完全な信頼チェーンとプライベート キーを含む署名付き証明書をDPAにインポートする方法 - Linux

ユーザーのCAが署名済み証明書をすでに提供している場合があります。一部のユーザーの手順では、で証明書を生成/取得する必要があります。

このような場合、受信した署名付き証明書に完全な証明書チェーンと秘密鍵が含まれている場合にのみ、署名付き証明書を apollo.keystore にインポートするだけで済む場合があります。

プライベート キーを含めることができる証明書の形式を次に示します。

• PKCS#12 (.pfx または .p12) - サーバー証明書、中間証明書、秘密キーを、パスワードで保護された単一の .pfx ファイルに格納できます。これらのファイルには完全なチェーン と 秘密鍵が含まれているため、apollo.keystore に直接インポートできますが、そのためにはエイリアスとエイリアスパスワードが必要であることに注意してください (証明書の所有者はこの情報を持っている必要があります)。
• PEM (.pem、.crt、.cer、または.key) - サーバー証明書、中間証明書、秘密キーを1つのファイルに含める ことができます 。サーバー証明書と中間証明書は、個別の.crtファイルまたは.cerファイルに含めることもでき、秘密キーは.keyファイルに含めることができます。サーバーと中間の証明書とキーが別々の場合は、直接インポートするだけでは不十分です。

テキスト エディターで証明書ファイルを開いて確認できます。

各証明書は、---- BEGIN CERTIFICATE---- ステートメントと ----END CERTIFICATE---- ステートメントの間に含まれます
秘密キーは、---- BEGIN RSA PRIVATE KEY----- ステートメントと -----END RSA PRIVATE KEY----- ステートメントの間に含まれています
BEGIN CERTIFICATE---- ステートメントと ----END CERTIFICATE---- ステートメントに含まれる証明書の数----、チェーン内の証明書の数 (サーバーと中間) と一致し、BEGIN RSA PRIVATE KEY----- と ---------END RSA PRIVATE KEY で終わることを確認します。ファイルに完全な証明書チェーンと秘密鍵が含まれていない場合は、証明書を生成元の鍵ストアにインポートする必要があります。証明書チェーンが不明な場合は、https://support.emc.com/kb/532108 を参照してください

完全な証明書チェーンと秘密キーが 1 つのファイルに含まれていることを確認したら、次の手順でインポートする必要があるすべてのものが揃っているはずです。

1. dpa/services/standalone/configurationからapollo.keystoreとstandalone.xmlファイルのコピーを作成し、dpa/services/executiveからapplication-service.confファイルのコピーを作成します。元の設定に戻す必要がある場合は、これらのファイルを使用してDPAを正常に動作するようにリストアできます。安全に保管し、混乱を避けるため、コピーはデスクトップ上のフォルダーに入れます。

2. standalone.xmlファイルのコピーを開き、「key-alias」を検索します。次のようなキーエイリアスとパスワードを含む行が表示されます。

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   この行のパスワードをメモします。これはapollo.keystoreのパスワードであり、次の手順で必要になります。

3. services/_jre/binのDPAインストール ディレクトリーから次のコマンドを実行します。

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   注：署名済み証明書ファイル (srckeystore) と apollo.keystore (destkeystore) の正しい場所を指定する必要があります。入力を求められる内容の詳細については、次の例を参照してください。

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. apollo.keystore の内容を一覧表示して、署名済み証明書が正しくインポートされたことを確認します。

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (apollo.keystoreのパスワードを入力します)

   これで、apollokey のエントリと、ユーザーのワイルドカードエイリアス (署名付き証明書が割り当てられたエイリアス) を持つ新しいエントリが含まれているはずです。これがPrivateKeyEntryであり、完全な証明書チェーンが含まれていることがわかります。

5. アプリケーション サービスを再起動し、UIへのログインを試みます。**サービスを再起動するとエラーが発生したり、アプリ サービスの起動に失敗したり、この時点でUIにアクセスできなかったりする場合は、次の手順を実行します。

   • application-service.confを開き、「apollo.key」を検索すると、エイリアスがインポートしたエイリアス(この場合はワイルドカードエイリアス)に更新されていることがわかります。
   • テキストエディタでstandalone.xmlを開き、「key-alias」を検索します。インポートしたエイリアスを示す次のような行が表示されます。

     key-alias="${apollo.keystore.alias:emcdpa}"

     そうでない場合は、署名済み証明書に関連づけられているものと一致するようにキー エイリアスを変更する必要があります。また、パスワードがこれまで使用していたものと同じであることを再確認してください。
     これらのファイルのエイリアスまたはパスワードを変更する必要がある場合は、次のようにします。アプリケーション サービスを停止し、ファイルを編集および保存して、サービスを再開します。問題が解決しない場合は、DPAサポートにお問い合わせください。