DPA: Como importar um certificado assinado que contém a cadeia completa de confiança e chave privada para o DPA - Windows

Às vezes, a autoridade de certificação (CA) de um usuário já tem um certificado assinado fornecido. Alguns procedimentos do usuário exigem que eles gerem\recuperem um certificado dessa maneira. Normalmente, isso acontece quando a CA está emitindo um certificado curinga ou quando um servidor atende por vários nomes de domínio.

Nesses casos, pode ser possível simplesmente importar o certificado assinado para apollo.keystore. Se e somente se o certificado assinado que eles receberam contiver a cadeia de certificados completa e a chave privada.

Os formatos de certificado que podem conter a chave privada estão listados abaixo:

• O PKCS#12 (.pfx ou .p12) pode armazenar o certificado do servidor, o certificado intermediário e a chave privada em um único arquivo .pfx com proteção por senha. Como esses arquivos contêm a cadeia completa e a chave privada, é possível importá-los diretamente para apollo.keystore, mas lembre-se de que o alias e a senha do alias são necessários para isso (o proprietário do certificado deve ter essas informações).
• O PEM (.pem, .crt, .cer ou .key) pode incluir o certificado do servidor, o certificado intermediário e a chave privada em um só arquivo. O certificado do servidor e o certificado intermediário também podem estar em arquivos .crt ou .cer separados, e a chave privada pode estar em um arquivo .key. Se os certificados server\intermediate e a chave forem separados, isso não será suficiente para importar diretamente.

Verifique abrindo o arquivo de certificado em um editor de texto.

Cada certificado está contido entre as instruções ---- BEGIN CERTIFICATE---- e ----END CERTIFICATE----.

A chave privada está contida entre as instruções ---- BEGIN RSA PRIVATE KEY----- E -----END RSA PRIVATE KEY-----

Certifique-se de que o número de certificados contidos nas instruções BEGIN CERTIFICATE---- e ----END CERTIFICATE---- ---- corresponda ao número de certificados na cadeia (servidor e intermediário) e termine com ---- BEGIN RSA PRIVATE KEY----- E A CHAVE PRIVADA RSA -----END.

Se o arquivo não contiver a cadeia de certificados completa e a chave privada, o certificado deverá ser importado para o keystore do qual foi gerado. Se você não tiver certeza sobre a cadeia de certificados, consulte o artigo da base de conhecimento 532108: Como separar manualmente os certificados de servidor, intermediário e raiz de um único certificado assinado

Depois que toda a cadeia de certificados e a chave privada estiverem em um arquivo for verificada, tudo o que for necessário para importar o certificado para o DPA pelas seguintes etapas será fornecido:

1. Faça uma cópia dos arquivos apollo.keystore e standalone.xml de dpa\services\standalone\configuration e o arquivo application-service.conf de dpa\services\executive. Se você precisar reverter para a configuração original, poderá usar esses arquivos para restaurar o DPA para a ordem de funcionamento. Coloque as cópias em uma pasta na área de trabalho para guarda e para evitar confusão.

2. Abra a cópia do arquivo standalone.xml e procure por 'key-alias'. Uma linha que contém o alias da chave e a senha semelhante a esta deve ser vista:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Anote a senha nesta linha. É a senha apollo.keystore e é necessária nas próximas etapas.

3. Execute o seguinte comando no diretório de instalação do DPA em services\_jre\bin:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Nota: Especifique o local correto do arquivo de certificado assinado (srckeystore) e apollo.keystore (destkeystore). Consulte o exemplo abaixo para obter mais informações sobre o que deve ser inserido:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Liste o conteúdo de apollo.keystore para verificar se o certificado assinado foi importado corretamente:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Digite a senha apollo.keystore)

   Agora, ele deve conter a entrada para apollokey e a nova entrada com o wildcardalias do usuário (seja qual for o alias ao qual o certificado assinado foi atribuído). Você deve ver que este é um PrivateKeyEntry e que contém a cadeia de certificado completa.

5. Reinicie os serviços do aplicativo e tente fazer login na interface do usuário. Se a reinicialização dos serviços produzir um erro, o serviço do aplicativo falhará ao iniciar ou você não poderá acessar a interface do usuário neste momento:

   • Abra application-service.conf e procure 'apollo.key'. Você deve ver que o alias foi atualizado para o alias importado (nesse caso, wildcardalias).
   • Abra standalone.xml com um editor de texto e procure por 'alias de chave'. Você verá uma linha semelhante à abaixo que mostra o alias importado:

     key-alias="${apollo.keystore.alias:emcdpa}"

   Caso contrário, altere o alias da chave para corresponder ao alias associado ao certificado assinado. Além disso, verifique novamente se a senha é a mesma que você tem usado durante todo o tempo.

   Se você precisar alterar o alias ou a senha nesses arquivos, então:

   1. Interrompa os serviços do aplicativo.
   2. Edite e salve os arquivos.
   3. Reinicie os serviços.
   4. Se o problema persistir, entre em contato com o suporte do DPA.