Оновлення сертифіката для служб шифрування Dell за допомогою наявного сертифіката в сховищі ключів Microsoft

1. Введіть Старт | Біг | ГМК.

Малюнок 56: (лише англійською мовою) Запуск MMC

2. Натисніть Файл | Додати/видалити оснастку.

Малюнок 57: (лише англійською мовою) Натисніть кнопку Додати/видалити оснастку

3. У вікні Додавання або видалення оснасток виберіть пункт Сертифікати та натисніть кнопку Додати.

Малюнок 58: (лише англійською мовою) Додавання сертифікатів

4. Виберіть перемикач Обліковий запис комп'ютера, коли з'явиться запит, і натисніть кнопку Далі.

Малюнок 59: (лише англійською мовою) Обліковий запис комп'ютера

5. Виберіть пункт Локальний комп'ютер (вибрано за замовчуванням) і натисніть кнопку Готово.

Малюнок 60: (лише англійською мовою) Локальний комп'ютер: (комп'ютер, на якому працює ця консоль)

6. У вікні Додавання та видалення оснасток натисніть кнопку OK.

Малюнок 61: (лише англійською мовою) Натисніть кнопку Ok

7. На головній консолі MMC клацніть символ плюс (+), щоб розгорнути оснастку «Сертифікат ».

Малюнок 62: (лише англійською мовою) Імпорт

8. Перейти до особистого | Область "Сертифікати".
9. Клацніть правою кнопкою миші на панелі « Сертифікати» та виберіть пункт «Усі завдання» | Імпорт, щоб запустити майстер імпорту сертифікатів.

Малюнок 63: (лише англійською мовою) Майстер імпорту сертифікатів

10. Дотримуйтеся вказівок майстра, щоб імпортувати підписаний сертифікат разом із закритим ключем. Файл сертифіката має бути у форматі контейнера, що містить сертифікат кінцевого користувача та його закритий ключ.

Малюнок 64: (лише англійською мовою) Натисніть кнопку Далі та дотримуйтеся вказівок майстра, щоб імпортувати підписаний сертифікат

11. Натисніть кнопку Огляд.

Малюнок 65: (лише англійською мовою) Натисніть кнопку Огляд

12. У діалоговому вікні Відкрити:
    1. Змініть файл на Personal Information Exchange (*.pfx, *.p12).
    2. Знайдіть і виберіть сертифікат, який потрібно імпортувати (ddpe.pfx – це сертифікат, який використовується в прикладі).
    3. Натисніть кнопку ОК.

Малюнок 66: (лише англійською мовою) Обмін особистою інформацією (*.pfx, *.p12)

13. На екрані захисту закритого ключа:
    1. За бажанням введіть пароль
    2. Поставте реєстрацію, позначте цей ключ як експортований. Це дозволяє вам створювати резервні копії або транспортувати наші ключі пізніше.
    3. Поставте реєстрацію, Включіть всі розширені властивості.
    4. Натисніть кнопку Next (Далі).

Малюнок 67: (лише англійською мовою) Захист закритого ключа

14. Установіть прапорець Розмістити всі сертифікати в наступному магазині: Personal і натисніть Next.

Малюнок 68: (лише англійською мовою) Магазин сертифікатів

15. Натисніть кнопку Finish (Готово).

Малюнок 69: (лише англійською мовою) Натисніть кнопку Готово

Експортуйте сертифікат із закритим ключем і шляхом сертифікації з консолі MMC.

1. Відкрийте меню "Пуск" і виберіть "Виконати".

Малюнок 70: (лише англійською мовою) Відкрити пробіг 

2. Введіть MMC і натисніть OK.

Малюнок 71: (лише англійською мовою) Тип MMC

3. У верхньому меню консолі MMC натисніть кнопку Файл і виберіть пункт Додати/видалити оснастку.

Малюнок 72: (лише англійською мовою) Виберіть Додати/Видалити Snap in

4. В області Доступні оснастки вікна Додавання та видалення оснасток виберіть елемент Сертифікати, а потім натисніть кнопку Додати >, щоб відкрити вікно оснастки «Сертифікати».

Малюнок 73: (лише англійською мовою) Оснастка «Відкрити сертифікат»

5. Виберіть перемикач Обліковий запис комп'ютера , а потім натисніть кнопку Наступний >.

