Importowanie podpisanego certyfikatu, który zawiera pełny łańcuch zaufania i klucz prywatny do DPA — Linux

Czasami urząd certyfikacji użytkownika dostarczył już podpisany certyfikat. Niektóre procedury użytkownika wymagają wygenerowania/pobrania certyfikatu.

W takich przypadkach możliwe jest po prostu zaimportowanie podpisanego certyfikatu do apollo.keystore wtedy i tylko wtedy, gdy podpisany certyfikat, który otrzymali, zawiera pełny łańcuch certyfikatów i klucz prywatny.

Formaty certyfikatów, które mogą zawierać klucz prywatny, są wymienione poniżej:

• PKCS#12 (.pfx lub .p12)- może przechowywać certyfikat serwera, certyfikat pośredni i klucz prywatny w jednym pliku .pfx z ochroną hasłem. Ponieważ pliki te zawierają pełny łańcuch i klucz prywatny, możesz zaimportować go bezpośrednio do apollo.keystore, ale pamiętaj, że potrzebujesz do tego aliasu i hasła aliasu (właściciel certyfikatu powinien mieć te informacje).
• PEM (.pem, .crt, .cer lub .key) — może zawierać certyfikat serwera, certyfikat pośredni i klucz prywatny w jednym pliku. Certyfikat serwera i certyfikat pośredni mogą również znajdować się w osobnych plikach .crt lub .cer, a klucz prywatny może znajdować się w pliku .key. Jeśli certyfikaty serwer\pośredniczące i klucz są oddzielne, nie wystarczy importować bezpośrednio.

Możesz to sprawdzić, otwierając plik certyfikatu w edytorze tekstów.

Każdy certyfikat znajduje się między instrukcjami ---- BEGIN CERTIFICATE---- i ----END CERTIFICATE----.
Klucz prywatny znajduje się między instrukcjami ---- BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY-----.
Upewnij się, że liczba certyfikatów zawartych w instrukcjach ---- BEGIN CERTIFICATE---- i ----END CERTIFICATE---- jest zgodna z liczbą certyfikatów w łańcuchu (serwerowym i pośrednim) i kończy się na ---- BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY. Jeśli plik nie zawiera pełnego łańcucha certyfikatów i klucza prywatnego, certyfikat musi zostać zaimportowany do magazynu kluczy, z którego został wygenerowany. Jeśli nie masz pewności co do łańcucha certyfikatów, zobacz https://support.emc.com/kb/532108

Po sprawdzeniu, że masz pełny łańcuch certyfikatów i klucz prywatny w jednym pliku, powinieneś mieć wszystko, co musisz zaimportować, wykonując następujące czynności:

1. Utwórz kopię apollo.keystore i plików standalone.xml z dpa/services/standalone/configuration oraz pliku application-service.conf z dpa/services/executive. Jeśli konieczne jest przywrócenie pierwotnej konfiguracji, można użyć tych plików do przywrócenia DPA do stanu używalności. Umieść kopie w folderze na pulpicie w celu bezpiecznego przechowywania i uniknięcia nieporozumień.

2. Otwórz kopię pliku standalone.xml i wyszukaj "key-alias". Powinien zostać wyświetlony wiersz zawierający alias klucza i hasło w następujący sposób:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Zanotuj hasło w tym wierszu. Jest to hasło apollo.keystore i będziesz go potrzebować w kolejnych krokach.

3. Uruchom następujące polecenie z katalogu instalacyjnego DPA w services/_jre/bin:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Uwaga: Musisz określić poprawną lokalizację podpisanego pliku certyfikatu (srckeystore) i apollo.keystore (destkeystore). Zapoznaj się z poniższym przykładem, aby uzyskać więcej informacji na temat tego, co należy wprowadzić:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Wyświetl zawartość apollo.keystore, aby sprawdzić, czy podpisany certyfikat został poprawnie zaimportowany:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Wprowadź hasło apollo.keystore)

   Powinien teraz zawierać wpis dla apollokey i nowy wpis z wieloznacznymi aliasami użytkownika (niezależnie od aliasu, do którego został przypisany podpisany certyfikat). Powinien zostać wyświetlony komunikat PrivateKeyEntry, który zawiera pełny łańcuch certyfikatów.

5. Uruchom ponownie usługi aplikacji i spróbuj zalogować się do interfejsu użytkownika**. Jeśli ponowne uruchomienie usług spowoduje błąd, uruchomienie usługi aplikacji nie powiedzie się lub nie możesz uzyskać dostępu do interfejsu użytkownika w tym momencie:

   • Otwórz application-service.conf i wyszukaj ciąg "apollo.key", powinieneś zobaczyć, że alias został zaktualizowany do zaimportowanego aliasu (w tym przypadku wildcardalias).
   • Otwórz standalone.xml za pomocą edytora tekstu i wyszukaj "alias-klucza". Powinien zostać wyświetlony wiersz podobny do poniższego, który pokazuje zaimportowany alias:

     key-alias="${apollo.keystore.alias:emcdpa}"

     Jeśli nie, należy zmienić alias klucza, aby odpowiadał aliasowi skojarzonemu z podpisanym certyfikatem. Sprawdź również, czy hasło jest takie samo, jak używane przez cały czas.
     Jeśli musisz zmienić alias lub hasło w tych plikach: Zatrzymaj usługi aplikacji, edytuj i zapisz pliki, a następnie uruchom ponownie usługi. Jeśli problem nie ustąpi, skontaktuj się z działem pomocy DPA.