DPA: Importera ett signerat certifikat som innehåller hela förtroendekedjan och den privata nyckeln till DPA - Windows

Ibland har en användares certifikatutfärdare (CA) redan ett tillhandahållet signerat certifikat. Vissa användares procedurer kräver att de genererar/hämtar ett certifikat på det här sättet. Det inträffar vanligtvis när certifikatutfärdaren utfärdar ett jokerteckencertifikat eller när en server går under flera domännamn.

I dessa fall kan det vara möjligt att helt enkelt importera det signerade certifikatet till apollo.keystore. Om och endast om det signerade certifikatet som de har tagit emot innehåller den fullständiga certifikatkedjan och den privata nyckeln.

Certifikatformat som kan innehålla den privata nyckeln visas nedan:

• PKCS#12 (.pfx eller .p12) kan lagra servercertifikatet, det mellanliggande certifikatet och den privata nyckeln i en enda .pfx-fil med lösenordsskydd. Eftersom dessa filer innehåller hela kedjan och den privata nyckeln är det möjligt att importera den direkt till apollo.keystore, men kom ihåg att aliaset och aliaslösenordet är nödvändigt för att göra det (certifikatets ägare bör ha den här informationen).
• PEM (.pem, .crt, .cer eller .key) kan innehålla servercertifikatet, det mellanliggande certifikatet och den privata nyckeln i en enda fil. Servercertifikatet och det mellanliggande certifikatet kan också finnas i en separat .crt- eller .cer-fil och den privata nyckeln kan finnas i en .key-fil. Om server\mellanliggande certifikat och nyckel är separata räcker det inte för att importera direkt.

Kontrollera genom att öppna certifikatfilen i en textredigerare.

Varje certifikat finns mellan de ---- BEGIN CERTIFICATE---- och ----END CERTIFICATE---- instruktionerna.

Den privata nyckeln finns mellan instruktionerna ---- BEGIN RSA PRIVATE KEY----- och -----END RSA PRIVATE KEY-----.

Se till att antalet certifikat som finns i ---- BEGIN CERTIFICATE---- och ----END CERTIFICATE---- instruktioner matchar antalet certifikat i kedjan (server och mellanliggande) och slutar med ---- BEGIN RSA PRIVATE KEY----- och -----END RSA PRIVATE KEY.

Om filen inte innehåller den fullständiga certifikatkedjan och den privata nyckeln måste certifikatet importeras till den nyckelbehållare som det genererades från. Om du är osäker på certifikatkedjan kan du läsa KB-artikeln 532108: Så här separerar du servercertifikat, mellanliggande certifikat och rotcertifikat manuellt från ett enda signerat certifikat

När den fullständiga certifikatkedjan och den privata nyckeln finns i en fil har verifierats tillhandahålls allt som behövs för att importera certifikatet till DPA med följande steg:

1. Gör en kopia av apollo.keystore och standalone.xml filerna från dpa\services\standalone\configuration och application-service.conf från dpa\services\executive. Om du måste återgå till den ursprungliga konfigurationen kan du använda dessa filer för att återställa DPA till fungerande skick. Placera kopiorna i en mapp på skrivbordet för säker förvaring och för att undvika förvirring.

2. Öppna kopian av standalone.xml-filen och sök efter "key-alias". En rad som innehåller nyckelalias och lösenord som liknar detta bör ses:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Anteckna lösenordet på den här raden. Det är lösenordet för apollo.keystore, och det behövs i nästa steg.

3. Kör följande kommando från DPA-installationskatalogen i services\_jre\bin:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Obs! Ange rätt plats för den signerade certifikatfilen (srckeystore) och apollo.keystore (destkeystore). Se exemplet nedan för mer information om vad som måste anges:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Visa en lista över innehållet i apollo.keystore för att kontrollera att det signerade certifikatet har importerats korrekt:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Ange lösenordet för apollo.keystore)

   Den bör nu innehålla posten för apollokey och den nya posten med användarens jokerteckenalias (oavsett vilket alias det signerade certifikatet har tilldelats). Du bör se att det här är en PrivateKeyEntry och att den innehåller den fullständiga certifikatkedjan.

5. Starta om programtjänster och försök logga in på användargränssnittet. Om omstart av tjänster genererar ett fel startar inte app-svc eller så kan du inte komma åt användargränssnittet just nu:

   • Öppna application-service.conf och sök efter "apollo.key". Du bör se att aliaset har uppdaterats till det alias som du importerade (i det här fallet jokerteckenalias).
   • Öppna standalone.xml med en textredigerare och sök efter "key-alias". Du bör se en rad som liknar den nedan som visar det alias som du importerade:

     key-alias="${apollo.keystore.alias:emcdpa}"

   Annars ändrar du nyckelaliaset så att det matchar det som är associerat med det signerade certifikatet. Dubbelkolla också att lösenordet är detsamma som du har använt hela tiden.

   Om du måste ändra alias eller lösenord i dessa filer:

   1. Stoppa programtjänster.
   2. Redigera och spara filerna.
   3. Starta om tjänsterna.
   4. Kontakta DPA-supporten om problemet kvarstår.