Como importar um certificado assinado que contém toda a cadeia de confiança e chave privada para o DPA - Linux

Às vezes, a CA de um usuário já forneceu um certificado assinado. Alguns procedimentos do usuário exigem que eles gerem\recuperem um certificado no.

Nesses casos, pode ser possível simplesmente importar o certificado assinado para apollo.keystore se e somente se o certificado assinado que eles receberam contiver a cadeia de certificados completa e a chave privada.

Os formatos de certificado que podem conter a chave privada estão listados abaixo:

• PKCS#12 (.pfx ou .p12) - pode armazenar o certificado do servidor, o certificado intermediário e a chave privada em um único arquivo .pfx com proteção por senha. Como esses arquivos contêm a cadeia completa e a chave privada, você pode importá-los diretamente para apollo.keystore, mas lembre-se de que você precisa do alias e da senha do alias para fazer isso (o proprietário do certificado deve ter essas informações).
• PEM (.pem, .crt, .cer ou .key) - pode incluir o certificado do servidor, o certificado intermediário e a chave privada em um único arquivo. O certificado do servidor e o certificado intermediário também podem estar em arquivos .crt ou .cer separados, e a chave privada pode estar em um arquivo .key. Se os certificados server\intermediate e a chave forem separados, isso não será suficiente para importar diretamente.

Você pode verificar abrindo o arquivo de certificado em um editor de texto.

Cada certificado está contido entre as instruções ---- BEGIN CERTIFICATE---- e ----END CERTIFICATE----.
A chave privada está contida entre as instruções ---- BEGIN RSA PRIVATE KEY----- E -----END RSA PRIVATE KEY
-----Certifique-se de que o número de certificados contidos nas instruções BEGIN CERTIFICATE---- e ----END CERTIFICATE---- ---- corresponda ao número de certificados na cadeia (servidor e intermediário) e termine com ---- BEGIN RSA PRIVATE KEY----- E A CHAVE PRIVADA RSA -----END. Se o arquivo não contiver a cadeia de certificados completa e a chave privada, o certificado deverá ser importado para o keystore do qual foi gerado. Se você não tiver certeza sobre a cadeia de certificados, consulte https://support.emc.com/kb/532108

Depois de verificar se você tem a cadeia de certificados completa e a chave privada em um arquivo, você deve ter tudo o que deve importar com as seguintes etapas:

1. Faça uma cópia do apollo.keystore e standalone.xml arquivos de dpa/services/standalone/configuration e o arquivo application-service.conf de dpa/services/executive. Se você precisar reverter para a configuração original, poderá usar esses arquivos para restaurar o DPA para a ordem de funcionamento. Coloque as cópias em uma pasta na área de trabalho para guarda e para evitar confusão.

2. Abra a cópia do arquivo standalone.xml e procure por 'key-alias'. Você verá uma linha contendo o alias da chave e a senha como esta:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Anote a senha nesta linha. É a senha apollo.keystore, e você precisará dela nas próximas etapas.

3. Execute o seguinte comando a partir do diretório de instalação do DPA em services/_jre/bin:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Nota: Você deve especificar o local correto do arquivo de certificado assinado (srckeystore) e apollo.keystore (destkeystore). Consulte o exemplo abaixo para obter mais informações sobre o que você deve inserir:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Liste o conteúdo de apollo.keystore para verificar se o certificado assinado foi importado corretamente:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Digite a senha apollo.keystore)

   Agora, ele deve conter a entrada para apollokey e a nova entrada com o wildcardalias do usuário (seja qual for o alias ao qual o certificado assinado foi atribuído). Você deve ver que este é um PrivateKeyEntry e que contém a cadeia de certificado completa.

5. Reinicie os serviços do aplicativo e tente fazer login na interface do usuário.** Se a reinicialização dos serviços produzir um erro, o serviço do aplicativo falhará ao iniciar ou você não poderá acessar a interface do usuário neste momento:

   • Abra application-service.conf e procure por 'apollo.key'. Você verá que o alias foi atualizado para o alias importado (nesse caso, wildcardalias).
   • Abra standalone.xml com um editor de texto e procure por 'alias de chave'. Você verá uma linha semelhante à abaixo que mostra o alias importado:

     key-alias="${apollo.keystore.alias:emcdpa}"

     Caso contrário, você deve alterar o alias da chave para corresponder ao alias associado ao certificado assinado. Além disso, verifique novamente se a senha é a mesma que você tem usado durante todo o tempo.
     Se você precisar alterar o alias ou a senha nestes arquivos: Interrompa os serviços do aplicativo, edite e salve os arquivos e reinicie os serviços. Se o problema persistir, entre em contato com o suporte do DPA.