Tam güven zincirini ve özel anahtarı içeren imzalı bir sertifika DPA'ya nasıl aktarılır - Linux

Bazen bir kullanıcının CA'sı zaten imzalı bir sertifika sağlamıştır. Bazı kullanıcıların prosedürleri, içinde bir sertifika oluşturmalarını/almalarını gerektirir.

Bu durumlarda, ancak ve ancak aldıkları imzalı sertifika tam sertifika zincirini ve özel anahtarı içeriyorsa, imzalı sertifikayı apollo.keystore'a aktarmak mümkün olabilir.

Özel anahtar içerebilecek sertifika biçimleri aşağıda listelenmiştir:

• PKCS#12 (.pfx veya .p12)- sunucu sertifikasını, ara sertifikayı ve özel anahtarı parola korumalı tek bir .pfx dosyasında saklayabilir. Bu dosyalar tam zinciri ve özel anahtarı içerdiğinden, onu doğrudan apollo.keystore'a aktarabilirsiniz, ancak bunu yapmak için takma ad ve takma ad parolasına ihtiyacınız olduğunu unutmayın (sertifikanın sahibi bu bilgilere sahip olmalıdır).
• PEM (.pem, .crt, .cer veya .key)- Sunucu sertifikasını, ara sertifikayı ve özel anahtarı tek bir dosyaya dahil edebilir . Sunucu sertifikası ve ara sertifika ayrı bir .crt veya .cer dosyalarında da bulunabilir ve özel anahtar bir .key dosyasında bulunabilir. Sunucu\ara sertifikalar ve anahtar ayrıysa bu, doğrudan içe aktarma için yeterli değildir.

Sertifika dosyasını bir metin düzenleyicide açarak kontrol edebilirsiniz.

Her sertifika, ---- BEGIN CERTIFICATE---- ve ----END CERTIFICATE---- deyimleri arasında yer alır.
Özel anahtar, ---- BEGIN RSA PRIVATE KEY----- ve -----END RSA PRIVATE KEY----- deyimleri arasında yer alır.
---- BEGIN CERTIFICATE---- ve ----END CERTIFICATE---- ifadelerinde yer alan sertifika sayısının zincirdeki (sunucu ve ara) sertifika sayısıyla eşleştiğinden ve ---- BEGIN RSA PRIVATE KEY----- ve -----END RSA PRIVATE KEY ile bittiğinden emin olun. Dosya tam sertifika zincirini ve özel anahtarı içermiyorsa sertifikanın, oluşturulduğu anahtar deposuna aktarılması gerekir. Sertifika zincirinden emin değilseniz https://support.emc.com/kb/532108

Tek bir dosyada tam sertifika zincirine ve özel anahtara sahip olduğunuzu doğruladıktan sonra, aşağıdaki adımlarla içe aktarmanız gereken her şeye sahip olmalısınız:

1. dpa/services/standalone/configuration bölümünden apollo.keystore ve standalone.xml dosyalarının bir kopyasını ve dpa/services/executive konumundan application-service.conf dosyasını oluşturun. Orijinal yapılandırmaya geri dönmeniz gerekirse DPA'yı çalışır duruma geri yüklemek için bu dosyaları kullanabilirsiniz. Güvenli bir şekilde saklamak ve karışıklığı önlemek için kopyaları masaüstündeki bir klasöre yerleştirin.

2. standalone.xml dosyasının kopyasını açın ve "key-alias" ifadesini arayın. Anahtar-diğer adı ve parolayı içeren aşağıdaki gibi bir satır görmelisiniz:

   <ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

   Bu satırdaki parolayı not alın. Bu, apollo.keystore parolasıdır ve sonraki adımlarda buna ihtiyacınız olacaktır.

3. services/_jre/bin dizinindeki DPA yükleme dizininden aşağıdaki komutu çalıştırın:

   ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS

   Not: İmzalı sertifika dosyasının (srckeystore) ve apollo.keystore'un (destkeystore) doğru konumunu belirtmeniz gerekir. Girmeniz istenenler hakkında daha fazla bilgi için aşağıdaki örneğe bakın:

   /opt/EMC/DPA/services/_jre/bin: ./keytool -importkeystore -srckeystore "/opt/emc/dpa/services/standalone/configuration/wildcard.pfx" -srcstoretype pkcs12 -destkeystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore" -deststoretype JKS
   
   Enter destination keystore password: (apollo.keystore password- check standalone.xml)
   Enter source keystore password: (alias password-owner of certificate will know this)
   Entry for alias my_alias successfully imported.
   Import command completed:1 entries successfully imported, 0 entries failed or cancelled

4. İmzalı sertifikanın doğru şekilde içe aktarıldığını doğrulamak için apollo.keystore içeriğini listeleyin:

   ./keytool -list -v -keystore "/opt/emc/dpa/services/standalone/configuration/apollo.keystore"

   (apollo.keystore parolasını girin)

   Artık apollokey girişini ve kullanıcının joker karakter takma adını (imzalı sertifikanın atanmış olduğu diğer ad ne olursa olsun) içeren yeni girişi içermelidir. Bunun bir PrivateKeyEntry olduğunu ve tam sertifika zincirini içerdiğini görmeniz gerekir.

5. Uygulama hizmetlerini yeniden başlatın ve kullanıcı arayüzünde oturum açmayı deneyin.** Hizmetleri yeniden başlatmak bir hataya neden olursa, uygulama svc'si başlatılamaz veya bu noktada kullanıcı arabirimine erişemezsiniz:

   • Application-service.conf dosyasını açın ve 'apollo.key' ifadesini arayın, diğer adın içe aktardığınız diğer ada (bu örnekte wildcardalias) güncellendiğini görmelisiniz.
   • standalone.xml bir metin düzenleyicide açın ve 'key-alias' araması yapın. İçe aktardığınız diğer adı gösteren aşağıdakine benzer bir satır görmeniz gerekir:

     key-alias="${apollo.keystore.alias:emcdpa}"

     Değilse, anahtar diğer adını imzalı sertifikayla ilişkili olanla eşleşecek şekilde değiştirmeniz gerekir. Ayrıca, şifrenin baştan sona kullandığınızla aynı olup olmadığını iki kez kontrol edin.
     Bu dosyalarda diğer adı veya parolayı değiştirmeniz gerekirse: Uygulama hizmetlerini durdurun, dosyaları düzenleyin ve kaydedin ve hizmetleri yeniden başlatın. Sorun devam ederse DPA destek ekibiyle iletişime geçin.