Slik importerer du et signert sertifikat som inneholder hele tillitskjeden og privatnøkkelen til DPA – Linux

Noen ganger har en brukers sertifiseringsinstans allerede gitt et signert sertifikat. Noen brukeres prosedyrer krever at de genererer\henter et sertifikat i.

I disse tilfellene kan det være mulig å bare importere det signerte sertifikatet til apollo.keystore hvis og bare hvis det signerte sertifikatet de har mottatt inneholder hele sertifikatkjeden og den private nøkkelen.

Sertifikatformater som kan inneholde den private nøkkelen er oppført nedenfor:

• PKCS#12 (.pfx eller .p12)- kan lagre serversertifikatet, det mellomliggende sertifikatet og privatnøkkelen i en enkelt .pfx-fil med passordbeskyttelse. Siden disse filene inneholder hele kjeden og den private nøkkelen, kan du importere den direkte til apollo.keystore, men husk at du trenger aliaset og aliaspassordet for å gjøre det (eieren av sertifikatet skal ha denne informasjonen).
• PEM (.pem, .crt, .cer eller .key) – kan inkludere serversertifikatet, det mellomliggende sertifikatet og privatnøkkelen i en enkelt fil. Serversertifikatet og det midlertidige sertifikatet kan også være i en separat CRT- eller .cer-filer, og privatnøkkelen kan være i en .key-fil. Hvis server\mellomliggende sertifikater og nøkkel er separate, er det ikke tilstrekkelig å importere direkte.

Du kan sjekke ved å åpne sertifikatfilen i et tekstredigeringsprogram.

Hvert sertifikat er inneholdt mellom ---- BEGIN CERTIFICATE---- og ----END CERTIFICATE---- setninger.
Den private nøkkelen finnes mellom setningene
---- BEGIN RSA PRIVATE KEY----- OG -----END RSA PRIVATE KEY-----Kontroller at antall sertifikater i ---- STARTSERTIFIKAT---- OG ----END CERTIFICATE---- setningene samsvarer med antall sertifikater i kjeden (server og mellomliggende) og slutter med ---- BEGIN RSA PRIVATE KEY----- og -----END RSA PRIVATE KEY. Hvis filen ikke inneholder hele sertifikatkjeden og privatnøkkelen, må sertifikatet importeres til nøkkellageret det ble generert fra. Hvis du er usikker på sertifikatkjeden, kan du se https://support.emc.com/kb/532108

Når du har bekreftet at du har hele sertifikatkjeden og privatnøkkelen i én fil, skal du ha alt du trenger å importere med følgende trinn:

1. Lag en kopi av apollo.keystore og standalone.xml filene fra dpa/services/standalone/configuration og filen application-service.conf fra dpa/services/executive. Hvis du må gå tilbake til den opprinnelige konfigurasjonen, kan du bruke disse filene til å gjenopprette DPA til fungerende stand. Plasser kopiene i en mappe på skrivebordet for sikker oppbevaring og for å unngå forvirring.

2. Åpne kopien av standalone.xml-filen og søk etter 'key-alias'. Du bør se en linje som inneholder nøkkelaliaset og passordet slik:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Legg merke til passordet i denne linjen. Det er apollo.keystore-passordet, og du trenger det i de neste trinnene.

3. Kjør følgende kommando fra katalogen for DPA-installasjon i services/_jre/bin:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Merk: Du må angi riktig plassering av den signerte sertifikatfilen (srckeystore) og apollo.keystore (destkeystore). Se eksemplet nedenfor hvis du vil ha mer informasjon om hva du blir bedt om å skrive inn:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Oppgi innholdet i apollo.keystore for å bekrefte at det signerte sertifikatet ble importert riktig:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Skriv inn passordet til apollo.keystore)

   Den skal nå inneholde oppføringen for apollokey og den nye oppføringen med brukerens wildcardalias (hvilket alias det signerte sertifikatet ble tildelt). Du skal se at dette er en PrivateKeyEntry og at den inneholder hele sertifikatkjeden.

5. Start programtjenestene på nytt, og prøv å logge på brukergrensesnittet.** Hvis omstart av tjenester gir en feil, starter ikke app-tjenesten, eller du får ikke tilgang til brukergrensesnittet på dette tidspunktet:

   • Åpne application-service.conf og søk etter 'apollo.key' du bør se at aliaset er oppdatert til aliaset du importerte (i dette tilfellet wildcardalias).
   • Åpne standalone.xml med et tekstredigeringsprogram og søk etter 'key-alias'. Du skal se en linje som ligner på den nedenfor, som viser aliaset du importerte:

     key-alias="${apollo.keystore.alias:emcdpa}"

     Hvis ikke, må du endre nøkkelaliaset slik at det samsvarer med det som er knyttet til det signerte sertifikatet. Dobbeltsjekk også at passordet er det samme som du har brukt hele tiden.
     Hvis du må endre aliaset eller passordet i disse filene: Stopp programtjenester, rediger og lagre filene, og start tjenestene på nytt. Kontakt DPA-kundestøtte hvis problemet vedvarer.