Een ondertekend certificaat importeren dat de volledige vertrouwensketen en de persoonlijke sleutel bevat in DPA - Linux

Soms heeft de CA van een gebruiker al een ondertekend certificaat verstrekt. De procedures van sommige gebruikers vereisen dat ze een certificaat genereren\ophalen in.

In deze gevallen is het mogelijk om het ondertekende certificaat eenvoudig te importeren in apollo.keystore als en alleen als het ondertekende certificaat dat ze hebben ontvangen de volledige certificaatketen en de persoonlijke sleutel bevat.

Hieronder vindt u de certificaatindelingen die de persoonlijke sleutel kunnen bevatten:

• PKCS#12 (.pfx of .p12): kan het servercertificaat, het tussenliggende certificaat en de persoonlijke sleutel opslaan in één .pfx-bestand met wachtwoordbeveiliging. Aangezien deze bestanden de volledige keten en de persoonlijke sleutel bevatten, kunt u deze rechtstreeks importeren in apollo.keystore, maar vergeet niet dat u hiervoor de alias en het aliaswachtwoord nodig hebt (de eigenaar van het certificaat moet deze informatie hebben).
• PEM (.pem, .crt, .cer of .key): kan het servercertificaat, het tussenliggende certificaat en de persoonlijke sleutel in één bestand bevatten. Het servercertificaat en het tussenliggende certificaat kunnen ook in een apart .crt- of .cer-bestand staan en de persoonlijke sleutel kan zich in een .key bestand bevinden. Als de server\intermediate certificaten en sleutel gescheiden zijn, is dit niet voldoende om direct te importeren.

U kunt dit controleren door het certificaatbestand in een teksteditor te openen.

Elk certificaat bevindt zich tussen de ---- BEGIN CERTIFICATE---- en ----END CERTIFICATE---- statements.
De persoonlijke sleutel bevindt zich tussen de ---- BEGIN RSA PRIVATE KEY----- en -----END RSA PRIVATE KEY----- statements.
Zorg ervoor dat het aantal certificaten in de instructies ---- BEGIN CERTIFICATE---- en ----END CERTIFICATE---- overeenkomt met het aantal certificaten in de keten (server en intermediair) en eindigt met ---- BEGIN RSA PRIVATE KEY----- en -----END RSA PRIVATE KEY. Als het bestand niet de volledige certificaatketen en persoonlijke sleutel bevat, moet het certificaat worden geïmporteerd in de keystore waaruit het is gegenereerd. Als u niet zeker bent van de certificaatketen, raadpleegt u https://support.emc.com/kb/532108

Nadat u hebt geverifieerd dat u de volledige certificaatketen en persoonlijke sleutel in één bestand hebt, zou u alles moeten hebben wat u moet importeren met de volgende stappen:

1. Maak een kopie van de apollo.keystore en standalone.xml-bestanden van dpa/services/standalone/configuration en het bestand application-service.conf van dpa/services/executive. Als u moet terugkeren naar de oorspronkelijke configuratie, kunt u deze bestanden gebruiken om DPA weer werkend te maken. Plaats de kopieën in een map op het bureaublad om ze veilig te bewaren en om verwarring te voorkomen.

2. Open de kopie van het standalone.xml bestand en zoek naar 'key-alias'. U zou een regel met de sleutelalias en het wachtwoord als volgt moeten zien:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Noteer het wachtwoord in deze regel. Dit is het apollo.keystore-wachtwoord en u hebt het nodig bij de volgende stappen.

3. Voer de volgende opdracht uit vanuit de DPA-installatiedirectory in services/_jre/bin:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Opmerking: U moet de juiste locatie van het ondertekende certificaatbestand (srckeystore) en apollo.keystore (destkeystore) opgeven. Zie het onderstaande voorbeeld voor meer informatie over wat u wordt gevraagd in te voeren:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Geef de inhoud van apollo.keystore weer om te controleren of het ondertekende certificaat correct is geïmporteerd:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Voer het wachtwoord van apollo.keystore in)

   Het zou nu de vermelding voor apollokey moeten bevatten en de nieuwe vermelding met de jokertekens van de gebruiker (ongeacht de alias waaraan het ondertekende certificaat is toegewezen). U zou moeten zien dat dit een PrivateKeyEntry is en dat het de volledige certificaatketen bevat.

5. Start de applicatieservices opnieuw en probeer u aan te melden bij de gebruikersinterface.** Als het opnieuw opstarten van services een fout oplevert, kan de app-service niet worden gestart of hebt u op dit moment geen toegang tot de gebruikersinterface:

   • Open application-service.conf en zoek naar 'apollo.key' Je zou moeten zien dat de alias is bijgewerkt naar de alias die je hebt geïmporteerd (in dit geval wildcardalia's).
   • Open standalone.xml met een tekstverwerker en zoek naar 'key-alias'. U zou een regel moeten zien die lijkt op de onderstaande regel met de alias die u hebt geïmporteerd:

     key-alias="${apollo.keystore.alias:emcdpa}"

     Als dit niet het geval is, moet u de sleutelalias wijzigen zodat deze overeenkomt met de alias die is gekoppeld aan het ondertekende certificaat. Controleer ook of het wachtwoord hetzelfde is als u altijd hebt gebruikt.
     Als u de alias of het wachtwoord in deze bestanden moet wijzigen: Stop de applicatieservices, bewerk en bewaar de bestanden en start de services opnieuw. Als het probleem zich blijft voordoen, neemt u contact op met DPA-support.