DPA: Een ondertekend certificaat importeren dat de volledige vertrouwensketen en persoonlijke sleutel bevat in DPA - Windows

Soms beschikt de certificeringsinstantie (CA) van een gebruiker al over een verstrekt ondertekend certificaat. De procedures van sommige gebruikers vereisen dat ze op deze manier een certificaat genereren\ophalen. Dit gebeurt meestal wanneer de CA een wildcard-certificaat uitgeeft of wanneer een server meerdere domeinnamen gebruikt.

In deze gevallen is het mogelijk om het ondertekende certificaat eenvoudig te importeren in apollo.keystore. Of en slechts dan als het ondertekende certificaat dat ze hebben ontvangen de volledige certificaatketen en de persoonlijke sleutel bevat.

Hieronder vindt u de certificaatindelingen die de persoonlijke sleutel kunnen bevatten:

• PKCS#12 (.pfx of .p12) kan het servercertificaat, het tussenliggende certificaat en de persoonlijke sleutel opslaan in één .pfx-bestand met wachtwoordbeveiliging. Aangezien deze bestanden de volledige keten en de privésleutel bevatten, is het mogelijk om deze rechtstreeks in apollo.keystore te importeren, maar vergeet niet dat de alias en het aliaswachtwoord hiervoor nodig zijn (de eigenaar van het certificaat moet over deze informatie beschikken).
• PEM (.pem, .crt, .cer of .key) kan het servercertificaat, het tussenliggende certificaat en de persoonlijke sleutel in één bestand bevatten. Het servercertificaat en het tussenliggende certificaat kunnen ook in een apart .crt- of .cer-bestand staan en de persoonlijke sleutel kan zich in een .key bestand bevinden. Als de server\intermediate certificaten en sleutel gescheiden zijn, is dit niet voldoende om direct te importeren.

Controleer dit door het certificaatbestand te openen in een teksteditor.

Elk certificaat bevindt zich tussen de ---- BEGIN CERTIFICATE---- en ----END CERTIFICATE---- statements.

De persoonlijke sleutel bevindt zich tussen de ---- BEGIN RSA PRIVATE KEY----- en -----END RSA PRIVATE KEY----- statements.

Zorg ervoor dat het aantal certificaten in de instructies ---- BEGIN CERTIFICATE---- en ----END CERTIFICATE---- overeenkomt met het aantal certificaten in de keten (server en intermediair) en eindigt met ---- BEGIN RSA PRIVATE KEY----- en -----END RSA PRIVATE KEY.

Als het bestand niet de volledige certificaatketen en persoonlijke sleutel bevat, moet het certificaat worden geïmporteerd in de keystore waaruit het is gegenereerd. Als u twijfelt over de certificaatketen, raadpleegt u KB-artikel 532108: Het server-, tussenliggende en basiscertificaat handmatig scheiden van één ondertekend certificaat

Zodra de volledige certificaatketen en de persoonlijke sleutel in één bestand zijn geverifieerd, wordt alles verstrekt wat nodig is om het certificaat in DPA te importeren door middel van de volgende stappen:

1. Maak een kopie van de apollo.keystore en standalone.xml bestanden uit dpa\services\standalone\configuration en het bestand application-service.conf uit dpa\services\executive. Als u moet terugkeren naar de oorspronkelijke configuratie, kunt u deze bestanden gebruiken om DPA weer werkend te maken. Plaats de kopieën in een map op het bureaublad om ze veilig te bewaren en om verwarring te voorkomen.

2. Open de kopie van het standalone.xml bestand en zoek naar 'key-alias'. Een regel met de sleutelalias en het wachtwoord zoals deze zou moeten worden gezien:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Noteer het wachtwoord in deze regel. Dit is het apollo.keystore-wachtwoord en is nodig bij de volgende stappen.

3. Voer de volgende opdracht uit vanuit de DPA-installatiedirectory in services\_jre\bin:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Opmerking: Geef de juiste locatie van het ondertekende certificaatbestand (srckeystore) en apollo.keystore (destkeystore) op. Zie onderstaand voorbeeld voor meer informatie over wat er ingevuld moet worden:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Geef de inhoud van apollo.keystore weer om te controleren of het ondertekende certificaat correct is geïmporteerd:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Voer het wachtwoord van apollo.keystore in)

   Het zou nu de vermelding voor apollokey moeten bevatten en de nieuwe vermelding met de jokertekens van de gebruiker (ongeacht de alias waaraan het ondertekende certificaat is toegewezen). U zou moeten zien dat dit een PrivateKeyEntry is en dat het de volledige certificaatketen bevat.

5. Start de applicatieservices opnieuw en probeer u aan te melden bij de gebruikersinterface. Als het opnieuw opstarten van services een fout oplevert, kan de app-service niet worden gestart of hebt u op dit moment geen toegang tot de gebruikersinterface:

   • Open application-service.conf en zoek naar 'apollo.key'. U zou moeten zien dat de alias is bijgewerkt naar de alias die u hebt geïmporteerd (in dit geval jokertekens).
   • Open standalone.xml met een tekstverwerker en zoek naar 'key-alias'. U zou een regel moeten zien die lijkt op de onderstaande regel met de alias die u hebt geïmporteerd:

     key-alias="${apollo.keystore.alias:emcdpa}"

   Als dit niet het geval is, wijzigt u de sleutelalias zodat deze overeenkomt met de alias die aan het ondertekende certificaat is gekoppeld. Controleer ook of het wachtwoord hetzelfde is als u altijd hebt gebruikt.

   Als u de alias of het wachtwoord in deze bestanden moet wijzigen, doet u het volgende:

   1. Stop applicatieservices.
   2. Bewerk de bestanden en sla ze op.
   3. Start de services opnieuw.
   4. Als het probleem zich blijft voordoen, neemt u contact op met DPA-support.