Cómo actualizar el certificado para los servicios Dell Encryption mediante un certificado existente en el almacenamiento de claves de Microsoft

1. Ingrese a Start | Run | MMC.

Figura 56: (Solo en inglés) Ejecute MMC

2. Haga clic en File | Add/Remove Snap-in.

Figura 57: (Solo en inglés) Hacer clic en Agregar o quitar complemento

3. En la ventana Add or Remove Snap-ins, seleccione Certificates y haga clic en Add.

Figura 58: (Solo en inglés) Agregar certificados

4. Seleccione el botón de opción Computer account cuando se le solicite y haga clic en Next.

Figura 59: (Solo en inglés) Computer account

5. Seleccione Local computer (seleccionado de manera predeterminada) y haga clic en Finish.

Figura 60: (Solo en inglés) Local computer (la computadora en que está en ejecución esta consola)

6. En la ventana Add or Remove Snap-ins, haga clic en OK.

Figura 61: (Solo en inglés) Haga clic en OK

7. En la consola principal de MMC, haga clic en el símbolo más (+) para expandir el complemento Certificate.

Figura 62: (Solo en inglés) Import

8. Vaya a Personal | Panel Certificados .
9. Haga clic con el botón secundario en el panel Certificates y haga clic en All Tasks | Import para iniciar el Certificate Import Wizard.

Figura 63: (Solo en inglés) Certificate Import Wizard

10. Siga las indicaciones del asistente para importar el certificado firmado junto con la clave privada. El archivo de certificado debe estar en un formato de contenedor que tenga el certificado del usuario final y su clave privada.

Figura 64: (Solo en inglés) Haga clic en Siguiente y siga el asistente para importar el certificado firmado

11. Haga clic en Browse (Examinar).

Figura 65: (Solo en inglés) Hacer clic en Examinar

12. En el cuadro de diálogo Open:
    1. Cambie el archivo a Intercambio de información personal (*.pfx, *.p12).
    2. Busque y seleccione el certificado que desea importar (ddpe.pfx es el certificado que se utiliza en el ejemplo).
    3. Haga clic en Aceptar.

Figura 66: (Solo en inglés) Personal Information Exchange (*.pfx, *.p12)

13. En la pantalla Private key protection:
    1. De manera opcional, ingrese una contraseña
    2. Coloque una marca de verificación en Mark this key as exportable. Esto le permite respaldar o transportar nuestras claves más adelante.
    3. Coloque una marca de verificación en Include all extended properties.
    4. Haga clic en Next (Siguiente).

Figura 67: (Solo en inglés) Private key protection

14. Seleccione Place all certificates in the following store: Personal y haga clic en Next.

Figura 68: (Solo en inglés) Almacén de certificados

15. Haga clic en Finish.

Figura 69: (Solo en inglés) Haga clic en Finalizar

Exportar el certificado con la clave privada y la ruta de certificación desde MMC.

1. Abra el menú Inicio y seleccione Run.

Figura 70: (Solo en inglés) Abra Run 

2. Escriba MMC y presione Aceptar.

Figura 71: (Solo en inglés) Escriba MMC

3. Haga clic en File en el menú superior de MMC y seleccione Add/Remove Snap-in.

Figura 72: (Solo en inglés) Seleccione Add/Remove Snap in

4. En el panel Available snap-ins de la ventana Add or Remove Snap-ins, seleccione Certificates y luego haga clic en el botón Add > que abre la ventana Certificates snap-in.

Figura 73: (Solo en inglés) Abra Certificate snap-in

5. Seleccione el botón de opción Computer Account y luego haga clic en el botón Next >.

Figura 74: (Solo en inglés) Computer account

6. Haga clic en el botón Finish para cerrar la ventana Certificates snap-in.

Figura 75: (Solo en inglés) Local Computer (la computadora en la que se ejecuta esta consola)

7. Haga clic en OK en la ventana Add or Remove Snap-ins para terminar de agregar la instantánea.

Figura 76: (Solo en inglés) Haga clic en OK

8. En la ventana MMC, expanda Certificates (Local Computer) y la carpeta Personal. Luego seleccione la carpeta Certificates.

Figura 77: (Solo en inglés) Select Certificates

9. Determine el certificado que desea exportar. Haga clic con el botón secundario en el certificado, seleccione All Tasks y luego Export.

Figura 78: (Solo en inglés) Export

10. En el Certificate Export Wizard, haga clic en el botón Next >.

Figura 79: (Solo en inglés) Certificate Export Wizard

11. En la pantalla Export Private Key, seleccione el botón de opción Yes, export the private key y haga clic en el botón Next >.

Figura 80: (Solo en inglés) Export Private Key

12. En la pantalla Export File Format, seleccione el botón de opción Personal Information Exchange - PKCS #12 (.PFX) y marque la casilla de verificación Include all certificates in the certification path if possible y la casilla de verificación Export all extended properties y, luego, haga clic en Next.

