Så importerar du ett signerat certifikat som innehåller hela förtroendekedjan och den privata nyckeln till DPA – Linux

Ibland har en användares certifikatutfärdare redan tillhandahållit ett signerat certifikat. Vissa användares procedurer kräver att de genererar\hämtar ett certifikat i.

I dessa fall kan det vara möjligt att helt enkelt importera det signerade certifikatet till apollo.keystore om och endast om det signerade certifikatet som de har tagit emot innehåller den fullständiga certifikatkedjan och den privata nyckeln.

Certifikatformat som kan innehålla den privata nyckeln visas nedan:

• PKCS#12 (.pfx eller .p12) – kan lagra servercertifikatet, det mellanliggande certifikatet och den privata nyckeln i en enda .pfx-fil med lösenordsskydd. Eftersom dessa filer innehåller hela kedjan och den privata nyckeln kan du importera den direkt till apollo.keystore, men kom ihåg att du behöver alias och aliaslösenord för att göra det (certifikatets ägare ska ha den här informationen).
• PEM (.pem, .crt, .cer eller .key) – kan innehålla servercertifikatet, det mellanliggande certifikatet och den privata nyckeln i en enda fil. Servercertifikatet och det mellanliggande certifikatet kan också finnas i en separat .crt- eller .cer-fil och den privata nyckeln kan finnas i en .key-fil. Om server\mellanliggande certifikat och nyckel är separata räcker det inte för att importera direkt.

Du kan kontrollera detta genom att öppna certifikatfilen i en textredigerare.

Varje certifikat finns mellan ---- BEGIN CERTIFICATE---- och ----END CERTIFICATE---- instruktionerna.
Den privata nyckeln finns mellan instruktionerna ---- BEGIN RSA PRIVATE KEY----- och -----END RSA PRIVATE KEY-----.
Se till att antalet certifikat som finns i ---- BEGIN CERTIFICATE---- och ----END CERTIFICATE---- instruktioner matchar antalet certifikat i kedjan (server och mellanliggande) och slutar med ---- BEGIN RSA PRIVATE KEY----- och -----END RSA PRIVATE KEY. Om filen inte innehåller den fullständiga certifikatkedjan och den privata nyckeln måste certifikatet importeras till den nyckelbehållare som det genererades från. Om du är osäker på certifikatkedjan kan du läsa https://support.emc.com/kb/532108

När du har verifierat att du har hela certifikatkedjan och den privata nyckeln i en fil bör du ha allt du måste importera med följande steg:

1. Gör en kopia av apollo.keystore och standalone.xml filerna från dpa/services/standalone/configuration och application-service.conf-filen från dpa/services/executive. Om du måste återgå till den ursprungliga konfigurationen kan du använda dessa filer för att återställa DPA till fungerande skick. Placera kopiorna i en mapp på skrivbordet för säker förvaring och för att undvika förvirring.

2. Öppna kopian av standalone.xml-filen och sök efter "key-alias". Du bör se en rad som innehåller nyckelalias och lösenord så här:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Anteckna lösenordet på den här raden. Det är lösenordet för apollo.keystore, och du behöver det i nästa steg.

3. Kör följande kommando från DPA-installationskatalogen i services/_jre/bin:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Obs! Du måste ange rätt plats för den signerade certifikatfilen (srckeystore) och apollo.keystore (destkeystore). Se exemplet nedan för mer information om vad du blir ombedd att ange:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Visa en lista över innehållet i apollo.keystore för att kontrollera att det signerade certifikatet har importerats korrekt:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Ange lösenordet för apollo.keystore)

   Den bör nu innehålla posten för apollokey och den nya posten med användarens jokerteckenalias (oavsett vilket alias det signerade certifikatet har tilldelats). Du bör se att det här är en PrivateKeyEntry och att den innehåller den fullständiga certifikatkedjan.

5. Starta om programtjänster och försök logga in på användargränssnittet.** Om omstart av tjänster genererar ett fel startar inte app-svc eller så kan du inte komma åt användargränssnittet just nu:

   • Öppna application-service.conf och sök efter "apollo.key" så bör du se att aliaset har uppdaterats till det alias som du importerade (i det här fallet wildcardalias).
   • Öppna standalone.xml med en textredigerare och sök efter "key-alias". Du bör se en rad som liknar den nedan som visar det alias som du importerade:

     key-alias="${apollo.keystore.alias:emcdpa}"

     Om inte, måste du ändra nyckelaliaset så att det matchar det som är associerat med det signerade certifikatet. Dubbelkolla också att lösenordet är detsamma som du har använt hela tiden.
     Om du måste ändra alias eller lösenord i dessa filer: Stoppa programtjänster, redigera och spara filerna och starta om tjänsterna. Kontakta DPA-supporten om problemet kvarstår.