CA udsteder et wildcard-certifikat, eller når en server går under flere domænenavne.

I disse tilfælde kan det være muligt blot at importere det signerede certifikat til apollo.keystore. Hvis og kun hvis det signerede certifikat, de har modtaget, indeholder den fulde certifikatkæde og private nøgle.

Certifikatformater, der kan indeholde den private nøgle, er angivet nedenfor:

• PKCS#12 (.pfx eller .p12) kan gemme servercertifikatet, det mellemliggende certifikat og den private nøgle i en enkelt .pfx-fil med adgangskodebeskyttelse. Da disse filer indeholder den fulde kæde og den private nøgle, er det muligt at importere det direkte til apollo.keystore, men husk at aliaset og aliasadgangskoden er nødvendig for at gøre det (ejeren af certifikatet skal have disse oplysninger).
• PEM (.pem, .crt, .cer eller .key) kan omfatte servercertifikatet, det mellemliggende certifikat og den private nøgle i en enkelt fil. Servercertifikatet og det mellemliggende certifikat kan også være i en separat .crt- eller .cer-fil, og den private nøgle kan være i en .key fil. Hvis server\mellemliggende certifikater og nøgle er adskilte, er dette ikke tilstrækkeligt til at importere direkte.

Kontroller ved at åbne certifikatfilen i et tekstredigeringsprogram.

Hvert certifikat er indeholdt mellem sætningerne ---- BEGIN CERTIFICATE---- og ----END CERTIFICATE---- CERTIFICATE.

Den private nøgle er indeholdt mellem ---- BEGIN RSA PRIVATE KEY----- OG -----END RSA PRIVATE KEY----- ERKLÆRINGER.

Sørg for, at antallet af certifikater i ---- BEGIN CERTIFICATE----- og ----END CERTIFICATE-----sætninger svarer til antallet af certifikater i kæden (server og mellemliggende) og slutter med ---- BEGIN RSA PRIVATE KEY----- OG -----END RSA PRIVATE KEY.

Hvis arkivet ikke indeholder hele certifikatkæden og den private nøgle, skal certifikatet importeres til det nøglelager, det blev oprettet fra. Hvis du er usikker på certifikatkæden, kan du se KB-artiklen 532108: Sådan adskilles server-, mellem- og rodcertifikater manuelt fra et enkelt signeret certifikat

Når den fulde certifikatkæde og private nøgle er i én fil er verificeret, leveres alt, hvad der er nødvendigt for at importere certifikatet til DPA ved hjælp af følgende trin:

1. Lav en kopi af apollo.keystore, og standalone.xml filer fra dpa\services\standalone\configuration og filen application-service.conf fra dpa\services\executive. Hvis du skal vende tilbage til den oprindelige konfiguration, kan du bruge disse filer til at gendanne DPA til funktionsdygtig stand. Anbring kopierne i en mappe på skrivebordet for sikker opbevaring og for at undgå forvirring.

2. Åbn kopien af standalone.xml-filen, og søg efter 'key-alias'. En linje, der indeholder nøglealiaset og adgangskoden, der ligner dette, skal ses:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Vær opmærksom på adgangskoden i denne linje. Det er apollo.keystore-adgangskoden, og det er nødvendigt i de næste trin.

3. Kør følgende kommando fra DPA-installationsmappen i services\_jre\bin:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Bemærk: Angiv den korrekte placering af den signerede certifikatfil (srckeystore) og apollo.keystore (destkeystore). Se eksemplet nedenfor for at få flere oplysninger om, hvad der skal indtastes:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Angiv indholdet af apollo.keystore for at kontrollere, at det signerede certifikat blev importeret korrekt:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Indtast adgangskoden til apollo.keystore)

   Den skulle nu indeholde posten for apollokey og den nye post med brugerens jokertegn (uanset hvilket alias det signerede certifikat blev tildelt). Du bør se, at dette er en PrivateKeyEntry, og at den indeholder hele certifikatkæden.

5. Genstart programtjenesterne, og forsøg at logge på brugergrænsefladen. Hvis genstart af tjenester resulterer i en fejl, kan appsvc'en ikke starte, eller du kan ikke få adgang til brugergrænsefladen på dette tidspunkt:

   • Åbn application-service.conf og søg efter 'apollo.key'. Du bør kunne se, at aliasset er blevet opdateret til det alias, du har importeret (i dette tilfælde jokertegn).
   • Åbn standalone.xml med en teksteditor, og søg efter 'key-alias'. Du bør se en linje, der ligner den nedenfor, der viser det alias, du importerede:

     key-alias="${apollo.keystore.alias:emcdpa}"

   Hvis ikke, skal du ændre nøglealiasset, så det svarer til det, der er knyttet til det signerede certifikat. Dobbelttjek også, at adgangskoden er den samme, som du har brugt hele vejen igennem.

   Hvis du skal ændre aliasset eller adgangskoden i disse filer, skal du:

   1. Stop programtjenester.
   2. Rediger og gem filerne.
   3. Genstart tjenester.
   4. Kontakt DPA-support, hvis problemet fortsætter.