Come aggiornare il certificato per i servizi Dell Encryption utilizzando un certificato esistente nell'archivio chiavi Microsoft

1. Inserire Start | Esegui | MMC.

Figura 56. Esecuzione di MMC (solo in inglese)

2. Cliccare su File | Aggiungi/Rimuovi snap-in.

Figura 57. Cliccare su Aggiungi/Rimuovi snap-in (solo in inglese)

3. Nella finestra Aggiungi o rimuovi snap-in selezionare Certificati e cliccare su Aggiungi.

Figura 58. Aggiunta di certificati (solo in inglese)

4. Selezionare il pulsante di opzione Account del computer quando richiesto e cliccare su Avanti.

Figura 59. Account del computer (solo in inglese)

5. Selezionare Computer locale (impostazione predefinita) e cliccare su Fine.

Figura 60. Computer locale: (il computer su cui è in esecuzione questa console) (solo in inglese)

6. Nella finestra Aggiungi o rimuovi snap-in cliccare su OK.

Figura 61. Selezione di OK (solo in inglese)

7. Nella console principale di MMC cliccare sul segno più (+) per espandere lo snap-in Certificati.

Figura 62. Importa (solo in inglese)

8. Vai a Personal | Riquadro Certificati .
9. Cliccare con il pulsante destro del mouse all'interno del pannello Certificati e scegliere Tutte le attività | Importa per avviare l'Importazione guidata certificati.

Figura 63. Importazione guidata certificati (solo in inglese)

10. Seguire la procedura guidata per importare il certificato firmato insieme alla chiave privata. Il file di certificato deve essere in un formato container con il certificato dell'utente finale e la relativa chiave privata.

Figura 64. (solo in inglese) Cliccare su Avanti e seguire la procedura guidata per importare il certificato firmato

11. Cliccare su Sfoglia.

Figura 65. Cliccare su Sfoglia (solo in inglese)

12. Nella finestra di dialogo Apri:
    1. Modificare il file in Personal Information Exchange (*.pfx, *.p12).
    2. Individuare e selezionare il certificato che si desidera importare (ddpe.pfx è il certificato utilizzato nell'esempio).
    3. Cliccare su OK.

Figura 66. Personal Information Exchange (*.pfx, *.p12) (solo in inglese)

13. Nella schermata Protezione della chiave privata:
    1. Opzionalmente, inserire una password.
    2. Selezionare la casella di controllo Contrassegna la chiave come esportabile. Questa opzione consente di eseguire il backup o di trasportare le chiavi in un secondo momento.
    3. Selezionare la casella di controllo Includi tutte le proprietà estese.
    4. Cliccare su Next.

Figura 67. Protezione della chiave privata (solo in inglese)

14. Selezionare Colloca tutti i certificati nel seguente archivio: Personale e cliccare su Avanti.

Figura 68. Archivio certificati (solo in inglese)

15. Cliccare su Finish.

Figura 69. Cliccare su Finish (solo in inglese)

Esportare il certificato con la chiave privata e il percorso di certificazione da MMC.

1. Aprire il menu Start e selezionare Esegui.

Figura 70. Apertura di Esegui (solo in inglese) 

2. Digitare MMC e premere OK.

Figura 71. Digitazione di MMC (solo in inglese)

3. Cliccare su File nel menu superiore di MMC e selezionare Aggiungi/Rimuovi snap-in.

Figura 72. Selezione di Aggiungi/Rimuovi snap-in (solo in inglese)

4. Nel riquadro Snap-in disponibili della finestra Aggiungi o rimuovi snap-in selezionare Certificati e cliccare sul pulsante Aggiungi > per aprire la finestra Snap-in certificati.

