Импорт подписанного сертификата, содержащего полную цепочку доверия и закрытый ключ, в DPA — Linux

Иногда CA пользователя уже предоставил подписанный сертификат. Некоторые пользовательские процедуры требуют, чтобы они создавали\извлекали сертификат в.

В этих случаях можно просто импортировать подписанный сертификат в apollo.keystore тогда и только тогда, когда полученный подписанный сертификат содержит полную цепочку сертификатов и закрытый ключ.

Ниже перечислены форматы сертификатов, которые могут содержать закрытый ключ.

• PKCS#12 (.pfx или .p12) - может хранить сертификат сервера, промежуточный сертификат и закрытый ключ в одном PFX-файле с защитой паролем. Поскольку эти файлы содержат полную цепочку и закрытый ключ, вы можете импортировать их непосредственно в apollo.keystore, но помните, что для этого вам понадобятся псевдоним и пароль псевдонима (эта информация должна быть у владельца сертификата).
• PEM (.pem, .crt, .cer или .key) — может содержать сертификат сервера, промежуточный сертификат и закрытый ключ в одном файле. Сертификат сервера и промежуточный сертификат также могут находиться в отдельных файлах .crt или .cer, а закрытый ключ может быть в файле .key. Если сертификаты\промежуточные сертификаты и ключ находятся отдельно, этого недостаточно для прямого импорта.

Это можно проверить, открыв файл сертификата в текстовом редакторе.

Каждый сертификат содержится между инструкциями
---- BEGIN CERTIFICATE---- и ----END CERTIFICATE----Закрытый ключ содержится между ---- операторами
BEGIN RSA PRIVATE KEY----- и -----END RSA PRIVATE KEY-----Убедитесь, что количество сертификатов---- содержащихся в инструкциях ---- BEGIN CERTIFICATE и ----END CERTIFICATE---- совпадает с количеством сертификатов в цепочке (серверных и промежуточных) и заканчивается ---- BEGIN RSA PRIVATE KEY----- и -----END PRIVATE KEY. Если файл не содержит полную цепочку сертификатов и закрытый ключ, сертификат необходимо импортировать в хранилище ключей, где он был создан. Если вы не уверены в цепочке сертификатов, см. https://support.emc.com/kb/532108

После того, как вы убедились, что у вас есть полная цепочка сертификатов и закрытый ключ в одном файле, у вас должна быть вся необходимая для импорта с помощью следующих шагов:

1. Создайте копию apollo.keystore и standalone.xml файлов из dpa/services/standalone/configuration и файл application-service.conf из dpa/services/executive. Если необходимо вернуться к первоначальной конфигурации, можно использовать эти файлы для восстановления работоспособности DPA. Поместите копии в папку на рабочем столе для безопасного хранения и во избежание путаницы.

2. Откройте копию файла standalone.xml и выполните поиск по запросу «key-alias». Вы должны увидеть строку, содержащую псевдоним ключа и пароль, как показано ниже:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Запишите пароль в этой строке. Это пароль apollo.keystore, и он понадобится вам в следующих действиях.

3. Выполните следующую команду из каталога установки DPA в services/_jre/bin:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Примечание. Необходимо указать правильное расположение подписанного файла сертификата (srckeystore) и apollo.keystore (destkeystore). См. пример ниже для получения дополнительной информации о том, что вас просят ввести:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. Перечислите содержимое apollo.keystore, чтобы убедиться, что подписанный сертификат импортирован правильно.

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (Введите пароль apollo.keystore)

   Теперь он должен содержать запись для apollokey и новую запись с подстановочными знаками пользователя (независимо от того, какой псевдоним был назначен подписанному сертификату). Вы должны увидеть, что это PrivateKeyEntry, содержащая полную цепочку сертификатов.

5. Перезапустите службы приложения и попытайтесь войти в пользовательский интерфейс**. Если перезапуск служб приводит к ошибке, svc приложения не запускается или на этом этапе невозможно получить доступ к пользовательскому интерфейсу:

   • Откройте application-service.conf и выполните поиск по слову «apollo.key». Вы должны увидеть, что псевдоним был обновлен до импортированного псевдонима (в данном случае wildcardalias).
   • Откройте standalone.xml в текстовом редакторе и выполните поиск по запросу «key-alias». Вы должны увидеть строку, похожую на ту, что приведена ниже, которая показывает импортированный псевдоним:

     key-alias="${apollo.keystore.alias:emcdpa}"

     В противном случае необходимо изменить псевдоним ключа, чтобы он совпадал с псевдонимом, связанным с подписанным сертификатом. Кроме того, убедитесь, что пароль совпадает с тем, который вы использовали все время.
     Если необходимо изменить псевдоним или пароль в этих файлах: Остановите службы приложений, измените и сохраните файлы, а затем перезапустите службы. Если проблема не устранена, обратитесь в службу поддержки DPA.