DPA: Cómo importar un certificado firmado que contiene la cadena completa de confianza y clave privada a DPA: Windows

En ocasiones, la autoridad de certificación (CA) de un usuario ya tiene un certificado firmado proporcionado. Algunos procedimientos de usuario requieren que generen/recuperen un certificado de esta manera. Por lo general, sucede cuando la CA emite un certificado comodín o cuando un servidor pasa por varios nombres de dominio.

En estos casos, puede ser posible simplemente importar el certificado firmado en apollo.keystore. Si y solo si el certificado firmado que han recibido contiene la cadena de certificados completa y la clave privada.

A continuación, se enumeran los formatos de certificado que pueden contener la clave privada:

• PKCS#12 (.pfx o .p12) puede almacenar el certificado del servidor, el certificado intermedio y la clave privada en un único archivo .pfx protegido por contraseña. Dado que estos archivos contienen la cadena completa y la clave privada, es posible importarla directamente a apollo.keystore, pero recuerde que el alias y la contraseña del alias son necesarios para hacerlo (el propietario del certificado debe tener esta información).
• PEM (.pem, .crt, .cer o .key) puede incluir el certificado del servidor, el certificado intermedio y la clave privada en un solo archivo. El certificado del servidor y el certificado intermedio también pueden estar en archivos .crt o .cer independientes y la clave privada puede estar en un archivo .key. Si los certificados server\intermediate y key son independientes, esto no es suficiente para importar directamente.

Para verificarlo, abra el archivo de certificado en un editor de texto.

Cada certificado se encuentra entre las instrucciones ---- BEGIN CERTIFICATE---- y ----END CERTIFICATE----.

La clave privada se encuentra entre las instrucciones ---- BEGIN RSA PRIVATE KEY----- y -----END RSA PRIVATE KEY----- EXPRESS.

Asegúrese de que la cantidad de certificados contenidos en ---- instrucciones BEGIN CERTIFICATE---- y ----END CERTIFICATE---- coincida con la cantidad de certificados de la cadena (servidor e intermedio) y finalice con ---- BEGIN RSA PRIVATE KEY----- Y LA CLAVE PRIVADA RSA -----END.

Si el archivo no contiene la cadena de certificados y la clave privada completas, el certificado se debe importar al almacén de claves desde el cual se generó. Si no está seguro acerca de la cadena de certificados, consulte el artículo 532108 de la base de conocimientos: Cómo separar manualmente los certificados de servidor, intermedios y raíz de un único certificado firmado

Una vez que se verifica que toda la cadena de certificados y la clave privada se encuentran en un archivo, se proporciona todo lo necesario para importar el certificado a DPA mediante los siguientes pasos:

1. Haga una copia de los archivos apollo.keystore y standalone.xml desde dpa\services\standalone\configuration y el archivo application-service.conf desde dpa\services\executive. Si debe volver a la configuración original, puede usar estos archivos para restaurar DPA al estado de funcionamiento. Coloque las copias en una carpeta en el escritorio para guardarlas de forma segura y evitar confusiones.

2. Abra la copia del archivo de standalone.xml y busque "key-alias". Se debe ver una línea que contiene el alias de clave y la contraseña similar a esta:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Anote la contraseña en esta línea. Es la contraseña de apollo.keystore y se necesita en los próximos pasos.

3. Ejecute el siguiente comando desde el directorio de instalación de DPA en services\_jre\bin:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Nota: Especifique la ubicación correcta del archivo de certificado firmado (srckeystore) y apollo.keystore (destkeystore). Consulte el siguiente ejemplo para obtener más información sobre lo que se debe ingresar:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Enumere el contenido de apollo.keystore para verificar que el certificado firmado se haya importado correctamente:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Ingrese la contraseña de apollo.keystore)

   Ahora debe contener la entrada de apollokey y la nueva entrada con el alias comodín del usuario (independientemente del alias al que se asignó el certificado firmado). Debería ver que se trata de PrivateKeyEntry y que contiene la cadena de certificados completa.

5. Reinicie los servicios de la aplicación e intente iniciar sesión en la interfaz de usuario. Si se produce un error al reiniciar los servicios, el servicio de la aplicación no se inicia o no puede acceder a la interfaz de usuario en este punto:

   • Abra application-service.conf y busque "apollo.key". Debería ver que el alias se actualizó al alias que importó (en este caso, wildcardalias).
   • Abra standalone.xml con un editor de texto y busque 'key-alias'. Debería ver una línea similar a la que aparece a continuación que muestra el alias que importó:

     key-alias="${apollo.keystore.alias:emcdpa}"

   Si no es así, cambie el alias de clave para que coincida con el asociado con el certificado firmado. Además, verifique que la contraseña sea la misma que ha estado utilizando en todo momento.

   Si debe cambiar el alias o la contraseña en estos archivos, realice lo siguiente:

   1. Detenga los servicios de la aplicación.
   2. Edite y guarde los archivos.
   3. Reinicie los servicios.
   4. Si el problema persiste, póngase en contacto con el soporte de DPA.