Koko luottamusketjun ja yksityisen avaimen sisältävän allekirjoitetun varmenteen tuominen DPA:han - Linux

Joskus käyttäjän varmenteiden myöntäjä on jo toimittanut allekirjoitetun varmenteen. Jotkin käyttäjän toimenpiteet edellyttävät, että varmenne luodaan/noudetaan sisään.

Näissä tapauksissa voi olla mahdollista yksinkertaisesti tuoda allekirjoitettu varmenne apollo.keystoreen jos ja vain jos heidän vastaanottamansa allekirjoitettu varmenne sisältää koko varmenneketjun ja yksityisen avaimen.

Alla on lueteltu varmenteiden muodot, jotka voivat sisältää yksityisen avaimen:

• PKCS#12 (.pfx tai .p12) - voi tallentaa palvelinvarmenteen, välivarmenteen ja yksityisen avaimen yhteen .pfx-tiedostoon, jossa on salasanasuojaus. Koska nämä tiedostot sisältävät koko ketjun ja yksityisen avaimen, voit tuoda sen suoraan apollo.keystoreen, mutta muista, että tarvitset siihen aliaksen ja aliaksen salasanan (varmenteen omistajalla pitäisi olla nämä tiedot).
• PEM (.pem, .crt, .cer tai .key)- voi sisältää palvelinvarmenteen, välivarmenteen ja yksityisen avaimen yhdessä tiedostossa. Palvelinvarmenne ja välivarmenne voivat olla myös erillisissä .crt- tai .cer tiedostoissa ja yksityinen avain voi olla .key tiedostossa. Jos palvelin\välivarmenteet ja avain ovat erilliset, tämä ei riitä suoraan tuontiin.

Voit tarkistaa sen avaamalla varmennetiedoston tekstieditorissa.

Jokainen varmenne on ---- BEGIN CERTIFICATE----- ja ----END CERTIFICATE---- -lausekkeiden välissä.
Yksityinen avain on ---- BEGIN RSA PRIVATE KEY----- ja -----END RSA PRIVATE KEY----- -lausekkeiden välissä.
Varmista---- BEGIN CERTIFICATE---- ja ----END CERTIFICATE---- -lausekkeiden sisältämien varmenteiden määrä vastaa ketjun (palvelin ja keskitaso) varmenteiden määrää ja päättyy ---- ALOITA RSA PRIVATE KEY----- ja -----END RSA PRIVATE KEY. Jos tiedosto ei sisällä koko varmenneketjua ja yksityistä avainta, varmenne on tuotava avainsäilöön, josta se luotiin. Jos et ole varma varmenneketjusta, katso https://support.emc.com/kb/532108

Kun olet varmistanut, että sinulla on koko varmenneketju ja yksityinen avain yhdessä tiedostossa, sinulla pitäisi olla kaikki, mitä sinun on tuotava, seuraavilla vaiheilla:

1. Kopioi apollo.keystore ja standalone.xml tiedostot kohteesta dpa/services/standalone/configuration ja application-service.conf-tiedosto kohteesta dpa/services/executive. Jos sinun on palattava alkuperäiseen kokoonpanoon, voit palauttaa DPA:n toimintakuntoon näiden tiedostojen avulla. Sijoita kopiot työpöydän kansioon turvallista säilyttämistä varten ja sekaannusten välttämiseksi.

2. Avaa standalone.xml tiedoston kopio ja etsi avainalias. Sinun pitäisi nähdä seuraavanlainen rivi, joka sisältää avaimen aliaksen ja salasanan:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Merkitse salasana muistiin tällä rivillä. Se on apollo.keystore-salasana, ja tarvitset sitä seuraavissa vaiheissa.

3. Suorita seuraava komento DPA-asennushakemistossa services/_jre/bin:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Huomautus: Allekirjoitetun varmennetiedoston (srckeystore) ja apollo.keystoren (destkeystore) oikea sijainti on määritettävä. Katso alla olevasta esimerkistä lisätietoja siitä, mitä sinua pyydetään antamaan:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Näytä luettelo apollo.keystoren sisällöstä varmistaaksesi, että allekirjoitettu varmenne on tuotu oikein:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Anna apollo.keystoren salasana)

   Sen pitäisi nyt sisältää apollokey-merkintä ja uusi merkintä, jossa on käyttäjän yleismerkki (riippumatta siitä, mille aliakselle allekirjoitettu varmenne on määritetty). Sinun pitäisi nähdä, että tämä on PrivateKeyEntry ja että se sisältää koko varmenneketjun.

5. Käynnistä sovelluspalvelut uudelleen ja yritä kirjautua käyttöliittymään.** Jos palvelujen uudelleenkäynnistys aiheuttaa virheen, sovelluksen svc ei käynnisty tai et voi käyttää käyttöliittymää tässä vaiheessa:

   • Avaa application-service.conf ja etsi "apollo.key", jolloin sinun pitäisi nähdä, että alias on päivitetty tuomaasi aliakseen (tässä tapauksessa wildcardalias).
   • Avaa standalone.xml tekstieditorilla ja etsi hakusanalla key-alias. Sinun pitäisi nähdä alla olevan kaltainen rivi, joka näyttää tuomasi aliaksen:

     key-alias="${apollo.keystore.alias:emcdpa}"

     Jos näin ei ole, vaihda avaimen alias vastaamaan allekirjoitettuun varmenteeseen liittyvää aliasta. Tarkista myös, että salasana on sama kuin olet käyttänyt koko ajan.
     Jos sinun on vaihdettava alias tai salasana näissä tiedostoissa: Pysäytä sovelluspalvelut, muokkaa ja tallenna tiedostoja ja käynnistä palveluja uudelleen. Jos ongelma ei poistu, ota yhteyttä DPA-tukeen.