Малюнок 74: (лише англійською мовою) Обліковий запис комп'ютера

6. Натисніть кнопку Готово , щоб закрити вікно оснастки «Сертифікати ».

Малюнок 75: (лише англійською мовою) Локальний комп'ютер (комп'ютер, на якому запущено цю консоль)

7. Натисніть кнопку OK у вікні Додавання або видалення оснастки, щоб завершити додавання оснастки.

Малюнок 76: (лише англійською мовою) Натисніть кнопку Ok

8. У вікні MMC розгорніть розділ Сертифікати (локальний комп'ютер) і папку Особиста папка. Потім виберіть папку Сертифікати .

Малюнок 77: (лише англійською мовою) Виберіть сертифікати

9. Визначте сертифікат, який потрібно експортувати. Клацніть правою кнопкою миші сертифікат, виберіть пункт Усі завдання та виберіть пункт Експорт.

Малюнок 78: (лише англійською мовою) Експорт

10. У майстрі експорту сертифікатів натисніть кнопку Next >.

Малюнок 79: (лише англійською мовою) Майстер експорту сертифікатів

11. На екрані Експорт приватного ключа виберіть перемикач Так, експортувати закритий ключ і натисніть кнопку Наступний >.

Малюнок 80: (лише англійською мовою) Експорт закритого ключа

12. На екрані Формат файлу експорту виберіть пункт Обмін особистою інформацією - PKCS #12 (. PFX), установіть прапорець Включити всі сертифікати до шляху сертифікації, якщо це можливо, і прапорець Експортувати всі розширені властивості , а потім натисніть кнопку Далі.

Малюнок 81: (лише англійською мовою) Обмін особистою інформацією - PKCS#12(. PFX)

13. Призначте файл пароль і натисніть кнопку Next >.

Малюнок 82: (лише англійською мовою) Створити пароль

14. Виберіть розташування та ім'я файлу експорту, а потім натисніть кнопку Далі.

Малюнок 83: (лише англійською мовою) Виберіть розташування та ім'я файлу експорту

15. Натисніть кнопку Готово .

Малюнок 84: (лише англійською мовою) Натисніть кнопку Готово

• Створіть папку на корені C з назвою Cert і перемістіть експортовану PFX з кроку "Експортувати сертифікат із закритим ключем і шляхом сертифікації з MMC" у цю папку.
• Візьміть копію файлу cacerts з каталогу C:\Program Files\Dell\Enterprise Edition\Security Server\Conf і скопіюйте її в папку C:\Crt.
• Отримайте ім'я псевдоніма з експортованого сертифіката.
  • Відкрийте командний рядок адміністрування.
  • З командного рядка додайте каталог Java bin до шляху. Наведена нижче команда прикладу використовує папку інсталяції за замовчуванням для папки Java bin, і, можливо, її доведеться оновити.
  • Встановити path=%path%; C:\Program Files\Dell\Java Runtime\jre1.7\bin

Малюнок 85: (лише англійською мовою) Введіть set path=%path%; C:\Program Files\Dell\Java Runtime\jre1.7\bin

• З командного рядка перейдіть до каталогу C:\Cert Folder.
• Запустіть утиліту ключового інструменту, щоб перерахувати інформацію в експортованому сертифікаті. Наступну команду потрібно оновити значеннями, які використовуються при експорті сертифіката (PFX). Після виконання команди для доступу до інформації необхідно надати пароль до експортованого сертифіката.
  • Команда:
    • keytool -list -v -keystore -storetype PKCS12
  • Параметри:
    • - Ім'я експортованого файлу сертифіката

Малюнок 86: (лише англійською мовою) Тип keytool -list -v -keystore -storetype PKCS12

• Запишіть значення після імені псевдоніма, з виводу попередньої команди.
• Імпортуйте сертифікат у файл.cacerts
  • З командного рядка, відкритого на першому кроці, запустіть утиліту ключового інструменту, щоб імпортувати експортований файл PFX у файл.cacerts Наступну команду потрібно оновити інформацією, яка збирається протягом усього процесу. Після виконання команди потрібно надати пароль до експортованого сертифіката для доступу до інформації, яку потрібно імпортувати.
  • Закрийте командний рядок.
    • Команда:
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • Параметри:
      • - Ім'я експортованого файлу сертифіката
      • - Ім'я псевдоніма, записане раніше
      • - Ім'я файлу cacerts, який оновлюється.
      • - Пароль, який захищає всю інформацію, яка зберігається у файлі cacerts. Це має відповідати значенню для cacerts alias password.
      • - Псевдонім, під яким інформація про сертифікат зберігається у файлі cacerts. Рекомендується, але не обов'язково, зробити це ddpe.
      • - Пароль, який захищає інформацію, яка зберігається у вказаному псевдонімі у файлі cacerts. Це має відповідати значенню .