Figura 73. Apertura di Snap-in certificati (solo in inglese)

5. Selezionare il pulsante di opzione Account del computer e cliccare sul pulsante Avanti >.

Figura 74. Account del computer (solo in inglese)

6. Cliccare sul pulsante Fine per chiudere la finestra Snap-in certificati.

Figura 75. Computer locale (il computer su cui è in esecuzione questa console) (solo in inglese)

7. Cliccare su OK nella finestra Aggiungi o rimuovi snap-in per completare l'aggiunta dello snap-in.

Figura 76. Selezione di OK (solo in inglese)

8. Nella finestra MMC espandere Certificati (computer locale) e la cartella Personale. Selezionare la cartella Certificati.

Figura 77. Selezione di Certificati (solo in inglese)

9. Determinare il certificato che si desidera esportare. Cliccare con il pulsante destro del mouse sul certificato, scegliere Tutte le attività e quindi Esporta.

Figura 78. Esporta (solo in inglese)

10. In Esportazione guidata certificati cliccare sul pulsante Avanti >.

Figura 79. Esportazione guidata certificati (solo in inglese)

11. Nella schermata Esportazione della chiave privata selezionare il pulsante di opzione Sì, esporta la chiave privata e cliccare sul pulsante Avanti >.

Figura 80. Esportazione della chiave privata (solo in inglese)

12. Nella schermata Formato file di esportazione selezionare il pulsante di opzione Scambio di informazioni personali - PKCS #12 (*.PFX), selezionare Se possibile, includi tutti i certificati nel percorso di certificazione e la casella di controllo Esporta tutte le proprietà estese, quindi cliccare su Avanti.

Figura 81. Scambio di informazioni personali - PKCS #12 (*.PFX) (solo in inglese)

13. Assegnare una password al file e cliccare sul pulsante Avanti >.

Figura 82. Creazione della password (solo in inglese)

14. Scegliere la posizione e il nome del file di esportazione, quindi cliccare su Avanti.

Figura 83. (solo in inglese) Scegliere la posizione e il nome del file di export

15. Cliccare su Finish.

Figura 84. Cliccare su Finish (solo in inglese)

• Creare una cartella nella radice di C denominata Cert e spostare il PFX esportato dal passaggio "Esportare il certificato con la chiave privata e il percorso di certificazione da MMC" in questa cartella.
• Copiare il file dell'autorità di certificazione dalla directory C:\Program Files\Dell\Enterprise Edition\Security Server\Conf e copiarlo nella cartella C:\Cert.
• Ottenere il nome alias dal certificato esportato.
  • Aprire un prompt dei comandi con privilegi da amministratore.
  • Dal prompt dei comandi aggiungere la directory bin Java al percorso. Il comando di esempio seguente utilizza la cartella di installazione predefinita per la cartella bin Java e potrebbe essere necessario aggiornarla.
  • Digitare set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

Figura 85. Digitazione di set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin (solo in inglese)

• Dal prompt dei comandi passare alla directory C:\Cert.
• Eseguire l'utilità key tool per elencare le informazioni nel certificato esportato. Il comando seguente deve essere aggiornato con i valori utilizzati durante l'esportazione del certificato (PFX). Dopo l'esecuzione del comando, è necessario fornire la password per il certificato esportato per accedere alle informazioni.
  • Comando:
    • keytool -list -v -keystore -storetype PKCS12
  • Parametri:
    • : nome del file di certificato esportato.

Figura 86. Digitare keytool -list -v -keystore -storetype PKCS12 (solo in inglese)

• Registrare il valore dopo il nome dell'alias dall'output del comando precedente.
• Importare il certificato nel file cacerts.
  • Dal prompt dei comandi aperto nel primo passaggio eseguire l'utilità key tool per importare il file PFX esportato in un file cacerts. Il comando seguente deve essere aggiornato con le informazioni raccolte finora nel corso del processo. Dopo l'esecuzione del comando, è necessario fornire la password per il certificato esportato per accedere alle informazioni da importare.
  • Chiudere la finestra del prompt dei comandi.
    • Comando:
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • Parametri:
      • : nome del file di certificato esportato.
      • : nome dell'alias registrato in precedenza.
      • : nome del file cacerts aggiornato.
      • : password che protegge tutte le informazioni archiviate nel file cacerts. Deve corrispondere al valore della password dell'alias cacerts.
      • : alias in cui vengono archiviate le informazioni sul certificato nel file cacerts. Il valore consigliabile, ma non necessario, è ddpe.
      • : password che protegge le informazioni archiviate nell'alias specificato nel file cacerts. Deve corrispondere al valore di .