Figura 81: (Solo en inglés) Personal Information Exchange - PKCS#12(.PFX)

13. Asigne una contraseña al archivo y haga clic en el botón Next >.

Figura 82: (Solo en inglés) Create password

14. Seleccione la ubicación y el nombre del archivo de exportación y luego haga clic en Next.

Figura 83: (Solo en inglés) Elija la ubicación y el nombre del archivo de exportación

15. Haga clic en el botón Finalizar.

Figura 84: (Solo en inglés) Haga clic en Finalizar

• Cree una carpeta en la raíz del disco C llamada “Cert” y mueva el archivo PFX exportado en el paso “Export the certificate with the private key and certification path from the MMC” a esta carpeta.
• Tome una copia del archivo cacerts del directorio C:\Program Files\Dell\Enterprise Edition\Security Server\Conf y cópielo en la carpeta C:\Cert.
• Obtenga el nombre de alias del certificado exportado.
  • Abra un símbolo del sistema administrativo.
  • En el símbolo del sistema, agregue el directorio bin de Java a la ruta. El siguiente comando de ejemplo utiliza la carpeta de instalación predeterminada para la carpeta bin de Java y es posible que deba actualizarse.
  • Set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

Figura 85: (Solo en inglés) Escriba set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

• En el símbolo del sistema, vaya a la carpeta C:\Cert del directorio.
• Ejecute la utilidad de la herramienta de claves para enumerar la información del certificado exportado. El siguiente comando se debe actualizar con los valores utilizados para exportar el certificado (PFX). Una vez que se ejecuta el comando, se debe proporcionar la contraseña del certificado exportado para acceder a la información.
  • Comando:
    • keytool -list -v -keystore -storetype PKCS12
  • Parámetros:
    • : el nombre del archivo de certificado exportado.

Figura 86: (Solo en inglés) Escribir keytool -list -v -keystore -storetype PKCS12

• Registre el valor después del nombre de alias, a partir del resultado del comando anterior.
• Importe el certificado al archivo cacerts.
  • En el símbolo del sistema abierto en el primer paso, ejecute la utilidad de herramienta de claves para importar el archivo PFX exportado a un archivo cacerts. El siguiente comando se debe actualizar con la información recopilada durante todo el proceso hasta el momento. Una vez que se ejecuta el comando, se debe proporcionar la contraseña del certificado exportado para acceder a la información que se va a importar.
  • Cierre el símbolo del sistema.
    • Comando:
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • Parámetros:
      • : el nombre del archivo de certificado exportado.
      • : el nombre del alias registrado anteriormente.
      • : el nombre de archivo del archivo cacerts que se actualiza.
      • : la contraseña que protege toda la información almacenada en el archivo cacerts. Debe coincidir con el valor de la contraseña del alias de cacerts.
      • : el alias con el cual se almacena la información del certificado en el archivo cacerts. Se recomienda, aunque no es necesario, hacer esto ddpe.
      • : la contraseña que protege la información almacenada en el alias especificado en el archivo cacerts. Debe coincidir con el valor de .

Figura 87: (Solo en inglés) Escribir keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass

• Respalde el archivo cacerts existente de los servicios de Java:
  • Detenga todos los servicios de la siguiente lista. Según la arquitectura del ambiente y la versión del servidor instalada, es posible que no estén presentes todos los servicios de la lista.
  • Cambie el nombre del archivo cacerts existente a cacerts. DDMMYY, donde DDMMYY es la fecha en formato de día, mes y año de dos dígitos. El archivo cacerts se encuentra en la carpeta conf dentro de la carpeta de instalación del servicio.
    • Compliance Reporter: la ubicación predeterminada del servicio Compliance Reporter es C:\Program Files\Dell\Enterprise Edition\Compliance Reporter.
    • Device Server: la ubicación predeterminada del servicio Device Server es C:\Program Files\Dell\Enterprise Edition\Device Server.
    • Identity Server: la ubicación predeterminada del servicio Identity Server es C:\Program Files\Dell\Enterprise Edition\Identity Server.
    • Security Server: la ubicación predeterminada del servicio Security Server es C:\Program Files\Dell\Enterprise Edition\Security Server.
    • Console Web Services: la ubicación predeterminada de Console Web Services es C:\Program Files\Dell\Enterprise Edition\Console.
    Nota: Console Web Services quedó obsoleto en Dell Security Management Server (anteriormente Dell Data Protection | Enterprise Edition) v9.2.
• Copie el archivo cacerts generado en la carpeta Conf de cada servicio que se respaldó.

• Actualice los archivos application.properties y eserver.properties con los nuevos valores de cacerts.