Малюнок 87: (лише англійською мовою) Тип keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass

• Резервне копіювання існуючого файлу cacerts для служб Java:
  • Зупиніть кожну службу зі списку нижче. Залежно від архітектури середовища і версії сервера, яка встановлюється, всі служби в списку можуть бути відсутні.
  • Перейменуйте наявний файл cacerts на cacerts. DDMMYY, де DDMMYY – дата у двозначному форматі день, місяць і рік. Файл cacerts знаходиться в папці conf у папці встановлення служби.
    • Compliance Reporter – за промовчанням для служби Compliance Reporter використовується папка C:\Program Files\Dell\Enterprise Edition\Compliance Reporter.
    • Сервер пристроїв - За промовчанням для служби Device Server використовується C:\Program Files\Dell\Enterprise Edition\Device Server.
    • Сервер ідентифікації - За промовчанням для служби сервера ідентифікації використовується папка C:\Program Files\Dell\Enterprise Edition\Identity Server.
    • Сервер безпеки – розташування служби сервера безпеки за промовчанням – C:\Program Files\Dell\Enterprise Edition\Security Server.
    • Консольні веб-служби - Розташування консольних веб-служб за замовчуванням C:\Program Files\Dell\Enterprise Edition\Console.
    Примітка: Консольні веб-служби застаріли в Dell Security Management Server (раніше Dell Data Protection | Enterprise Edition) v9.2.
• Скопіюйте згенерований файл cacerts у папку conf для кожної служби, резервну копію якої було створено.

• Оновіть файли application.properties та eserver.properties новими значеннями cacerts.

  
  Малюнок 88: (лише англійською мовою) Оновлення application.preperties та eserver.properties

  • Відкрийте файл application.properties/eserver.properties і оновіть наведені нижче значення. Усі значення можуть не бути присутніми в одному або кількох файлах конфігурації для кожної служби. Якщо значення відсутнє, пропустіть його та оновіть решту значень, наявних у файлах.
  • eserver.keystore.password - це потрібно оновити файлом java keystore, cacerts, призначеним паролем. Значення потрібно відформатувати так, як показано в прикладі нижче.
    • eserver.keystore.password=пароль
  • keystore.password - Це потрібно оновити за допомогою java keystore password, cacerts, alias password. Значення потрібно відформатувати так, як показано в прикладі нижче.
    • keystore.password = CLR(пароль)
  • Після запуску служби значення буде зашифровано, і налаштування матиме вигляд.
    • keystore.password = ENC(зашифрований пароль)
  • keystore.alias.ssl - Це значення чутливе до регістру і має бути оновлено, щоб точно відповідати псевдоніму cacerts.
  • keystore.alias.signing - Це значення чутливе до регістру і має бути оновлено, щоб точно відповідати псевдоніму cacerts.
  • Зразки розташувань файлів і параметрів конфігурації
  • Сервер безпеки:
    • Розташування файлу application.properties
    • Налаштування Application.Properties
    • keystore.password=CLR(змінити)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Репортер з питань відповідності:

    
    Малюнок 89: (лише англійською мовою) eserver.properties

    • Розташування файлу eserver.properties
    • Налаштування eserver.properties
    • eserver.keystore.password=changeit
  • Сервер пристрою:
    • Розташування файлу application.properties

      
      Малюнок 90: (Лише англійською мовою) application.properties

      • Налаштування Application.Properties
      • keystore.password=CLR(змінити)
      • keystore.alias.ssl=ddpe
• Перезапуск служб зупинився на попередньому кроці.
• Щоб перевірити відбиток значка, перейдіть до https://server:8443/xapi/, https://server:8084/reporter і https://server:8081/xapi і виконайте наведені нижче дії для кожної URL-адреси
  • Натисніть значок замка .

