DPA: Koko luottamusketjun ja yksityisen avaimen sisältävän allekirjoitetun varmenteen tuominen DPA:han - Windows

Joskus käyttäjän varmenteiden myöntäjällä (CA) on jo toimitettu allekirjoitettu varmenne. Jotkin käyttäjän toimenpiteet edellyttävät, että varmenne luodaan/noudetaan tällä tavalla. Se tapahtuu yleensä, kun varmenteiden myöntäjä myöntää jokerimerkkivarmenteen tai kun palvelin käyttää useita verkkotunnuksia.

Näissä tapauksissa voi olla mahdollista yksinkertaisesti tuoda allekirjoitettu varmenne apollo.keystoreen. Jos ja vain jos heidän saamansa allekirjoitettu varmenne sisältää koko varmenneketjun ja yksityisen avaimen.

Alla on lueteltu varmenteiden muodot, jotka voivat sisältää yksityisen avaimen:

• PKCS#12 (.pfx tai .p12) voi tallentaa palvelinvarmenteen, välivarmenteen ja yksityisen avaimen yhteen .pfx-tiedostoon, jossa on salasanasuojaus. Koska nämä tiedostot sisältävät koko ketjun ja yksityisen avaimen, se on mahdollista tuoda suoraan apollo.keystoreen, mutta muista, että alias ja aliassalasana ovat välttämättömiä tähän (varmenteen omistajalla pitäisi olla nämä tiedot).
• PEM (.pem, .crt, .cer tai .key) voi sisältää palvelinvarmenteen, välivarmenteen ja yksityisen avaimen yhdessä tiedostossa. Palvelinvarmenne ja välivarmenne voivat olla myös erillisissä .crt- tai .cer tiedostoissa ja yksityinen avain voi olla .key tiedostossa. Jos palvelin\välivarmenteet ja avain ovat erilliset, tämä ei riitä suoraan tuontiin.

Tarkista asia avaamalla varmennetiedosto tekstieditorissa.

Jokainen varmenne on ---- BEGIN CERTIFICATE----- ja ----END CERTIFICATE---- -lausekkeiden välissä.

Yksityinen avain on ---- BEGIN RSA PRIVATE KEY----- ja -----END RSA PRIVATE KEY----- -lausekkeiden välissä.

Varmista---- BEGIN CERTIFICATE---- ja ----END CERTIFICATE---- -lausekkeiden sisältämien varmenteiden määrä vastaa ketjun (palvelin ja keskitaso) varmenteiden määrää ja päättyy ---- ALOITA RSA PRIVATE KEY----- ja -----END RSA PRIVATE KEY.

Jos tiedosto ei sisällä koko varmenneketjua ja yksityistä avainta, varmenne on tuotava avainsäilöön, josta se luotiin. Jos et ole varma varmenneketjusta, katso lisätietoja artikkelista 532108: Palvelin-, keski- ja juurivarmenteiden erottaminen manuaalisesti yhdestä allekirjoitetusta varmenteesta

Kun koko varmenneketju ja yksityinen avain on yhdessä tiedostossa, kaikki tarvittava varmenteen tuomiseksi DPA:han seuraavilla vaiheilla tarjotaan:

1. Kopioi apollo.keystore-tiedosto ja standalone.xml tiedostot kohteesta dpa\services\standalone\configuration ja application-service.conf-tiedosto kohteesta dpa\services\executive. Jos sinun on palattava alkuperäiseen kokoonpanoon, voit palauttaa DPA:n toimintakuntoon näiden tiedostojen avulla. Sijoita kopiot työpöydän kansioon turvallista säilyttämistä varten ja sekaannusten välttämiseksi.

2. Avaa standalone.xml tiedoston kopio ja etsi avainalias. Avaimen aliaksen ja salasanan sisältävän rivin pitäisi olla näkyvissä:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Merkitse salasana muistiin tällä rivillä. Se on apollo.keystore-salasana, ja sitä tarvitaan seuraavissa vaiheissa.

3. Suorita seuraava komento DPA-asennushakemistossa services\_jre\bin:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Huomautus: Määritä allekirjoitetun varmennetiedoston (srckeystore) ja apollo.keystoren (destkeystore) oikea sijainti. Katso alla olevasta esimerkistä lisätietoja siitä, mitä on annettava:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Näytä luettelo apollo.keystoren sisällöstä varmistaaksesi, että allekirjoitettu varmenne on tuotu oikein:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Anna apollo.keystoren salasana)

   Sen pitäisi nyt sisältää apollokey-merkintä ja uusi merkintä, jossa on käyttäjän yleismerkki (riippumatta siitä, mille aliakselle allekirjoitettu varmenne on määritetty). Sinun pitäisi nähdä, että tämä on PrivateKeyEntry ja että se sisältää koko varmenneketjun.

5. Käynnistä sovelluspalvelut uudelleen ja yritä kirjautua käyttöliittymään. Jos palvelujen uudelleenkäynnistys aiheuttaa virheen, sovelluksen svc ei käynnisty tai et voi käyttää käyttöliittymää tässä vaiheessa:

   • Avaa application-service.conf ja etsi apollo.key. Sinun pitäisi nähdä, että alias on päivitetty tuomaasi aliakseen (tässä tapauksessa yleismerkki).
   • Avaa standalone.xml tekstieditorilla ja etsi hakusanalla key-alias. Sinun pitäisi nähdä alla olevan kaltainen rivi, joka näyttää tuomasi aliaksen:

     key-alias="${apollo.keystore.alias:emcdpa}"

   Jos ei, muuta avaimen alias vastaamaan allekirjoitettuun varmenteeseen liittyvää aliasta. Tarkista myös, että salasana on sama kuin olet käyttänyt koko ajan.

   Jos sinun on vaihdettava näiden tiedostojen alias tai salasana, toimi seuraavasti:

   1. Pysäytä sovelluspalvelut.
   2. Muokkaa ja tallenna tiedostoja.
   3. Käynnistä palvelut uudelleen.
   4. Jos ongelma ei poistu, ota yhteyttä DPA-tukeen.