Figura 87. Digitare keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass (solo in inglese)

• Eseguire il backup del file cacerts esistente per i servizi Java:
  • Arrestare ogni servizio dall'elenco riportato di seguito. A seconda dell'architettura dell'ambiente e della versione del server installata, tutti i servizi nell'elenco potrebbero non essere presenti.
  • Rinominare il file cacerts esistente in cacerts. GGMMAA, dove GGMMAA è la data in formato giorno, mese e anno a due cifre. Il file cacerts si trova nella cartella conf all'interno della cartella di installazione dei servizi.
    • Compliance Reporter: il percorso predefinito per il servizio Compliance Reporter è C:\Program Files\Dell\Enterprise Edition\Compliance Reporter.
    • Device Server: il percorso predefinito per il servizio Device Server è C:\Program Files\Dell\Enterprise Edition\Device Server.
    • Identity Server: il percorso predefinito per il servizio Identity Server è C:\Program Files\Dell\Enterprise Edition\Identity Server.
    • Security Server: il percorso predefinito per il servizio Security Server è C:\Program Files\Dell\Enterprise Edition\Security Server.
    • Console Web Services: il percorso predefinito per Console Web Services è C:\Program Files\Dell\Enterprise Edition\Console.
    Nota: Console Web Services è obsoleto in Dell Security Management Server (in precedenza Dell Data Protection | Enterprise Edition) v9.2.
• Copiare il file cacerts generato nella cartella conf per ogni servizio di cui è stato eseguito il backup.

• Aggiornare i file application.properties ed eserver.properties con i nuovi valori cacerts.

  
  Figura 88. Aggiornamento dei file application.properties ed eserver.properties (solo in inglese)

  • Aprire il file application.properties/eserver.properties e aggiornare i seguenti valori. Potrebbero non essere presenti tutti i valori in uno o più file di configurazione per ogni servizio. Se non è presente un valore, ignorarlo e aggiornare i valori rimanenti presenti nei file.
  • eserver.keystore.password: deve essere aggiornato con il file Java keystore, il file cacerts e la password assegnata. Il valore deve essere nel formato dell'esempio riportato di seguito.
    • eserver.keystore.password=password
  • keystore.password: deve essere aggiornato con la password dell'archivio chiavi Java, il file cacerts e la password dell'alias. Il valore deve essere nel formato dell'esempio riportato di seguito.
    • keystore.password = CLR(password)
  • Una volta avviato il servizio, il valore viene crittografato e l'impostazione ha un aspetto simile al seguente:
    • keystore.password = ENC(password crittografata)
  • keystore.alias.ssl: questo valore rileva la corrispondenza tra maiuscole e minuscole e deve essere aggiornato in modo che corrisponda esattamente all'alias cacerts.
  • keystore.alias.signing: questo valore rileva la corrispondenza tra maiuscole e minuscole e deve essere aggiornato in modo che corrisponda esattamente all'alias cacerts.
  • Percorsi di file e impostazioni di configurazione di esempio
  • Security Server:
    • application.properties file location
    • application.properties settings
    • keystore.password=CLR(changeit)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Compliance Reporter:

    
    Figura 89. eserver.properties (solo in inglese)

    • eserver.properties file location
    • eserver.properties settings
    • eserver.keystore.password=changeit
  • Device Server:
    • application.properties file location

      
      Figura 90. application.properties (solo in inglese)

      • application.properties settings
      • keystore.password=CLR(changeit)
      • keystore.alias.ssl=ddpe
• Riavviare i servizi interrotti nel passaggio precedente.
• Verificare l'identificazione personale passando a https://server:8443/xapi/, https://server:8084/reporter e https://server:8081/xapi ed effettuando le seguenti operazioni per ciascun URL.
  • Cliccare sull'icona a forma di lucchetto.