    
    Малюнок 91: (лише англійською мовою) Перейти до URL-адреси сервера

  • Натисніть кнопку Перегляд сертифікатів.

    
    Малюнок 92: (лише англійською мовою) Переглянути сертифікат

  • Перейдіть на вкладку Докладно .

    
    Малюнок 93: (лише англійською мовою) Перейдіть на вкладку «Докладно»

  • Прокрутіть вниз і натисніть кнопку Відбиток пальця , щоб переглянути відбиток пальця, щоб перевірити, чи кожна служба використовує відповідний сертифікат.

    
    Малюнок 94: (лише англійською мовою) Натисніть кнопку Відбиток мініатюру

Примітка: Імпорт сертифіката DM може бути недоступний під час використання автентифікації Windows до SQL. Запустіть дію "Перевірити конфігурацію бази даних", щоб увімкнути цю опцію.

• Оновіть сертифікати служби .net за допомогою засобу конфігурації сервера.
  • Зупиніть роботу служб Core Server і Compatibility Server.
  • Запустіть засіб конфігурації сервера та виберіть пункт Налаштувати сертифікати з пункту меню Дії , який відкриє майстер сертифікатів.

    
    Малюнок 95: (лише англійською мовою) Налаштувати сертифікат

  • Натисніть кнопку Далі, потім виберіть перемикач Додатково на екрані Режим майстра сертифікатів, а потім натисніть кнопку Далі.

    
    Малюнок 96: (лише англійською мовою) Передовий

  • На екрані SSL-сертифіката сервера Core Server : Натисніть перемикач Вибрати сертифікат і натисніть кнопку Далі.

    
    Малюнок 97: (лише англійською мовою) Виберіть сертифікат

  • На екрані Select Core Server SSL Certificate (Вибрати сертифікат SSL Core Server) натисніть кнопку Browse... .
  • Потім на екрані Огляд сертифіката виберіть сертифікат, який потрібно використовувати, і натисніть кнопку OK.
  • Повернувшись на екран Select Core Server SSL Certificate , натисніть кнопку Далі.

    
    Малюнок 98: (лише англійською мовою) Виберіть Сертифікат і натисніть кнопку Далі

  • Повторіть кроки для сертифіката безпеки повідомлення.
  • Натисніть кнопку Finish (Готово).
• Оновіть сертифікат диспетчера Dell.
  • Виберіть пункт Імпортувати сертифікат DM з пункту меню Дії.

    
    Малюнок 99: (лише англійською мовою) Імпорт сертифіката DM

  • Знайдіть експортований файл PFX і натисніть кнопку Відкрити .

    
    Малюнок 100: (лише англійською мовою) Відкрийте експортований PFX файл

  • Введіть пароль до експортованого файлу PFX і натисніть кнопку OK .

    
    Малюнок 101: (лише англійською мовою) Введіть пароль

  • Закрийте засіб настроювання сервера та запустіть служби Core Server і Compatibility Server.

Під час нової інсталяції або оновлення Dell Data Protection | Шифрування 8.x Головний інсталятор може спричинити відсутність відомостей у сертифікаті, створеному для сервера безпеки. Інформація, яка може бути відсутня, може включати, але не обмежуватися ними: псевдонім сервера підписів не надає повне доменне ім'я за замовчуванням (FQDN) або сервер безпеки може взагалі не мати сертифіката сервера. У цій статті пояснюється, як вирішити цю проблему.

Повідомлення про помилку

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

Спосіб вирішення

Щоб вирішити цю проблему, лише використання ключового інструменту не створює належним чином сертифікат заміни. Виконайте наступні кроки для створення сертифіката заміни.

1. Замініть поточний файл cacerts сервера безпеки на файл cacerts , скопійований із сервера пристроїв.
2. Зупинітьслужбу сервера безпеки , якщо її запущено.
3. Перейменуйтефайл cacerts, який знаходиться в папці \Program Files\...\Security Server\conf , як резервну копію.
4. Скопіюйтефайл cacerts з папки DS \conf до папки Security Server\conf.
5. Запустітьkeytool з командного рядка та знайдіть псевдонім файлу cacerts.

6. Введітьпароль сховища ключів