Jak importovat podepsaný certifikát, který obsahuje celý řetězec důvěryhodnosti a soukromý klíč, do DPA - Linux

Někdy certifikační autorita uživatele již poskytla podepsaný certifikát. Postupy některých uživatelů vyžadují, aby vygenerovali/načetli certifikát v.

V těchto případech může být možné jednoduše importovat podepsaný certifikát do apollo.keystore pouze v případě, že podepsaný certifikát, který obdrželi, obsahuje úplný řetězec certifikátů a soukromý klíč.

Níže jsou uvedeny formáty certifikátů, které mohou obsahovat privátní klíč:

• PKCS#12 (.pfx nebo .p12)- může uložit certifikát serveru, zprostředkující certifikát a soukromý klíč do jednoho souboru .pfx s ochranou heslem. Vzhledem k tomu, že tyto soubory obsahují celý řetězec a soukromý klíč, můžete je importovat přímo do apollo.keystore, ale nezapomeňte, že k tomu potřebujete alias a heslo aliasu (tyto informace by měl mít vlastník certifikátu).
• PEM (.pem, .crt, .cer nebo .key) – může obsahovat certifikát serveru, zprostředkující certifikát a soukromý klíč v jednom souboru. Certifikát serveru a zprostředkující certifikát mohou být také v samostatných souborech .crt nebo .cer a privátní klíč může být v souboru .key. Pokud jsou zprostředkující certifikáty serveru a klíč oddělené, nestačí to k přímému importu.

Kontrolu můžete provést otevřením souboru certifikátu v textovém editoru.

Každý certifikát je obsažen mezi příkazy ---- BEGIN CERTIFICATE---- a ----END CERTIFICATE---- .
Privátní klíč je obsažen mezi příkazy ---- BEGIN RSA PRIVATE KEY----- a -----END RSA PRIVATE KEY----- příkazy.
Ujistěte se, že počet certifikátů obsažených v příkazech ---- BEGIN CERTIFICATE---- a ----END CERTIFICATE---- odpovídá počtu certifikátů v řetězci (server a zprostředkující) a končí ---- BEGIN RSA PRIVATE KEY----- a -----END RSA PRIVATE KEY. Pokud soubor neobsahuje úplný řetězec certifikátů a privátní klíč, je nutné certifikát importovat do úložiště klíčů, ze kterého byl vygenerován. Pokud si nejste jisti řetězem certifikátů, přečtěte si https://support.emc.com/kb/532108

Jakmile ověříte, že máte celý řetěz certifikátů a privátní klíč v jednom souboru, měli byste mít vše, co musíte importovat, pomocí následujících kroků:

1. Vytvořte kopii souboru apollo.keystore a standalone.xml z dpa/services/standalone/configuration a souboru application-service.conf z dpa/services/executive. Pokud se potřebujete vrátit zpět k původní konfiguraci, můžete tyto soubory použít k obnovení funkčního stavu DPA. Umístěte kopie do složky na ploše, abyste je bezpečně uchovali a předešli záměně.

2. Otevřete kopii souboru standalone.xml a vyhledejte "key-alias". Měl by se zobrazit řádek obsahující alias klíče a heslo, jako je tento:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Poznamenejte si heslo v tomto řádku. Je to heslo apollo.keystore a budete ho potřebovat v dalších krocích.

3. Z instalačního adresáře DPA ve složce services/_jre/bin spusťte následující příkaz:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Poznámka: Je nutné zadat správné umístění souboru podepsaného certifikátu (srckeystore) a apollo.keystore (destkeystore). Další informace o tom, co budete muset zadat, naleznete v níže uvedeném příkladu:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Zobrazte obsah apollo.keystore a ověřte, zda byl podepsaný certifikát správně importován:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Zadejte heslo apollo.keystore)

   Nyní by měl obsahovat položku pro apollokey a novou položku se zástupným znakovým aliasem uživatele (bez ohledu na to, k jakému aliasu byl podepsaný certifikát přiřazen). Měli byste vidět, že se jedná o PrivateKeyEntry a že obsahuje úplný řetěz certifikátů.

5. Restartujte aplikační služby a pokuste se přihlásit do uživatelského rozhraní.** Pokud restartování služeb způsobí chybu, nespustí se služba App SVC nebo v tuto chvíli nemáte přístup k uživatelskému rozhraní:

   • Otevřete soubor application-service.conf a vyhledejte "apollo.key", měli byste vidět, že alias byl aktualizován na alias, který jste importovali (v tomto případě wildcardalias).
   • Otevřete standalone.xml v textovém editoru a vyhledejte "key-alias". Měl by se zobrazit řádek podobný tomu níže, který zobrazuje alias, který jste importovali:

     key-alias="${apollo.keystore.alias:emcdpa}"

     Pokud ne, je nutné změnit alias klíče tak, aby odpovídal aliasu přidruženému k podepsanému certifikátu. Zkontrolujte také, zda je heslo stejné jako to, které jste používali po celou dobu.
     Pokud musíte změnit alias nebo heslo v těchto souborech: Zastavte aplikační služby, upravte a uložte soubory a restartujte služby. Pokud problém přetrvává, obraťte se na podporu DPA.