DPA: Tam güven zincirini ve özel anahtarı içeren imzalı bir sertifika DPA'ya nasıl aktarılır - Windows

Bazen kullanıcının Sertifika Yetkilisi (CA) zaten imzalanmış bir sertifikaya sahiptir. Bazı kullanıcıların prosedürleri, bu şekilde bir sertifika oluşturmalarını/almalarını gerektirir. Bu durum genellikle CA bir joker karakter sertifikası verirken veya bir sunucu birden çok etki alanı adına geçtiğinde gerçekleşir.

Bu durumlarda, imzalı sertifikayı apollo.keystore'a aktarmak mümkün olabilir. Ancak ve ancak aldıkları imzalı sertifika tam sertifika zincirini ve özel anahtarı içeriyorsa.

Özel anahtar içerebilecek sertifika biçimleri aşağıda listelenmiştir:

• PKCS#12 (.pfx veya .p12), sunucu sertifikasını, ara sertifikayı ve özel anahtarı parola korumalı tek bir .pfx dosyasında depolayabilir. Bu dosyalar tam zinciri ve özel anahtarı içerdiğinden, onu doğrudan apollo.keystore'a aktarmak mümkündür, ancak bunu yapmak için takma ad ve takma ad parolasının gerekli olduğunu unutmayın (sertifikanın sahibi bu bilgilere sahip olmalıdır).
• PEM (.pem, .crt, .cer veya .key), sunucu sertifikasını, ara sertifikayı ve özel anahtarı tek bir dosyada içerebilir. Sunucu sertifikası ve ara sertifika ayrı bir .crt veya .cer dosyalarında da bulunabilir ve özel anahtar bir .key dosyasında bulunabilir. Sunucu\ara sertifikalar ve anahtar ayrıysa bu, doğrudan içe aktarma için yeterli değildir.

Sertifika dosyasını bir metin düzenleyicide açarak kontrol edin.

Her sertifika, ---- BEGIN CERTIFICATE---- ve ----END CERTIFICATE---- deyimleri arasında yer alır.

Özel anahtar, ---- BEGIN RSA PRIVATE KEY----- ve -----END RSA PRIVATE KEY----- deyimleri arasında yer alır.

---- BEGIN CERTIFICATE---- ve ----END CERTIFICATE---- ifadelerinde yer alan sertifika sayısının zincirdeki (sunucu ve ara) sertifika sayısıyla eşleştiğinden ve ---- BEGIN RSA PRIVATE KEY----- ve -----END RSA PRIVATE KEY ile bittiğinden emin olun.

Dosya tam sertifika zincirini ve özel anahtarı içermiyorsa sertifikanın, oluşturulduğu anahtar deposuna aktarılması gerekir. Sertifika zincirinden emin değilseniz 532108 numaralı KB makalesine başvurun: Sunucu, ara ve kök sertifikaları tek bir imzalı sertifikadan manuel olarak ayırma

Tam sertifika zinciri ve özel anahtar bir dosyada doğrulandıktan sonra, sertifikayı aşağıdaki adımlarla DPA'ya aktarmak için gereken her şey sağlanır:

1. dpa\services\standalone\configuration bölümünden apollo.keystore ve standalone.xml dosyalarının bir kopyasını ve dpa\services\executive konumundan application-service.conf dosyasını oluşturun. Orijinal yapılandırmaya geri dönmeniz gerekirse DPA'yı çalışır duruma geri yüklemek için bu dosyaları kullanabilirsiniz. Güvenli bir şekilde saklamak ve karışıklığı önlemek için kopyaları masaüstündeki bir klasöre yerleştirin.

2. standalone.xml dosyasının kopyasını açın ve "key-alias" ifadesini arayın. Şuna benzer bir anahtar-diğer ad ve parolayı içeren bir satır görülmelidir:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Bu satırdaki parolayı not alın. Bu, apollo.keystore parolasıdır ve sonraki adımlarda gereklidir.

3. services\_jre\bin dizinindeki DPA yükleme dizininden aşağıdaki komutu çalıştırın:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Not: İmzalı sertifika dosyasının (srckeystore) ve apollo.keystore'un (destkeystore) doğru konumunu belirtin. Hangi bilgilerin girilmesi gerektiği hakkında daha fazla bilgi için aşağıdaki örneğe bakın:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. İmzalı sertifikanın doğru şekilde içe aktarıldığını doğrulamak için apollo.keystore içeriğini listeleyin:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (apollo.keystore parolasını girin)

   Artık apollokey girişini ve kullanıcının joker karakter takma adını (imzalı sertifikanın atanmış olduğu diğer ad ne olursa olsun) içeren yeni girişi içermelidir. Bunun bir PrivateKeyEntry olduğunu ve tam sertifika zincirini içerdiğini görmeniz gerekir.

5. Uygulama hizmetlerini yeniden başlatın ve kullanıcı arayüzünde oturum açmayı deneyin. Hizmetleri yeniden başlatmak bir hataya neden olursa, uygulama svc'si başlatılamaz veya bu noktada kullanıcı arabirimine erişemezsiniz:

   • Application-service.conf dosyasını açın ve 'apollo.key' ifadesini arayın. Diğer adın, içe aktardığınız diğer adla (bu örnekte, joker karakteralias) güncelleştirildiğini görmeniz gerekir.
   • standalone.xml bir metin düzenleyicide açın ve 'key-alias' araması yapın. İçe aktardığınız diğer adı gösteren aşağıdakine benzer bir satır görmeniz gerekir:

     key-alias="${apollo.keystore.alias:emcdpa}"

   Değilse anahtar diğer adını, imzalı sertifikayla ilişkili olanla eşleşecek şekilde değiştirin. Ayrıca, şifrenin baştan sona kullandığınızla aynı olup olmadığını iki kez kontrol edin.

   Bu dosyalarda diğer adı veya parolayı değiştirmeniz gerekiyorsa:

   1. Uygulama hizmetlerini durdurun.
   2. Dosyaları düzenleyin ve kaydedin.
   3. Hizmetleri yeniden başlatın.
   4. Sorun devam ederse DPA destek ekibiyle iletişime geçin.