DPA: Importieren eines signierten Zertifikats, das die vollständige Vertrauenskette und den privaten Schlüssel enthält, in DPA – Windows

Summary: So importieren Sie ein signiertes Zertifikat, das die vollständige Vertrauenskette und einen privaten Schlüssel oder ein Platzhalterzertifikat enthält, auf den DPA-Anwendungsserver (Data Protection Advisor). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Manchmal verfügt die Zertifizierungsstelle (CA) eines Nutzers bereits über ein bereitgestelltes signiertes Zertifikat. Einige Nutzerverfahren erfordern, dass sie auf diese Weise ein Zertifikat erzeugen/abrufen. Dies geschieht in der Regel, wenn die Zertifizierungsstelle ein Platzhalterzertifikat ausstellt oder wenn ein Server mehrere Domänennamen verwendet.

In diesen Fällen kann es möglich sein, das signierte Zertifikat einfach in apollo.keystore zu importieren. Wenn das signierte Zertifikat, das sie erhalten haben, die vollständige Zertifikatkette und den privaten Schlüssel enthält.

Zertifikatformate, die den privaten Schlüssel enthalten können, sind unten aufgeführt:

  • PKCS#12 (.pfx oder .p12) kann das Serverzertifikat, das Zwischenzertifikat und den privaten Schlüssel in einer einzigen PFX-Datei mit Kennwortschutz speichern. Da diese Dateien die vollständige Kette und den privaten Schlüssel enthalten, ist es möglich, ihn direkt in apollo.keystore zu importieren, aber denken Sie daran, dass dazu das Alias- und Alias-Passwort erforderlich ist (der Eigentümer des Zertifikats sollte über diese Informationen verfügen).
  • PEM (.pem, .crt, .cer oder .key) kann das Serverzertifikat, das Zwischenzertifikat und den privaten Schlüssel in einer einzigen Datei enthalten. Das Serverzertifikat und das Zwischenzertifikat können sich auch in einer separaten CRT- oder .cer-Datei befinden, und der private Schlüssel kann sich in einer .key Datei befinden. Wenn die Server-/Zwischenzertifikate und der Schlüssel getrennt sind, reicht dies nicht aus, um direkt importiert zu werden.

Überprüfen Sie dies, indem Sie die Zertifikatdatei in einem Texteditor öffnen.

Jedes Zertifikat ist zwischen den Anweisungen ---- BEGIN CERTIFICATE---- und ----END CERTIFICATE---- enthalten.

Der private Schlüssel ist zwischen den Anweisungen ---- BEGIN RSA PRIVATE KEY----- und -----END RSA PRIVATE KEY----- enthalten.

Stellen Sie sicher, dass die Anzahl der Zertifikate in ---- Anweisungen BEGIN CERTIFICATE---- und ----END CERTIFICATE---- mit der Anzahl der Zertifikate in der Kette (Server und Intermediate) übereinstimmt und mit ---- BEGIN RSA PRIVATE KEY----- und -----END RSA PRIVATE KEY endet.

Wenn die Datei nicht die vollständige Zertifikatkette und den privaten Schlüssel enthält, muss das Zertifikat in den Keystore importiert werden, aus dem es erzeugt wurde. Wenn Sie sich bezüglich der Zertifikatkette nicht sicher sind, lesen Sie den Wissensdatenbank-Artikel 532108: Manuelles Trennen von Server-, Zwischen- und Stammzertifikaten von einem einzigen signierten Zertifikat

Sobald die vollständige Zertifikatkette und der private Schlüssel in einer Datei verifiziert sind, wird alles bereitgestellt, was erforderlich ist, um das Zertifikat mithilfe der folgenden Schritte in DPA zu importieren:

  1. Erstellen Sie eine Kopie der Dateien apollo.keystore und standalone.xml von dpa\services\standalone\configuration und der Datei application-service.conf von dpa\services\executive. Wenn Sie die ursprüngliche Konfiguration wiederherstellen müssen, können Sie diese Dateien verwenden, um DPA wieder funktionsfähig zu machen. Legen Sie die Kopien zur sicheren Aufbewahrung und zur Vermeidung von Verwechslungen in einem Ordner auf dem Desktop ab.

  2. Öffnen Sie die Kopie der standalone.xml Datei und suchen Sie nach "key-alias". Eine Zeile mit dem Schlüsselalias und dem Passwort ähnlich der folgenden sollte angezeigt werden:

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

    Notieren Sie sich das Kennwort in dieser Zeile. Dies ist das apollo.keystore-Kennwort, das in den nächsten Schritten benötigt wird.

  3. Führen Sie den folgenden Befehl im DPA-Installationsverzeichnis unter services\_jre\bin aus:

    keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
    Hinweis: Geben Sie den korrekten Speicherort der signierten Zertifikatdatei (srckeystore) und apollo.keystore (destkeystore) an. Im folgenden Beispiel finden Sie weitere Informationen dazu, was eingegeben werden muss: 
    D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

Enter destination keystore password: (apollo.keystore password- check standalone.xml)
Enter source keystore password: (alias password-owner of certificate will know this)
Entry for alias my_alias successfully imported.
Import command completed:1 entries successfully imported, 0 entries failed or cancelled

  4. Listen Sie den Inhalt von apollo.keystore auf, um zu überprüfen, ob das signierte Zertifikat korrekt importiert wurde:

    keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

    (Geben Sie das apollo.keystore-Kennwort ein)

    Es sollte nun den Eintrag für apollokey und den neuen Eintrag mit dem Wildcardalias des Benutzers enthalten (unabhängig davon, welchem Alias das signierte Zertifikat zugewiesen wurde). Sie sollten sehen, dass es sich um einen PrivateKeyEntry handelt, der die vollständige Zertifikatkette enthält.

  5. Starten Sie die Anwendungsservices neu und versuchen Sie, sich bei der Benutzeroberfläche anzumelden. Wenn der Neustart von Services zu einem Fehler führt, kann der App-Service nicht gestartet werden oder Sie können zu diesem Zeitpunkt nicht auf die Benutzeroberfläche zugreifen:

    • Öffnen Sie application-service.conf und suchen Sie nach "apollo.key". Sie sollten sehen, dass der Alias auf den Alias aktualisiert wurde, den Sie importiert haben (in diesem Fall Wildcardalias).
    • Öffnen Sie standalone.xml mit einem Texteditor und suchen Sie nach "key-alias". Sie sollten eine Zeile ähnlich der folgenden sehen, die den Alias anzeigt, den Sie importiert haben: 
      key-alias="${apollo.keystore.alias:emcdpa}"

    Falls nicht, ändern Sie den Schlüsselalias so, dass er dem mit dem signierten Zertifikat verknüpften Alias entspricht. Vergewissern Sie sich außerdem, dass das Kennwort mit dem identisch ist, das Sie durchgehend verwendet haben.

    Wenn Sie den Alias oder das Kennwort in diesen Dateien ändern müssen, gehen Sie wie folgt vor:

    1. Beenden Sie die Anwendungsdienste.
    2. Bearbeiten und speichern Sie die Dateien.
    3. Starten Sie die Services neu:
    4. Wenn das Problem weiterhin besteht, wenden Sie sich an den DPA-Support.

 

Affected Products

Data Protection Advisor

Products

Data Protection Advisor
Article Properties
Article Number: 000157596
Article Type: How To
Last Modified: 14 Nov 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.