Come importare un certificato firmato che contiene la catena di attendibilità completa e la chiave privata in DPA - Linux

A volte la CA di un utente ha già fornito un certificato firmato. Alcune procedure dell'utente richiedono la generazione\il recupero di un certificato in.

In questi casi, potrebbe essere possibile importare semplicemente il certificato firmato in apollo.keystore se e solo se il certificato firmato che hanno ricevuto contiene l'intera catena di certificati e la chiave privata.

Di seguito sono elencati i formati di certificato che possono contenere la chiave privata:

• PKCS#12 (.pfx o .p12): può archiviare il certificato server, il certificato intermedio e la chiave privata in un singolo file .pfx con protezione tramite password. Poiché questi file contengono l'intera catena e la chiave privata, è possibile importarla direttamente in apollo.keystore, ma tenere presente che per farlo è necessario l'alias e la password dell'alias (il proprietario del certificato dovrebbe disporre di queste informazioni).
• PEM (.pem, .crt, .cer o .key): può includere il certificato server, il certificato intermedio e la chiave privata in un singolo file. Il certificato server e il certificato intermedio possono anche trovarsi in file .crt o .cer separati e la chiave privata può trovarsi in un file .key. Se i certificati e la chiave server\intermediate sono separati, non è sufficiente eseguire l'importazione diretta.

È possibile controllare aprendo il file di certificato in un editor di testo.

Ogni certificato è contenuto tra le istruzioni ---- BEGIN CERTIFICATE---- e ----END CERTIFICATE----.
La chiave privata è contenuta tra le istruzioni ---- BEGIN RSA PRIVATE KEY----- E -----END RSA PRIVATE KEY-----.
Assicurarsi che il numero di certificati contenuti nelle istruzioni ---- BEGIN CERTIFICATE---- e ----END CERTIFICATE---- corrisponda al numero di certificati nella catena (server e intermedio) e termini con ---- BEGIN RSA PRIVATE KEY----- E -----END RSA PRIVATE KEY. Se il file non contiene la catena di certificati completa e la chiave privata, il certificato deve essere importato nell'archivio chiavi da cui è stato generato. Se non si è sicuri della catena di certificati , vedere https://support.emc.com/kb/532108

Dopo aver verificato di avere l'intera catena di certificati e la chiave privata in un unico file, dovresti avere tutto ciò che devi importare con i seguenti passaggi:

1. Creare una copia dei file apollo.keystore e standalone.xml da dpa/services/standalone/configuration e del file application-service.conf da dpa/services/executive. Se è necessario ripristinare la configurazione originale, è possibile utilizzare questi file per ripristinare DPA alle condizioni operative. Posizionare le copie in una cartella sul desktop per conservarle in modo sicuro ed evitare confusione.

2. Aprire la copia del file standalone.xml e cercare "key-alias". Viene visualizzata una riga contenente l'alias chiave e la password in questo modo:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Prendere nota della password in questa riga. È la password di apollo.keystore e ti servirà nei passaggi successivi.

3. Eseguire il seguente comando dalla directory di installazione di DPA in services/_jre/bin:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Nota: È necessario specificare la posizione corretta del file di certificato firmato (srckeystore) e di apollo.keystore (destkeystore). Vedere l'esempio riportato di seguito per ulteriori informazioni su ciò che viene richiesto di inserire:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Elencare il contenuto di apollo.keystore per verificare che il certificato firmato sia stato importato correttamente:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Immettere la password apollo.keystore)

   Ora dovrebbe contenere la voce per apollokey e la nuova voce con il wildcardalias dell'utente (qualunque sia l'alias a cui è stato assegnato il certificato firmato). Si dovrebbe notare che si tratta di un oggetto PrivateKeyEntry che contiene l'intera catena di certificati.

5. Riavviare i servizi dell'applicazione e tentare di accedere all'interfaccia utente.** Se il riavvio dei servizi genera un errore, l'app svc non si avvia o non è possibile accedere all'interfaccia utente a questo punto:

   • Aprire application-service.conf e cercare 'apollo.key' si dovrebbe vedere che l'alias è stato aggiornato con l'alias importato (in questo caso, wildcardalias).
   • Apri standalone.xml con un editor di testo e cerca "key-alias". Viene visualizzata una riga simile a quella riportata di seguito che mostra l'alias importato:

     key-alias="${apollo.keystore.alias:emcdpa}"

     In caso contrario, è necessario modificare l'alias della chiave in modo che corrisponda a quello associato al certificato firmato. Inoltre, ricontrolla che la password sia la stessa che hai utilizzato per tutto il tempo.
     Se è necessario modificare l'alias o la password in questi file: Arrestare i servizi dell'applicazione, modificare e salvare i file e riavviare i servizi. Se il problema persiste, contattare il supporto DPA.