Як імпортувати підписаний сертифікат, який містить повний ланцюжок довіри та приватний ключ, у DPA - Linux

Іноді ЦС користувача вже надав підписаний сертифікат. Деякі процедури користувача вимагають, щоб вони генерували\отримували сертифікат у.

У цих випадках може бути можливим просто імпортувати підписаний сертифікат у apollo.keystore тоді і лише тоді, коли підписаний сертифікат, який вони отримали, містить повний ланцюжок сертифікатів і приватний ключ.

Формати сертифікатів, які можуть містити закритий ключ, перераховані нижче:

• PKCS#12 (.pfx або .p12)- може зберігати сертифікат сервера, проміжний сертифікат і приватний ключ в одному файлі .pfx із захистом паролем. Оскільки ці файли містять повний ланцюжок і приватний ключ, ви можете імпортувати його безпосередньо в apollo.keystore, але пам'ятайте, що для цього вам потрібен псевдонім і пароль псевдоніма (власник сертифіката повинен мати цю інформацію).
• PEM (.pem, .crt, .cer або .key) - може включати сертифікат сервера, проміжний сертифікат і закритий ключ в одному файлі. Сертифікат сервера та проміжний сертифікат також можуть бути в окремих файлах .crt або .cer, а приватний ключ може бути у файлі .key. Якщо сертифікати сервера\intermediate та ключ є окремими, цього недостатньо для безпосереднього імпорту.

Перевірити можна, відкривши файл сертифіката в текстовому редакторі.

Кожен сертифікат міститься між операторами ---- BEGIN CERTIFICATE---- та ----END CERTIFICATE----.
Закритий ключ міститься між операторами ---- BEGIN RSA PRIVATE KEY----- та -----END RSA PRIVATE KEY
-----.Переконайтеся, що кількість сертифікатів, які містяться в операторах BEGIN CERTIFICATE---- -------- BEGIN CERTIFICATE---- ЗБІГАЄТЬСЯ кількості сертифікатів у ланцюжку (серверний і проміжний) і закінчується на ---- BEGIN RSA PRIVATE KEY----- І -----END RSA PRIVATE KEY. Якщо файл не містить повного ланцюжка сертифікатів і закритого ключа, сертифікат має бути імпортовано до сховища ключів, з якого його було створено. Якщо ви не впевнені щодо ланцюжка сертифікатів , перегляньте https://support.emc.com/kb/532108

Після того, як ви переконаєтеся, що у вас є повний ланцюжок сертифікатів і приватний ключ в одному файлі, у вас має бути все, що вам потрібно імпортувати, виконавши такі дії:

1. Зробіть копію файлів apollo.keystore та standalone.xml з dpa/services/standalone/configuration та файлу application-service.conf з dpa/services/executive. Якщо вам потрібно повернутися до початкової конфігурації, ви можете використовувати ці файли для відновлення DPA до робочого стану. Помістіть копії в папку на робочому столі для надійного зберігання та уникнення плутанини.

2. Відкрийте копію файлу standalone.xml та знайдіть «ключ-псевдонім». Ви повинні побачити рядок, що містить псевдонім ключа та пароль, наприклад:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Запишіть пароль у цьому рядку. Це пароль apollo.keystore, і він вам знадобиться на наступних кроках.

3. Запустіть наступну команду з директорії встановлення DPA у services/_jre/bin:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Примітка: Ви повинні вказати правильне розташування підписаного файлу сертифіката (srckeystore) і apollo.keystore (destkeystore). Перегляньте приклад нижче, щоб дізнатися більше про те, що вам буде запропоновано ввести.

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Перерахуйте вміст apollo.keystore, щоб переконатися, що підписаний сертифікат був імпортований правильно:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Введіть пароль apollo.keystore)

   Тепер він повинен містити запис для apollokey та новий запис із символами підстановки користувача (незалежно від того, якому псевдоніму було призначено підписаний сертифікат). Ви повинні побачити, що це PrivateKeyEntry і який містить повний ланцюжок сертифікатів.

5. Перезапустіть служби додатків і спробуйте увійти в інтерфейс користувача.** Якщо перезапуск служб видає помилку, це означає, що svc програми не запускається, або ви не можете отримати доступ до інтерфейсу користувача на цьому етапі:

   • Відкрийте application-service.conf і знайдіть «apollo.key», ви повинні побачити, що псевдонім був оновлений до імпортованого вами псевдоніма (в даному випадку до wildcardalias).
   • Відкрийте standalone.xml за допомогою текстового редактора та знайдіть «ключ-псевдонім». Ви повинні побачити рядок, подібний до наведеного нижче, який показує псевдонім, який ви імпортували:

     key-alias="${apollo.keystore.alias:emcdpa}"

     Якщо ні, потрібно змінити псевдонім ключа, щоб він відповідав тому, що пов'язано з підписаним сертифікатом. Крім того, двічі переконайтеся, що пароль збігається з тим, який ви використовували протягом усього часу.
     Якщо вам потрібно змінити псевдонім або пароль у цих файлах: Зупиніть служби програм, відредагуйте та збережіть файли, а також перезапустіть служби. Якщо проблема не зникає, зверніться до служби підтримки DPA.