    
    Figura 91. Accesso all'URL del server (solo in inglese)

  • Cliccare su Visualizza certificati.

    
    Figura 92. Visualizza certificati (solo in inglese)

  • Cliccare sulla scheda Dettagli.

    
    Figura 93. (solo in inglese) Fare clic sulla scheda Dettagli

  • Scorrere verso il basso e cliccare su Identificazione personale per visualizzare l'identificazione personale per verificare che ogni servizio utilizzi il certificato corretto.

    
    Figura 94. Selezione di Identificazione personale (solo in inglese)

Nota: L'importazione del certificato DM potrebbe non essere disponibile quando si utilizza l'autenticazione di Windows in SQL. Eseguire l'azione "Test Database Configuration" per abilitare l'opzione.

• Aggiornare i certificati dei servizi .NET utilizzando Server Configuration Tool.
  • Arrestare i servizi Core Server e Compatibility Server.
  • Avviare Server Configuration Tool e selezionare Configure Certificates dalla voce di menu Actions che apre Certificate Wizard.

    
    Figura 95. Configure Certificates (solo in inglese)

  • Cliccare sul pulsante Next, quindi selezionare il pulsante di opzione Advanced nella schermata Certificate Wizard Mode e cliccare su Next.

    
    Figura 96. Advanced (solo in inglese)

  • Nella schermata Core Server SSL Certificate: Selezionare il pulsante di comando Select Certificate e cliccare su Next.

    
    Figura 97. Select Certificate (solo in inglese)

  • Nella schermata Select Core Server SSL Certificate cliccare sul pulsante Browse...
  • Nella schermata Browse For Certificate selezionare il certificato da utilizzare e cliccare su OK.
  • Una volta visualizzata nuovamente la schermata Select Core Server SSL Certificate cliccare su Next.

    
    Figura 98. Selezione del certificato e di Next (solo in inglese)

  • Ripetere la procedura per il certificato di sicurezza dei messaggi.
  • Cliccare su Finish.
• Aggiornare il certificato Dell Manager.
  • Selezionare Import DM Certificate dalla voce di menu Actions.

    
    Figura 99. Import DM Certificate (solo in inglese)

  • Individuare il file PFX esportato e cliccare sul pulsante Open.

    
    Figura 100. Apertura del file PFX esportato (solo in inglese)

  • Inserire la password nel file PFX esportato e cliccare sul pulsante OK.

    
    Figura 101. Inserimento della password (solo in inglese)

  • Chiudere Server Configuration Tool e avviare i servizi Core Server e Compatibility Server.

Durante una nuova installazione o un aggiornamento di Dell Data Protection | Encryption 8.x, il programma di installazione principale può causare un problema di informazioni mancanti nel certificato generato per Security Server. Le informazioni potenzialmente mancanti possono includere, a titolo esemplificativo: l'alias per il server di firma che non fornisce il nome di dominio completo predefinito o Security Server che potrebbe non disporre di un certificato server. Questo articolo illustra come risolvere il problema.

Messaggio di errore

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

Soluzione alternativa

Per risolvere questo problema, l'utilizzo di keytool da solo non genera un certificato sostitutivo. Effettuare le seguenti operazioni per generare il certificato sostitutivo.

1. Sostituire il file cacerts di Security Server corrente con un file cacerts copiato da Device Server.
2. Arrestare il servizio Security Server se in esecuzione.
3. Rinominare il file cacerts disponibile nella cartella \Program Files\…\Security Server\conf in backup.
4. Copiare il file cacerts dalla cartella DS\conf nella cartella Security Server\conf.
5. Eseguire keytool da un prompt dei comandi e individuare l'alias per il file cacerts.

6. Immettere la password del keystore