DPA: Come importare un certificato firmato che contiene la catena di attendibilità completa e la chiave privata in DPA - Windows

A volte, l'autorità di certificazione (CA) di un utente dispone già di un certificato firmato fornito. Alcune procedure dell'utente richiedono la generazione\il recupero di un certificato in questo modo. In genere si verifica quando la CA emette un certificato con caratteri jolly o quando un server utilizza più nomi di dominio.

In questi casi, potrebbe essere possibile importare semplicemente il certificato firmato in apollo.keystore. Se e solo se il certificato firmato ricevuto contiene l'intera catena di certificati e la chiave privata.

Di seguito sono elencati i formati di certificato che possono contenere la chiave privata:

• PKCS#12 (.pfx o .p12) può archiviare il certificato server, il certificato intermedio e la chiave privata in un singolo file .pfx con protezione tramite password. Poiché questi file contengono l'intera catena e la chiave privata, è possibile importarla direttamente in apollo.keystore, ma ricorda che l'alias e la password dell'alias sono necessari per farlo (il proprietario del certificato dovrebbe avere queste informazioni).
• PEM (.pem, .crt, .cer o .key) può includere il certificato server, il certificato intermedio e la chiave privata in un singolo file. Il certificato server e il certificato intermedio possono anche trovarsi in file .crt o .cer separati e la chiave privata può trovarsi in un file .key. Se i certificati e la chiave server\intermediate sono separati, non è sufficiente eseguire l'importazione diretta.

Controllare aprendo il file di certificato in un editor di testo.

Ogni certificato è contenuto tra le istruzioni ---- BEGIN CERTIFICATE---- e ----END CERTIFICATE----.

La chiave privata è contenuta tra le ---- istruzioni BEGIN RSA PRIVATE KEY----- E -----END RSA PRIVATE KEY-----

Assicurarsi che il numero di certificati contenuti nelle istruzioni ---- BEGIN CERTIFICATE---- e ----END CERTIFICATE---- corrisponda al numero di certificati nella catena (server e intermedio) e termini con ---- BEGIN RSA PRIVATE KEY----- E -----END RSA PRIVATE KEY.

Se il file non contiene la catena di certificati completa e la chiave privata, il certificato deve essere importato nell'archivio chiavi da cui è stato generato. In caso di dubbi sulla catena di certificati, consultare l'articolo 532108 della Knowledge Base: Come separare manualmente i certificati server, intermedi e root da un singolo certificato firmato

Una volta verificata la catena completa del certificato e la chiave privata in un unico file, viene fornito tutto il necessario per importare il certificato in DPA seguendo questa procedura:

1. Creare una copia dei file apollo.keystore e standalone.xml da dpa\services\standalone\configuration e del file application-service.conf da dpa\services\executive. Se è necessario ripristinare la configurazione originale, è possibile utilizzare questi file per ripristinare DPA alle condizioni operative. Posizionare le copie in una cartella sul desktop per conservarle in modo sicuro ed evitare confusione.

2. Aprire la copia del file standalone.xml e cercare "key-alias". Viene visualizzata una riga contenente l'alias della chiave e la password simile a questa:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Prendere nota della password in questa riga. Si tratta della password apollo.keystore ed è necessaria nei passaggi successivi.

3. Eseguire il seguente comando dalla directory di installazione di DPA in services\_jre\bin:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Nota: Specificare la posizione corretta del file di certificato firmato (srckeystore) e di apollo.keystore (destkeystore). Vedere l'esempio riportato di seguito per ulteriori informazioni su ciò che è necessario inserire:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Elencare il contenuto di apollo.keystore per verificare che il certificato firmato sia stato importato correttamente:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Immettere la password apollo.keystore)

   Ora dovrebbe contenere la voce per apollokey e la nuova voce con il wildcardalias dell'utente (qualunque sia l'alias a cui è stato assegnato il certificato firmato). Si dovrebbe notare che si tratta di un oggetto PrivateKeyEntry che contiene l'intera catena di certificati.

5. Riavviare i servizi dell'applicazione e tentare di accedere all'interfaccia utente. Se il riavvio dei servizi genera un errore, l'app svc non si avvia o non è possibile accedere all'interfaccia utente a questo punto:

   • Aprire application-service.conf e cercare "apollo.key". Dovresti vedere che l'alias è stato aggiornato con l'alias che hai importato (in questo caso, wildcardalias).
   • Apri standalone.xml con un editor di testo e cerca "key-alias". Viene visualizzata una riga simile a quella riportata di seguito che mostra l'alias importato:

     key-alias="${apollo.keystore.alias:emcdpa}"

   In caso contrario, modificare l'alias della chiave in modo che corrisponda a quello associato al certificato firmato. Inoltre, ricontrolla che la password sia la stessa che hai utilizzato per tutto il tempo.

   Se è necessario modificare l'alias o la password in questi file:

   1. Arrestare i servizi dell'applicazione.
   2. Modificare e salvare i file.
   3. Riavviare i servizi.
   4. Se il problema persiste, contattare il supporto DPA.