DPA: 전체 신뢰 체인 및 개인 키가 포함된 서명된 인증서를 DPA로 가져오는 방법 - Windows

사용자의 CA(Certificate Authority)에 이미 제공된 서명된 인증서가 있는 경우도 있습니다. 일부 사용자의 프로시저에서는 이러한 방식으로 인증서를 생성\검색해야 합니다. 일반적으로 CA가 와일드카드 인증서를 발급하거나 서버가 여러 도메인 이름을 사용할 때 발생합니다.

이러한 경우 서명된 인증서를 apollo.keystore로 가져올 수 있습니다. 수신한 서명된 인증서에 전체 인증서 체인과 개인 키가 포함된 경우에만 해당됩니다.

개인 키를 포함할 수 있는 인증서 형식은 다음과 같습니다.

• PKCS#12 (.pfx 또는 .p12)는 서버 인증서, 중간 인증서 및 개인 키를 암호로 보호되는 단일 .pfx 파일에 저장할 수 있습니다. 이 파일에는 전체 체인 과 개인 키가 포함되어 있기 때문에 apollo.keystore로 직접 가져올 수 있지만 이를 위해서는 별칭과 별칭 암호가 필요하다는 점을 기억하십시오(인증서 소유자가 이 정보를 가지고 있어야 함).
• PEM (.pem, .crt, .cer 또는 .key)은 서버 인증서, 중간 인증서 및 개인 키를 단일 파일에 포함할 수 있습니다 . 서버 인증서와 중간 인증서는 별도의 .crt 또는 .cer 파일에 있을 수 있으며 개인 키는 .key 파일에 있을 수 있습니다. 서버\중간 인증서 및 키가 별개인 경우 직접 가져오는 것만으로는 충분하지 않습니다.

인증서 파일을 텍스트 편집기에서 열어 확인합니다.

각 인증서는 ---- BEGIN CERTIFICATE---- 및 ----END CERTIFICATE---- 문 사이에 포함됩니다.

개인 키는 ---- BEGIN RSA PRIVATE KEY----- 및 -----END RSA PRIVATE KEY----- 문 사이에 포함됩니다.

---- BEGIN CERTIFICATE---- 및 ----END CERTIFICATE---- 문에 포함된 인증서 수가 체인(서버 및 중간)의 인증서 수와 일치하고 ---- BEGIN RSA PRIVATE KEY----- 및 -----END RSA PRIVATE KEY로 끝나는지 확인합니다.

파일에 전체 인증서 체인 및 개인 키가 포함되어 있지 않은 경우 생성된 키 저장소로 인증서를 가져와야 합니다. 인증서 체인에 대해 잘 모르는 경우 KB 문서 532108 참조하십시오. 서명된 단일 인증서에서 서버, 중간 및 루트 인증서를 수동으로 분리하는 방법

전체 인증서 체인과 개인 키가 하나의 파일에 있는지 확인하면 다음 단계에 따라 인증서를 DPA로 가져오는 데 필요한 모든 것이 제공됩니다.

1. dpa\services\standalone\configuration에서 apollo.keystore 및 standalone.xml 파일의 복사본을 만들고 dpa\services\executive에서 application-service.conf 파일을 복사합니다. 원래 구성으로 되돌려야 하는 경우 이러한 파일을 사용하여 DPA를 정상 작동 상태로 복원할 수 있습니다. 안전한 보관과 혼동을 방지하기 위해 복사본을 데스크탑의 폴더에 저장합니다.

2. standalone.xml 파일의 사본을 열고 'key-alias'를 검색합니다. 다음과 유사한 키 별칭 및 비밀번호가 포함된 줄이 표시되어야 합니다.

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   이 줄의 암호를 기록해 둡니다. 이것은 apollo.keystore 암호이며 다음 단계에서 필요합니다.

3. services\_jre\bin의 DPA 설치 디렉토리에서 다음 명령을 실행합니다.

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   참고: 서명된 인증서 파일(srckeystore) 및 apollo.keystore(destkeystore)의 올바른 위치를 지정합니다. 입력해야 하는 항목에 대한 자세한 내용은 아래 예를 참조하십시오.

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. apollo.keystore의 내용을 나열하여 서명된 인증서를 올바르게 가져왔는지 확인합니다.

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (apollo.keystore 비밀번호 입력)

   이제 apollokey에 대한 항목과 사용자의 wildcardalias(서명된 인증서가 할당된 별칭)가 있는 새 항목이 포함되어야 합니다. 이것이 PrivateKeyEntry이고 전체 인증서 체인이 포함되어 있음을 알 수 있습니다.

5. 애플리케이션 서비스를 재시작하고 UI에 로그인을 시도합니다. 서비스를 다시 시작하면 오류가 발생하거나, 앱 서비스가 시작되지 않거나, 이 시점에서 UI에 액세스할 수 없습니다.

   • application-service.conf를 열고 'apollo.key'를 검색합니다. 별칭이 가져온 별칭(이 경우 wildcardalias)으로 업데이트된 것을 볼 수 있습니다.
   • 텍스트 편집기로 standalone.xml 열고 'key-alias'를 검색합니다. 가져온 별칭을 보여주는 아래 줄과 유사한 줄이 표시되어야 합니다.

     key-alias="${apollo.keystore.alias:emcdpa}"

   그렇지 않은 경우 서명된 인증서와 연결된 별칭과 일치하도록 키 별칭을 변경합니다. 또한 비밀번호가 지금까지 사용한 비밀번호와 동일한지 다시 확인하십시오.

   이러한 파일에서 별칭 또는 암호를 변경해야 하는 경우 다음을 수행합니다.

   1. 애플리케이션 서비스를 중지합니다.
   2. 파일을 편집하고 저장합니다.
   3. 서비스를 재시작합니다.
   4. 문제가 지속되면 DPA 지원에 문의하십시오.