DPA: Slik importerer du et signert sertifikat som inneholder hele klareringskjeden og privatnøkkelen til DPA - Windows

Noen ganger har en brukers sertifiseringsinstans (CA) allerede et signert sertifikat. Noen brukeres prosedyrer krever at de genererer \ henter et sertifikat på denne måten. Det skjer vanligvis når CA utsteder et wildcard-sertifikat eller når en server går under flere domenenavn.

I disse tilfellene kan det være mulig å bare importere det signerte sertifikatet til apollo.keystore. Hvis og bare hvis det signerte sertifikatet de har mottatt, inneholder hele sertifikatkjeden og den private nøkkelen.

Sertifikatformater som kan inneholde den private nøkkelen er oppført nedenfor:

• PKCS#12 (.pfx eller .p12) kan lagre serversertifikatet, det mellomliggende sertifikatet og privatnøkkelen i én enkelt PFX-fil med passordbeskyttelse. Siden disse filene inneholder hele kjeden og den private nøkkelen, er det mulig å importere den direkte til apollo.keystore, men husk at alias- og aliaspassordet er nødvendig for å gjøre det (eieren av sertifikatet skal ha denne informasjonen).
• PEM (PEM, CRT, .cer eller .key) kan inkludere serversertifikatet, det midlertidige sertifikatet og privatnøkkelen i én enkelt fil. Serversertifikatet og det midlertidige sertifikatet kan også være i en separat CRT- eller .cer-filer, og privatnøkkelen kan være i en .key-fil. Hvis server\mellomliggende sertifikater og nøkkel er separate, er det ikke tilstrekkelig å importere direkte.

Sjekk ved å åpne sertifikatfilen i et tekstredigeringsprogram.

Hvert sertifikat finnes mellom setningene ---- BEGIN CERTIFICATE---- og ----END CERTIFICATE----.

Den private nøkkelen finnes mellom setningene ---- BEGIN RSA PRIVATE KEY----- OG -----END RSA PRIVATE KEY-----

Kontroller at antall sertifikater i ---- STARTSERTIFIKAT---- OG ----END CERTIFICATE---- setningene samsvarer med antall sertifikater i kjeden (server og mellomliggende) og slutter med ---- BEGIN RSA PRIVATE KEY----- og -----END RSA PRIVATE KEY.

Hvis filen ikke inneholder hele sertifikatkjeden og privatnøkkelen, må sertifikatet importeres til nøkkellageret det ble generert fra. Hvis du er usikker på sertifikatkjeden, kan du se KB-artikkel 532108: Slik skiller du server-, mellomliggende og rotsertifikater manuelt fra ett enkelt signert sertifikat

Når hele sertifikatkjeden og privatnøkkelen er i én fil er bekreftet, leveres alt som er nødvendig for å importere sertifikatet til DPA ved hjelp av følgende trinn:

1. Lag en kopi av apollo.keystore og standalone.xml filene fra dpa\services\standalone\configuration og filen application-service.conf fra dpa\services\executive. Hvis du må gå tilbake til den opprinnelige konfigurasjonen, kan du bruke disse filene til å gjenopprette DPA til fungerende stand. Plasser kopiene i en mappe på skrivebordet for sikker oppbevaring og for å unngå forvirring.

2. Åpne kopien av standalone.xml-filen og søk etter 'key-alias'. En linje som inneholder nøkkelaliaset og passordet som ligner på dette, bør sees:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Legg merke til passordet i denne linjen. Det er apollo.keystore-passordet, og det er nødvendig i de neste trinnene.

3. Kjør følgende kommando fra katalogen for DPA-installasjon i services\_jre\bin:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Merk: Angi riktig plassering av den signerte sertifikatfilen (srckeystore) og apollo.keystore (destkeystore). Se eksemplet nedenfor for mer informasjon om hva som må legges inn:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Oppgi innholdet i apollo.keystore for å bekrefte at det signerte sertifikatet ble importert riktig:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Skriv inn passordet til apollo.keystore)

   Den skal nå inneholde oppføringen for apollokey og den nye oppføringen med brukerens wildcardalias (hvilket alias det signerte sertifikatet ble tildelt). Du skal se at dette er en PrivateKeyEntry og at den inneholder hele sertifikatkjeden.

5. Start programtjenester på nytt, og prøv å logge på brukergrensesnittet. Hvis omstart av tjenester gir en feil, starter ikke app-tjenesten, eller du får ikke tilgang til brukergrensesnittet på dette tidspunktet:

   • Åpne application-service.conf og søk etter 'apollo.key'. Du skal se at aliaset er oppdatert til aliaset du importerte (i dette tilfellet jokerkardalias).
   • Åpne standalone.xml med et tekstredigeringsprogram og søk etter 'key-alias'. Du skal se en linje som ligner på den nedenfor, som viser aliaset du importerte:

     key-alias="${apollo.keystore.alias:emcdpa}"

   Hvis ikke, endrer du nøkkelaliaset slik at det samsvarer med det som er knyttet til det signerte sertifikatet. Dobbeltsjekk også at passordet er det samme som du har brukt hele tiden.

   Hvis du må endre aliaset eller passordet i disse filene, skjer følgende:

   1. Stopp applikasjonstjenester.
   2. Rediger og lagre filene.
   3. Start tjenestene på nytt.
   4. Kontakt DPA-kundestøtte hvis problemet vedvarer.