ДПА: Як імпортувати підписаний сертифікат, який містить повний ланцюжок довіри та приватний ключ, у DPA - Windows

Іноді в центрі сертифікації (CA) користувача вже є наданий підписаний сертифікат. Деякі процедури користувача вимагають, щоб вони генерували\отримували сертифікат таким чином. Зазвичай це відбувається, коли ЦС видає сертифікат підстановки або коли сервер використовує кілька доменних імен.

У цих випадках може бути можливим просто імпортувати підписаний сертифікат у apollo.keystore. Тоді і тільки якщо підписаний сертифікат, який вони отримали, містить повний ланцюжок сертифікатів і закритий ключ.

Формати сертифікатів, які можуть містити закритий ключ, перераховані нижче:

• PKCS#12 (.pfx або .p12) може зберігати сертифікат сервера, проміжний сертифікат і приватний ключ в одному файлі .pfx із захистом паролем. Оскільки ці файли містять повний ланцюжок і приватний ключ, є можливість імпортувати його безпосередньо в apollo.keystore, але пам'ятайте, що для цього необхідний псевдонім і пароль псевдоніма (власник сертифіката повинен володіти цією інформацією).
• PEM (.pem, .crt, .cer або .key) може включати сертифікат сервера, проміжний сертифікат і закритий ключ в одному файлі. Сертифікат сервера та проміжний сертифікат також можуть бути в окремих файлах .crt або .cer, а приватний ключ може бути у файлі .key. Якщо сертифікати сервера\intermediate та ключ є окремими, цього недостатньо для безпосереднього імпорту.

Перевірте, відкривши файл сертифіката в текстовому редакторі.

Кожен сертифікат міститься між операторами ---- BEGIN CERTIFICATE---- та ----END CERTIFICATE----.

Закритий ключ міститься між операторами ---- BEGIN RSA PRIVATE KEY----- та -----END RSA PRIVATE KEY-----.

Переконайтеся, що кількість сертифікатів, які містяться в операторах BEGIN CERTIFICATE---- -------- BEGIN CERTIFICATE---- ЗБІГАЄТЬСЯ кількості сертифікатів у ланцюжку (серверний і проміжний) і закінчується на ---- BEGIN RSA PRIVATE KEY----- І -----END RSA PRIVATE KEY.

Якщо файл не містить повного ланцюжка сертифікатів і закритого ключа, сертифікат має бути імпортовано до сховища ключів, з якого його було створено. Якщо ви не впевнені щодо ланцюжка сертифікатів, зверніться до статті KB 532108: Як вручну відокремити серверний, проміжний і кореневий сертифікати від одного підписаного сертифіката

Після перевірки повного ланцюжка сертифікатів і приватного ключа в одному файлі надається все, що необхідно для імпорту сертифіката в DPA за допомогою наступних кроків:

1. Зробіть копію файлів apollo.keystore та standalone.xml з dpa\services\standalone\configuration та файлу application-service.conf з dpa\services\executive. Якщо вам потрібно повернутися до початкової конфігурації, ви можете використовувати ці файли для відновлення DPA до робочого стану. Помістіть копії в папку на робочому столі для надійного зберігання та уникнення плутанини.

2. Відкрийте копію файлу standalone.xml та знайдіть «ключ-псевдонім». Рядок, що містить схожий на цей ключ-псевдонім і пароль, повинен бути видно:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Запишіть пароль у цьому рядку. Це пароль apollo.keystore, і він потрібен на наступних кроках.

3. Запустіть наступну команду з директорії встановлення DPA у services\_jre\bin:

   keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS

   Примітка: Вкажіть правильне розташування підписаного файлу сертифіката (srckeystore) та apollo.keystore (destkeystore). Перегляньте приклад нижче, щоб дізнатися більше про те, що потрібно вводити:

   D:\Program Files\EMC\DPA\services\_jre\bin keytool -importkeystore -srckeystore "c:\Program files\emc\dpa\services\standalone\configuration\wildcard.pfx" -srcstoretype pkcs12 -destkeystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Перерахуйте вміст apollo.keystore, щоб переконатися, що підписаний сертифікат був імпортований правильно:

   keytool -list -v -keystore "c:\Program files\emc\dpa\services\standalone\configuration\apollo.keystore"

   (Введіть пароль apollo.keystore)

   Тепер він повинен містити запис для apollokey та новий запис із символами підстановки користувача (незалежно від того, якому псевдоніму було призначено підписаний сертифікат). Ви повинні побачити, що це PrivateKeyEntry і який містить повний ланцюжок сертифікатів.

5. Перезапустіть служби додатків і спробуйте увійти в інтерфейс користувача. Якщо перезапуск служб видає помилку, це означає, що svc програми не запускається, або ви не можете отримати доступ до інтерфейсу користувача на цьому етапі:

   • Відкрийте application-service.conf і знайдіть «apollo.key». Ви повинні побачити, що псевдонім оновлено до імпортованого псевдоніма (у цьому випадку до підстановкових кардалій).
   • Відкрийте standalone.xml за допомогою текстового редактора та знайдіть «ключ-псевдонім». Ви повинні побачити рядок, подібний до наведеного нижче, який показує псевдонім, який ви імпортували:

     key-alias="${apollo.keystore.alias:emcdpa}"

   Якщо ні, змініть псевдонім ключа, щоб він відповідав тому, що пов'язано з підписаним сертифікатом. Крім того, двічі переконайтеся, що пароль збігається з тим, який ви використовували протягом усього часу.

   Якщо вам потрібно змінити псевдонім або пароль у цих файлах, то:

   1. Зупиніть надання послуг для подання заявок.
   2. Відредагуйте та збережіть файли.
   3. Перезапустіть служби.
   4. Якщо проблема не зникає, зверніться до служби підтримки DPA.