Sådan importeres et signeret certifikat, der indeholder hele tillidskæden og den private nøgle, til DPA - Linux

Nogle gange har en brugers CA allerede leveret et signeret certifikat. Nogle brugeres procedurer kræver, at de genererer\henter et certifikat i.

I disse tilfælde kan det være muligt blot at importere det signerede certifikat til apollo.keystore, hvis og kun hvis det signerede certifikat, de har modtaget, indeholder den fulde certifikatkæde og private nøgle.

Certifikatformater, der kan indeholde den private nøgle, er angivet nedenfor:

• PKCS#12 (.pfx eller .p12) – kan gemme servercertifikatet, det mellemliggende certifikat og den private nøgle i en enkelt .pfx-fil med adgangskodebeskyttelse. Da disse filer indeholder den fulde kæde og den private nøgle, kan du importere den direkte til apollo.keystore, men husk at du har brug for aliaset og aliasadgangskoden for at gøre det (ejeren af certifikatet skal have disse oplysninger).
• PEM (.pem, .crt, .cer eller .key) – kan omfatte servercertifikatet, det mellemliggende certifikat og den private nøgle i en enkelt fil. Servercertifikatet og det mellemliggende certifikat kan også være i en separat .crt- eller .cer-fil, og den private nøgle kan være i en .key fil. Hvis server\mellemliggende certifikater og nøgle er adskilte, er dette ikke tilstrækkeligt til at importere direkte.

Du kan kontrollere ved at åbne certifikatfilen i et tekstredigeringsprogram.

Hvert certifikat er indeholdt mellem sætningerne
---- BEGIN CERTIFICATE---- og ----END CERTIFICATE----Den private nøgle er indeholdt mellem sætningerne ---- BEGIN RSA PRIVATE KEY----- OG -----END RSA PRIVATE KEY-----.
Sørg for, at antallet af certifikater i ---- BEGIN CERTIFICATE----- og ----END CERTIFICATE-----sætninger svarer til antallet af certifikater i kæden (server og mellemliggende) og slutter med ---- BEGIN RSA PRIVATE KEY----- OG -----END RSA PRIVATE KEY. Hvis arkivet ikke indeholder hele certifikatkæden og den private nøgle, skal certifikatet importeres til det nøglelager, det blev oprettet fra. Hvis du er usikker på certifikatkæden, skal du se https://support.emc.com/kb/532108

Når du har bekræftet, at du har den fulde certifikatkæde og private nøgle i én fil, skal du have alt, hvad du skal importere med følgende trin:

1. Lav en kopi af apollo.keystore- og standalone.xml-filerne fra dpa/services/standalone/configuration og filen application-service.conf fra dpa/services/executive. Hvis du skal vende tilbage til den oprindelige konfiguration, kan du bruge disse filer til at gendanne DPA til funktionsdygtig stand. Anbring kopierne i en mappe på skrivebordet for sikker opbevaring og for at undgå forvirring.

2. Åbn kopien af standalone.xml-filen, og søg efter 'key-alias'. Du bør se en linje, der indeholder nøglealias og adgangskode som denne:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Vær opmærksom på adgangskoden i denne linje. Det er apollo.keystore-adgangskoden, og du skal bruge den i de næste trin.

3. Kør følgende kommando fra DPA-installationsmappen i services/_jre/bin:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Bemærk: Du skal angive den korrekte placering af den signerede certifikatfil (srckeystore) og apollo.keystore (destkeystore). Se eksemplet nedenfor for at få flere oplysninger om, hvad du bliver bedt om at indtaste:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Angiv indholdet af apollo.keystore for at kontrollere, at det signerede certifikat blev importeret korrekt:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Indtast adgangskoden til apollo.keystore)

   Den skulle nu indeholde posten for apollokey og den nye post med brugerens jokertegn (uanset hvilket alias det signerede certifikat blev tildelt). Du bør se, at dette er en PrivateKeyEntry, og at den indeholder hele certifikatkæden.

5. Genstart programtjenesterne, og forsøg at logge på brugergrænsefladen.** Hvis genstart af tjenester resulterer i en fejl, kan appsvc'en ikke starte, eller du kan ikke få adgang til brugergrænsefladen på dette tidspunkt:

   • Åbn application-service.conf og søg efter 'apollo.key' du bør se, at aliaset er blevet opdateret til det alias, du importerede (i dette tilfælde wildcardalias).
   • Åbn standalone.xml med en teksteditor, og søg efter 'key-alias'. Du bør se en linje, der ligner den nedenfor, der viser det alias, du importerede:

     key-alias="${apollo.keystore.alias:emcdpa}"

     Hvis ikke, skal du ændre nøglealiaset, så det svarer til det, der er knyttet til det signerede certifikat. Dobbelttjek også, at adgangskoden er den samme, som du har brugt hele vejen igennem.
     Hvis du skal ændre aliasset eller adgangskoden i disse filer: Stop programtjenester, rediger og gem filerne, og genstart tjenester. Kontakt DPA-support, hvis problemet fortsætter.