DPA : Importation d’un certificat signé qui contient la chaîne d’approbation complète et la clé privée dans DPA - Windows

Parfois, l’autorité de certification (AC) d’un utilisateur dispose déjà d’un certificat signé. Les procédures de certains utilisateurs nécessitent qu’ils génèrent/récupèrent un certificat de cette manière. Cela se produit généralement lorsque l’autorité de certification émet un certificat générique ou lorsqu’un serveur utilise plusieurs noms de domaine.

Dans ce cas, il peut être possible d’importer simplement le certificat signé dans apollo.keystore. Si et seulement si le certificat signé qu’ils ont reçu contient la chaîne de certificats complète et la clé privée.

Les formats de certificat pouvant contenir la clé privée sont répertoriés ci-dessous :

• PKCS#12 (.pfx ou .p12) peut stocker le certificat de serveur, le certificat intermédiaire et la clé privée dans un seul fichier .pfx avec protection par mot de passe. Étant donné que ces fichiers contiennent la chaîne complète et la clé privée, il est possible de l’importer directement dans apollo.keystore, mais n’oubliez pas que l’alias et le mot de passe de l’alias sont nécessaires pour le faire (le propriétaire du certificat doit avoir cette information).
• PEM (.pem, .crt, .cer ou .key) peut inclure le certificat de serveur, le certificat intermédiaire et la clé privée dans un seul fichier. Le certificat de serveur et le certificat intermédiaire peuvent également se trouver dans un fichier .crt ou .cer distinct, et la clé privée peut se trouver dans un fichier .key. Si les certificats et la clé du serveur/intermédiaire sont séparés, cela ne suffit pas pour une importation directe.

Vérifiez en ouvrant le fichier de certificat dans un éditeur de texte.

Chaque certificat est contenu entre les instructions ---- BEGIN CERTIFICATE---- et ----END CERTIFICATE ----.

La clé privée est contenue entre les instructions ---- BEGIN RSA PRIVATE KEY----- et -----END RSA PRIVATE KEY-----.

Assurez-vous que le nombre de certificats contenus dans ----'instruction BEGIN CERTIFICATE---- et ----END CERTIFICATE---- correspond au nombre de certificats dans la chaîne (serveur et intermédiaire) et se termine par ---- BEGIN RSA PRIVATE KEY----- et -----END RSA PRIVATE KEY.

Si le fichier ne contient pas la chaîne de certificats complète et la clé privée, le certificat doit être importé dans le magasin de clés à partir duquel il a été généré. Si vous n’êtes pas sûr de la chaîne de certificats, reportez-vous à l’article 532108 de la base de connaissances : Comment séparer manuellement les certificats de serveur, intermédiaires et racine d’un certificat signé unique

Une fois que la chaîne de certificats complète et la clé privée se trouvent dans un fichier est vérifiée, tout ce qui est nécessaire pour importer le certificat dans DPA en suivant les étapes suivantes est fourni :

1. Effectuez une copie des fichiers apollo.keystore et standalone.xml à partir de dpa\services\standalone\configuration et du fichier application-service.conf à partir de dpa\services\executive. Si vous devez revenir à la configuration d’origine, vous pouvez utiliser ces fichiers pour remettre DPA en état de fonctionnement. Placez les copies dans un dossier sur le bureau pour les conserver en toute sécurité et éviter toute confusion.

2. Ouvrez la copie du fichier standalone.xml et recherchez « key-alias ». Une ligne contenant l’alias de clé et le mot de passe similaire à celle-ci doit être vue :

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Notez le mot de passe dans cette ligne. Il s’agit du mot de passe apollo.keystore, nécessaire dans les étapes suivantes.

3. Exécutez la commande suivante à partir du répertoire d’installation de DPA dans services\_jre\bin :

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Remarque : Spécifiez l’emplacement correct du fichier de certificat signé (srckeystore) et de apollo.keystore (destkeystore). Reportez-vous à l’exemple ci-dessous pour plus d’informations sur ce qui doit être saisi :

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Répertoriez le contenu de apollo.keystore pour vérifier que le certificat signé a été importé correctement :

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Entrez le mot de passe apollo.keystore)

   Il devrait maintenant contenir l’entrée pour apollokey et la nouvelle entrée avec les alias génériques de l’utilisateur (quel que soit l’alias auquel le certificat signé a été attribué). Vous devez voir qu’il s’agit d’un PrivateKeyEntry et qu’il contient la chaîne de certificats complète.

5. Redémarrez les services de l’application et essayez de vous connecter à l’interface utilisateur. Si le redémarrage des services génère une erreur, le service de l’application ne démarre pas ou vous ne pouvez pas accéder à l’interface utilisateur à ce stade :

   • Ouvrez application-service.conf et recherchez « apollo.key ». Vous devriez voir que l’alias a été mis à jour vers l’alias que vous avez importé (dans ce cas, un alias générique).
   • Ouvrez standalone.xml avec un éditeur de texte et recherchez 'key-alias'. Vous devriez voir une ligne similaire à celle ci-dessous qui montre l’alias que vous avez importé :

     key-alias="${apollo.keystore.alias:emcdpa}"

   Si ce n’est pas le cas, modifiez l’alias de clé pour qu’il corresponde à celui associé au certificat signé. Vérifiez également que le mot de passe est le même que celui que vous avez utilisé tout au long du processus.

   Si vous devez modifier l’alias ou le mot de passe dans ces fichiers, procédez comme suit :

   1. Arrêtez les services applicatifs.
   2. Modifiez et enregistrez les fichiers.
   3. Redémarrez les services.
   4. Si le problème persiste, contactez le support DPA.