  
  Figura 88: (Solo en inglés) Actualice application.preperties y eserver.properties

  • Abra el archivo application.properties/eserver.properties y actualice los siguientes valores. Es posible que no todos los valores estén presentes en uno o más archivos de configuración de cada servicio. Si no hay un valor presente, omítalo y actualice los valores restantes presentes en los archivos.
  • eserver.keystore.password: se debe actualizar con la contraseña asignada del archivo de almacenamiento de claves de Java, cacerts. El valor debe tener un formato como el siguiente ejemplo.
    • eserver.keystore.password=password
  • keystore.password: se debe actualizar con la contraseña del almacenamiento de claves de Java, cacerts y contraseña de alias. El valor debe tener un formato como el siguiente ejemplo.
    • keystore.password = CLR(password)
  • Una vez que se inicia el servicio, el valor se cifra y la configuración se ve de la siguiente manera.
    • keystore.password = ENC(encrypted password)
  • keystore.alias.ssl: este valor distingue mayúsculas de minúsculas y se debe actualizar para que coincida exactamente con el alias de cacerts.
  • keystore.alias.signing:: este valor distingue mayúsculas de minúsculas y se debe actualizar para que coincida exactamente con el alias de cacerts.
  • Ejemplos de ubicaciones de archivos y ajustes de configuración
  • Security Server:
    • ubicación del archivo application.properties
    • ajustes de application.properties
    • keystore.password=CLR(changeit)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Compliance Reporter:

    
    Figura 89: (Solo en inglés) eserver.properties

    • ubicación del archivo eserver.properties
    • ajustes de eserver.properties
    • eserver.keystore.password=changeit
  • Device Server:
    • ubicación del archivo application.properties

      
      Figura 90: (Solo en inglés) application.properties

      • ajustes de application.properties
      • keystore.password=CLR(changeit)
      • keystore.alias.ssl=ddpe
• Reinicie los servicios detenidos en el paso anterior.
• Valide la huella digital yendo a https://server:8443/xapi/, https://server:8084/reporter y https://server:8081/xapi y realice los siguientes pasos para cada URL.
  • Haga clic en el icono de bloqueo.

    
    Figura 91: (Solo en inglés) Vaya a la URL del servidor

  • Haga clic en View Certificates.

    
    Figura 92: (Solo en inglés) View Certificate

  • Haga clic en la ficha Detalles.

    
    Figura 93: (Solo en inglés) Haga clic en la pestaña Detalles

  • Desplácese hacia abajo y haga clic en Thumbprint para ver la huella digital a fin de validar que cada servicio esté utilizando el certificado adecuado.

    
    Figura 94: (Solo en inglés) Haga clic en Thumbprint

Nota: Es posible que la importación del certificado dm no esté disponible cuando se utiliza la autenticación de Windows en SQL. Ejecute la acción de “Test Database Configuration” para habilitar la opción.

• Actualice los certificados de servicio.net mediante Server Configuration Tool.
  • Detenga los servicios de Core Server y Compatibility Server.
  • Inicie Server Configuration Tool y seleccione Configure Certificates en el elemento de menú Actions que abre el Certificate Wizard.

    
    Figura 95: (Solo en inglés) Configure Certificates

  • Haga clic en el botón Next, seleccione el botón de opción Advanced en la pantalla Certificate Wizard Mode y luego haga clic en Next.

    
    Figura 96: (Solo en inglés) Advanced

  • En la pantalla Core Server SSL Certificate: Seleccione el botón de opción Select Certificate y luego haga clic en Next.

    
    Figura 97: (Solo en inglés) Select Certificate

  • En la pantalla Select Core Server SSL Certificate, haga clic en el botón Browse….
  • A continuación, en la pantalla Browse For Certificate, seleccione el certificado que desea utilizar y haga clic en OK.
  • Una vez que vuelva a la pantalla Select Core Server SSL Certificate, haga clic en Next.

    
    Figura 98: (Solo en inglés) Seleccione Certificate y haga clic en Next

  • Repita los pasos para el certificado de seguridad de mensajes.
  • Haga clic en Finish.
• Actualice el certificado de Dell Manager.
  • Seleccione Import DM Certificate en el elemento de menú Actions.

    
    Figura 99: (Solo en inglés) Import DM Certificate

  • Busque el archivo PFX exportado y haga clic en el botón Open.

    
    Figura 100: (Solo en inglés) Abra el archivo PFX exportado

  • Ingrese la contraseña en el archivo PFX exportado y haga clic en el botón OK.

    
    Figura 101: (Solo en inglés) Ingresar contraseña

  • Cierre Server Configuration Tool e inicie los servicios Core Server y Compatibility Server.

Durante una nueva instalación o actualización de Dell Data Protection | Encryption 8.x el instalador maestro puede provocar que el certificado que se genera para Security Server no tenga información. La información que puede faltar puede incluir, entre otros: el alias del servidor de firma no proporciona el nombre de dominio completo (FQDN) predeterminado o es posible que Security Server no tenga ningún certificado de servidor. En este artículo, se indica cómo solucionar este problema.

Mensaje de error

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

Solución alternativa

Para solucionar este problema, el uso de keytool por sí solo no genera correctamente un certificado de reemplazo. Realice los siguientes pasos para generar el certificado de reemplazo.

1. Reemplace el archivo actual cacerts de Security Server por un archivo cacerts copiado de Device Server.
2. Detenga el servicio Security Server si se está ejecutando.
3. Cambie el nombre del archivo cacerts que se encuentra en la carpeta \Program Files\…\Security Server\conf a backup.
4. Copie el archivo cacerts de la carpeta DS\conf en la carpeta Security Server\conf.
5. Ejecute keytool desde el símbolo del sistema y busque el alias del archivo cacerts.

6. Ingrese la contraseña del almacenamiento de claves