DPA: Importowanie podpisanego certyfikatu, który zawiera pełny łańcuch zaufania i klucz prywatny do DPA — Windows

Czasami urząd certyfikacji (CA) użytkownika ma już podany podpisany certyfikat. Niektóre procedury użytkownika wymagają, aby wygenerować/pobrać certyfikat w ten sposób. Zazwyczaj dzieje się tak, gdy urząd certyfikacji wystawia certyfikat z symbolami wieloznacznymi lub gdy serwer występuje pod wieloma nazwami domen.

W takich przypadkach możliwe jest po prostu zaimportowanie podpisanego certyfikatu do apollo.keystore. Wtedy i tylko wtedy, gdy podpisany certyfikat, który otrzymali, zawiera pełny łańcuch certyfikatów i klucz prywatny.

Formaty certyfikatów, które mogą zawierać klucz prywatny, są wymienione poniżej:

• PKCS#12 (.pfx lub .p12) może przechowywać certyfikat serwera, certyfikat pośredni i klucz prywatny w jednym pliku .pfx z ochroną hasłem. Ponieważ pliki te zawierają pełny łańcuch i klucz prywatny, możliwe jest zaimportowanie go bezpośrednio do apollo.keystore, ale pamiętaj, że alias i hasło aliasu są do tego niezbędne (właściciel certyfikatu powinien mieć te informacje).
• PEM (.pem, .crt, .cer lub .key) może zawierać certyfikat serwera, certyfikat pośredni i klucz prywatny w jednym pliku. Certyfikat serwera i certyfikat pośredni mogą również znajdować się w osobnych plikach .crt lub .cer, a klucz prywatny może znajdować się w pliku .key. Jeśli certyfikaty serwer\pośredniczące i klucz są oddzielne, nie wystarczy importować bezpośrednio.

Sprawdź, otwierając plik certyfikatu w edytorze tekstu.

Każdy certyfikat znajduje się między instrukcjami ---- BEGIN CERTIFICATE---- i ----END CERTIFICATE----.

Klucz prywatny znajduje się między instrukcjami ---- BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY-----.

Upewnij się, że liczba certyfikatów zawartych w instrukcjach ---- BEGIN CERTIFICATE---- i ----END CERTIFICATE---- jest zgodna z liczbą certyfikatów w łańcuchu (serwerowym i pośrednim) i kończy się na ---- BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY.

Jeśli plik nie zawiera pełnego łańcucha certyfikatów i klucza prywatnego, certyfikat musi zostać zaimportowany do magazynu kluczy, z którego został wygenerowany. Jeśli nie masz pewności co do łańcucha certyfikatów, zapoznaj się z artykułem bazy wiedzy 532108: Ręczne oddzielenie certyfikatów serwera, pośredniego i głównego od jednego podpisanego certyfikatu

Po zweryfikowaniu pełnego łańcucha certyfikatów i klucza prywatnego w jednym pliku dostarczane jest wszystko, co jest niezbędne do zaimportowania certyfikatu do DPA w następujących krokach:

1. Utwórz kopię apollo.keystore i plików standalone.xml z dpa\services\standalone\configuration oraz pliku application-service.conf z dpa\services\executive. Jeśli konieczne jest przywrócenie pierwotnej konfiguracji, można użyć tych plików do przywrócenia DPA do stanu używalności. Umieść kopie w folderze na pulpicie w celu bezpiecznego przechowywania i uniknięcia nieporozumień.

2. Otwórz kopię pliku standalone.xml i wyszukaj "key-alias". Powinien pojawić się wiersz zawierający alias klucza i hasło podobne do tego:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Zanotuj hasło w tym wierszu. Jest to hasło apollo.keystore i jest potrzebne w kolejnych krokach.

3. Uruchom następujące polecenie z katalogu instalacyjnego DPA w services\_jre\bin:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Uwaga: Określ poprawną lokalizację podpisanego pliku certyfikatu (srckeystore) i apollo.keystore (destkeystore). Zobacz poniższy przykład, aby uzyskać więcej informacji na temat tego, co należy wprowadzić:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Wyświetl zawartość apollo.keystore, aby sprawdzić, czy podpisany certyfikat został poprawnie zaimportowany:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Wprowadź hasło apollo.keystore)

   Powinien teraz zawierać wpis dla apollokey i nowy wpis z wieloznacznymi aliasami użytkownika (niezależnie od aliasu, do którego został przypisany podpisany certyfikat). Powinien zostać wyświetlony komunikat PrivateKeyEntry, który zawiera pełny łańcuch certyfikatów.

5. Uruchom ponownie usługi aplikacji i spróbuj zalogować się do interfejsu użytkownika. Jeśli ponowne uruchomienie usług spowoduje błąd, uruchomienie usługi aplikacji nie powiedzie się lub nie możesz uzyskać dostępu do interfejsu użytkownika w tym momencie:

   • Otwórz application-service.conf i wyszukaj ciąg "apollo.key". Powinieneś zobaczyć, że alias został zaktualizowany do zaimportowanego aliasu (w tym przypadku symbolu wieloznacznego).
   • Otwórz standalone.xml za pomocą edytora tekstu i wyszukaj "alias-klucza". Powinien zostać wyświetlony wiersz podobny do poniższego, który pokazuje zaimportowany alias:

     key-alias="${apollo.keystore.alias:emcdpa}"

   Jeśli nie, zmień alias klucza, aby odpowiadał aliasowi skojarzonemu z podpisanym certyfikatem. Sprawdź również, czy hasło jest takie samo, jak używane przez cały czas.

   Jeśli musisz zmienić alias lub hasło w tych plikach:

   1. Zatrzymaj usługi aplikacji.
   2. Edytuj i zapisz pliki.
   3. Uruchom ponownie usługi.
   4. Jeśli problem nie ustąpi, skontaktuj się z działem pomocy DPA.