Importieren eines signierten Zertifikats, das die vollständige Vertrauenskette und den privaten Schlüssel enthält, in DPA – Linux

Manchmal hat die Zertifizierungsstelle eines Nutzers bereits ein signiertes Zertifikat bereitgestellt. Einige Nutzerverfahren erfordern, dass sie ein Zertifikat in erzeugen/abrufen.

In diesen Fällen kann es möglich sein, das signierte Zertifikat einfach in apollo.keystore zu importieren, wenn das signierte Zertifikat, das sie erhalten haben, die vollständige Zertifikatkette und den privaten Schlüssel enthält.

Zertifikatformate, die den privaten Schlüssel enthalten können, sind unten aufgeführt:

• PKCS#12 (.pfx oder .p12) kann das Serverzertifikat, das Zwischenzertifikat und den privaten Schlüssel in einer einzigen .pfx-Datei mit Kennwortschutz speichern. Da diese Dateien die vollständige Kette und den privaten Schlüssel enthalten, können Sie ihn direkt in apollo.keystore importieren, aber denken Sie daran, dass Sie dafür den Alias und das Aliaspasswort benötigen (der Eigentümer des Zertifikats sollte über diese Informationen verfügen).
• PEM (.pem, .crt, .cer oder .key) kann das Serverzertifikat, das Zwischenzertifikat und den privaten Schlüssel in einer einzigen Datei enthalten. Das Serverzertifikat und das Zwischenzertifikat können sich auch in einer separaten CRT- oder .cer-Datei befinden, und der private Schlüssel kann sich in einer .key Datei befinden. Wenn die Server-/Zwischenzertifikate und der Schlüssel getrennt sind, reicht dies nicht aus, um direkt importiert zu werden.

Sie können dies überprüfen, indem Sie die Zertifikatdatei in einem Texteditor öffnen.

Jedes Zertifikat befindet sich zwischen den Anweisungen ---- BEGIN CERTIFICATE---- und ----END CERTIFICATE----.
Der private Schlüssel ist zwischen den Anweisungen ---- BEGIN RSA PRIVATE KEY----- und -----END RSA PRIVATE KEY----- enthalten.
Stellen Sie sicher, dass die Anzahl der Zertifikate in ---- Anweisungen BEGIN CERTIFICATE---- und ----END CERTIFICATE---- mit der Anzahl der Zertifikate in der Kette (Server und Intermediate) übereinstimmt und mit ---- BEGIN RSA PRIVATE KEY----- und -----END RSA PRIVATE KEY endet. Wenn die Datei nicht die vollständige Zertifikatkette und den privaten Schlüssel enthält, muss das Zertifikat in den Keystore importiert werden, aus dem es erzeugt wurde. Wenn Sie sich bezüglich der Zertifikatskette nicht sicher sind, lesen Sie https://support.emc.com/kb/532108

Nachdem Sie sichergestellt haben, dass Sie über die vollständige Zertifikatkette und den privaten Schlüssel in einer Datei verfügen, sollten Sie alles, was Sie importieren müssen, mit den folgenden Schritten haben:

1. Erstellen Sie eine Kopie der Dateien apollo.keystore und standalone.xml von dpa/services/standalone/configuration sowie der Datei application-service.conf von dpa/services/executive. Wenn Sie die ursprüngliche Konfiguration wiederherstellen müssen, können Sie diese Dateien verwenden, um DPA wieder funktionsfähig zu machen. Legen Sie die Kopien zur sicheren Aufbewahrung und zur Vermeidung von Verwechslungen in einem Ordner auf dem Desktop ab.

2. Öffnen Sie die Kopie der standalone.xml Datei und suchen Sie nach "key-alias". Sie sollten eine Zeile mit dem Schlüsselalias und dem Kennwort wie folgt sehen:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Notieren Sie sich das Kennwort in dieser Zeile. Dies ist das apollo.keystore-Kennwort, das Sie in den nächsten Schritten benötigen.

3. Führen Sie den folgenden Befehl aus dem DPA-Installationsverzeichnis in services/_jre/bin aus:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Hinweis: Sie müssen den korrekten Speicherort der signierten Zertifikatdatei (srckeystore) und apollo.keystore (destkeystore) angeben. Im folgenden Beispiel finden Sie weitere Informationen dazu, was Sie eingeben müssen:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Listen Sie den Inhalt von apollo.keystore auf, um zu überprüfen, ob das signierte Zertifikat korrekt importiert wurde:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Geben Sie das apollo.keystore-Kennwort ein)

   Es sollte nun den Eintrag für apollokey und den neuen Eintrag mit dem Wildcardalias des Benutzers enthalten (unabhängig davon, welchem Alias das signierte Zertifikat zugewiesen wurde). Sie sollten sehen, dass es sich um einen PrivateKeyEntry handelt, der die vollständige Zertifikatkette enthält.

5. Starten Sie die Anwendungsservices neu und versuchen Sie, sich bei der Benutzeroberfläche anzumelden.** Wenn der Neustart von Services zu einem Fehler führt, kann der App-Service nicht gestartet werden oder Sie können zu diesem Zeitpunkt nicht auf die Benutzeroberfläche zugreifen:

   • Öffnen Sie application-service.conf und suchen Sie nach "apollo.key". Sie sollten sehen, dass der Alias auf den Alias aktualisiert wurde, den Sie importiert haben (in diesem Fall WildcardAlias).
   • Öffnen Sie standalone.xml mit einem Texteditor und suchen Sie nach "key-alias". Sie sollten eine Zeile ähnlich der folgenden sehen, die den Alias anzeigt, den Sie importiert haben:

     key-alias="${apollo.keystore.alias:emcdpa}"

     Andernfalls müssen Sie den Schlüsselalias so ändern, dass er mit dem dem signierten Zertifikat übereinstimmt. Vergewissern Sie sich außerdem, dass das Kennwort mit dem identisch ist, das Sie durchgehend verwendet haben.
     Wenn Sie den Alias oder das Kennwort in diesen Dateien ändern müssen: Beenden Sie die Anwendungsdienste, bearbeiten und speichern Sie die Dateien und starten Sie die Dienste neu. Wenn das Problem weiterhin besteht, wenden Sie sich an den DPA-Support.