DPA:如何將包含完整信任鏈和私密金鑰的已簽署憑證匯入 DPA - Windows

Summary: 如何將包含完整信任鏈和私密金鑰或萬用字元憑證的已簽署憑證匯入 Data Protection Advisor (DPA) 應用程式伺服器。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

有時,使用者的認證機構 (CA) 已提供已提供簽署憑證。某些用戶的過程要求他們以這種方式生成\檢索證書。當 CA 頒發通配符證書或伺服器通過多個功能變數名稱時,通常會發生這種情況。

在這些情況下,可以簡單地將已簽署的憑證匯入 apollo.keystore。當且僅當他們收到的簽名證書包含完整的證書鏈和私鑰時。

可包含私密金鑰的憑證格式如下所列:

  • PKCS#12 (.pfx 或 .p12)可以將伺服器證書、中間證書和私鑰存儲在具有密碼保護的單個 .pfx 檔中。由於這些檔包含完整鏈 私鑰,因此可以將其直接導入 apollo.keystore,但請記住,必須使用別名和別名密碼(證書的所有者應具有此資訊)。
  • PEM (.pem、.crt、.cer 或 .key) 可在 單一檔案中包含伺服器憑證、中繼憑證和私密金鑰。伺服器證書和中間證書也可以位於單獨的 .crt 或 .cer 檔中,私鑰可以位於.key檔中。如果伺服器\中間證書和密鑰是分開的,則直接導入是不夠的。

通過在文本編輯器中打開證書檔進行檢查。

每個憑證都包含在 ---- BEGIN CERTIFICATE---- 和 ----END CERTIFICATE---- 語句之間。

私鑰包含在----開始RSA私鑰-----和-----端RSA私鑰-----語句之間。

請確定 BEGIN CERTIFICATE---- 和 ----END CERTIFICATE---- 語句----中包含的憑證數量與鏈 (伺服器和中繼) 中的憑證數量相符----並且以 BEGIN RSA PRIVATE KEY-----)和-----端 RSA PRIVATE 金鑰結束。

如果檔不包含完整的證書鏈和私鑰,則必須將證書導入到生成證書的金鑰庫中。如果您不確定憑證鏈結,請參閱 KB 文章 532108:如何從單一簽署憑證中手動分隔伺服器、中繼和根憑證

確認完整的憑證鏈結和私密金鑰位於一個檔案中後,會提供透過下列步驟將憑證匯入 DPA 所需的一切:

  1. 製作 apollo.keystore 的複本,並從 dpa\services\standalone\configuration standalone.xml 檔案,並從 dpa\services\executive 製作 application-service.conf 檔案的複本。如果您必須還原至原始組態,您可以使用這些檔案將 DPA 還原至正常運作狀態。將副本放在桌面上的資料夾中,以安全地保存並避免混淆。

  2. 打開standalone.xml檔的副本,然後搜索“鍵別名”。應會看到包含與此類似的金鑰別名和密碼的行:

    <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

    記下此行中的密碼。這是 apollo.keystore 密碼,後續步驟需要用到。

  3. 從 services\_jre\bin 中的 DPA 安裝目錄執行下列命令:

    keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
    注意:指定已簽署憑證檔案 (srckeystore) 和 apollo.keystore (destkeystore) 的正確位置。如需有關必須輸入的內容的詳細資訊,請參閱以下範例: 
    D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

Enter destination keystore password: (apollo.keystore password- check standalone.xml)
Enter source keystore password: (alias password-owner of certificate will know this)
Entry for alias my_alias successfully imported.
Import command completed:1 entries successfully imported, 0 entries failed or cancelled

  4. 列出 apollo.keystore 的內容,以確認已簽署的憑證已正確匯入:

    keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

    (輸入 apollo.keystore 密碼)

    它現在應包含 apollokey 的條目和具有使用者通配符別名(無論已簽名證書分配給哪個別名)的新條目。您應該會看到這是一個 PrivateKeyEntry,其中包含完整的憑證鏈結。

  5. 重新啟動應用程式服務,並嘗試登入 UI。如果重新啟動服務產生錯誤,則應用程式 svc 無法啟動,或者此時您無法存取 UI:

    • 開啟 application-service.conf,然後搜尋「apollo.key」。您應該會看到別名已更新為您導入的別名(在本例中為通配符別名)。
    • 使用文字編輯器打開standalone.xml,然後搜索「關鍵字別名」。您應該會看到類似於下面的一行,其中顯示了您導入的別名: 
      key-alias="${apollo.keystore.alias:emcdpa}"

    如果沒有,請更改金鑰別名以匹配與簽名證書關聯的別名。另外,請仔細檢查密碼是否與您在整個過程中使用的密碼相同。

    如果您必須變更這些檔案中的別名或密碼,則:

    1. 停止應用程式服務。
    2. 編輯並儲存檔案。
    3. 重新啟動服務。
    4. 如果問題仍然存在,請聯絡 DPA 支援。

 

Affected Products

Data Protection Advisor

Products

Data Protection Advisor
Article Properties
Article Number: 000157596
Article Type: How To
Last Modified: 14 Nov 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.