DPA：完全な信頼チェーンとプライベート キーを含む署名済み証明書をDPAにインポートする方法 - Windows

場合によっては、ユーザーの認証局(CA)にすでに署名済み証明書が用意されていることがあります。一部のユーザーの手順では、この方法で証明書を生成/取得する必要があります。これは通常、CAがワイルドカード証明書を発行している場合、またはサーバーが複数のドメイン名を使用している場合に発生します。

このような場合は、署名済み証明書を apollo.keystore にインポートするだけで済む場合があります。受け取った署名付き証明書に完全な証明書チェーンと秘密キーが含まれている場合にのみ必要です。

プライベート キーを含めることができる証明書の形式を次に示します。

• PKCS#12 (.pfx または .p12) では、サーバー証明書、中間証明書、秘密キーをパスワード保護付きの 1 つの .pfx ファイルに格納できます。これらのファイルには完全なチェーン と 秘密鍵が含まれているため、apollo.keystoreに直接インポートできますが、そのためにはエイリアスとエイリアスパスワードが必要であることに注意してください(証明書の所有者はこの情報を持っている必要があります)。
• PEM (.pem、.crt、.cer、.key)には、サーバー証明書、中間証明書、秘密キーを1つのファイルに含める ことができます 。サーバー証明書と中間証明書は、個別の.crtファイルまたは.cerファイルに含めることもでき、秘密キーは.keyファイルに含めることができます。サーバーと中間の証明書とキーが別々の場合は、直接インポートするだけでは不十分です。

テキスト エディターで証明書ファイルを開いて確認します。

各証明書は、---- BEGIN CERTIFICATE---- ステートメントと ----END CERTIFICATE---- ステートメントの間に含まれています。

秘密キーは、---- BEGIN RSA PRIVATE KEY----- ステートメントと -----END RSA PRIVATE KEY----- ステートメントの間に含まれています。

BEGIN CERTIFICATE---- ステートメントと ----END CERTIFICATE---- ステートメントに含まれる証明書の数----、チェーン内の証明書の数 (サーバーと中間) と一致し、BEGIN RSA PRIVATE KEY----- と ---------END RSA PRIVATE KEY で終わることを確認します。

ファイルに完全な証明書チェーンと秘密鍵が含まれていない場合は、証明書を生成元の鍵ストアにインポートする必要があります。証明書チェーンが不明な場合は、KB記事532108を参照してください。単一の署名付き証明書からサーバー証明書、中間証明書、ルート証明書を手動で分離する方法

完全な証明書チェーンとプライベート キーが1つのファイルに格納されると、次の手順でDPAに証明書をインポートするために必要なすべてのものが提供されます。

1. apollo.keystoreとstandalone.xmlファイルのコピーをdpa\services\standalone\configurationから作成し、application-service.confファイルのコピーをdpa\services\executiveから作成します。元の設定に戻す必要がある場合は、これらのファイルを使用してDPAを正常に動作するようにリストアできます。安全に保管し、混乱を避けるため、コピーはデスクトップ上のフォルダーに入れます。

2. standalone.xmlファイルのコピーを開き、「key-alias」を検索します。キーエイリアスとパスワードを含む行は、次のように表示されます。

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   この行のパスワードをメモします。これはapollo.keystoreのパスワードであり、次の手順で必要になります。

3. services\_jre\binのDPAインストール ディレクトリーから次のコマンドを実行します。

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   注：署名済み証明書ファイル (srckeystore) と apollo.keystore (destkeystore) の正しい場所を指定します。入力内容の詳細については、次の例を参照してください。

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. apollo.keystore の内容を一覧表示して、署名済み証明書が正しくインポートされたことを確認します。

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (apollo.keystoreのパスワードを入力します)

   これで、apollokey のエントリと、ユーザーのワイルドカードエイリアス (署名付き証明書が割り当てられたエイリアス) を持つ新しいエントリが含まれているはずです。これがPrivateKeyEntryであり、完全な証明書チェーンが含まれていることがわかります。

5. アプリケーション サービスを再起動し、UIへのログインを試みます。サービスを再起動するとエラーが発生したり、アプリ サービスの起動に失敗したり、この時点でUIにアクセスできなかったりする場合は、次の手順を実行します。

   • application-service.confを開き、「apollo.key」を検索します。エイリアスがインポートしたエイリアス(この場合はワイルドカードエイリアス)に更新されていることがわかります。
   • テキストエディタでstandalone.xmlを開き、「key-alias」を検索します。インポートしたエイリアスを示す次のような行が表示されます。

     key-alias="${apollo.keystore.alias:emcdpa}"

   そうでない場合は、署名済み証明書に関連づけられているものと一致するようにキー エイリアスを変更します。また、パスワードがこれまで使用していたものと同じであることを再確認してください。

   これらのファイルのエイリアスまたはパスワードを変更する必要がある場合は、次の手順を実行します。

   1. アプリケーション サービスを停止します。
   2. ファイルを編集して保存します。
   3. サービスを再スタートします。
   4. 問題が解決しない場合は、DPAサポートにお問い合わせください。