Sådan opdaterer du certifikatet for Dell Encryption Services ved hjælp af et eksisterende certifikat i Microsoft-nøglelageret

1. Indtast Start | Kør | MMC.

Figur 56: (Kun på engelsk) Kør MMC

2. Klik på Fil | Tilføj/fjern Snap-in.

Figur 57: (Kun på engelsk) Klik på Tilføj/fjern Snap-in

3. I vinduet Tilføj eller fjern Snap-ins skal du vælge Certifikater og klikke på Tilføj.

Figur 58: (Kun på engelsk) Tilføj certifikater

4. Vælg alternativknappen computerkonto , når du bliver bedt om det, og klik på Næste.

Figur 59: (Kun på engelsk) Computerkonto

5. Vælg Lokal computer (valgt som standard), og klik på Udfør.

Figur 60: (Kun på engelsk) Lokal computer: (computeren, som denne konsol kører på)

6. Klik på OKi vinduet Tilføj eller fjern Snap-ins.

Figur 61: (Kun på engelsk) Klik på OK

7. I MMC-hovedkonsollen skal du klikke på plussymbolet (+) for at udvide certifikat-snap-in.

Figur 62: (Kun på engelsk) Importere

8. Gå til Den personlige | Certifikatruden .
9. Højreklik i panelet Certifikater, og klik på Alle opgaver | Importér for at starte guiden Certifikatimport.

Figur 63: (Kun på engelsk) Guiden Certifikatimport

10. Følg guiden for at importere det signerede certifikat sammen med den private nøgle. Certifikatfilen skal være i et objektbeholderformat med både slutbrugercertifikatet og dets private nøgle.

Figur 64: (Kun på engelsk) Klik på Næste, og følg guiden for at importere det signerede certifikat

11. Klik på Gennemse.

Figur 65: (Kun på engelsk) Klik på Gennemse

12. I dialogboksen Åbn:
    1. Skift filen til Personal Information Exchange (*.pfx, *.p12).
    2. Gå til og vælg det certifikat, du vil importere (ddpe.pfx er det certifikat, der bruges i eksemplet).
    3. Klik på OK.

Figur 66: (Kun på engelsk) Personal Information Exchange (*.pfx, *.p12)

13. På skærmbilledet Beskyttelse af privat nøgle:
    1. Du kan også indtaste en adgangskode
    2. Sæt en check-in, marker denne nøgle som eksporterbar. Det giver dig mulighed for at sikkerhedskopiere eller transportere vores nøgler senere.
    3. Sæt en check-in, medtag alle udvidede egenskaber.
    4. Klik på Næste.

Figur 67: (Kun på engelsk) Beskyttelse af privat nøgle

14. Kontroller , at alle certifikater skal placeres i følgende lager: Personlig, og klik på Næste.

Figur 68: (Kun på engelsk) Certifikatlageret

15. Klik på Udfør.

Figur 69: (Kun på engelsk) Klik på Afslut

Eksporter certifikatet med den private nøgle og certificeringsstien fra MMC.

1. Åbn menuen Start, og vælg Kør.

Figur 70: (Kun på engelsk) Åbn Kør 

2. Skriv MMC, og tryk på OK.

Figur 71: (Kun på engelsk) Skriv MMC

3. Klik på Fil i den øverste menu i MMC, og vælg Tilføj/fjern Snap-in.

Figur 72: (Kun på engelsk) Vælg Tilføj/fjern snap ind

4. I ruden Tilgængelige snap-ins i vinduet Tilføj eller fjern Snap-ins skal du vælge Certifikater og derefter klikke på knappen Tilføj >, som åbner vinduet til snap-in af certifikater .

Figur 73: (Kun på engelsk) Åbn certifikat snap-in

5. Vælg alternativknappen Computerkonto , og klik derefter på knappen Næste >.

Figur 74: (Kun på engelsk) Computerkonto

6. Klik på knappen Afslut for at lukke vinduet Certifikater snap-in .

Figur 75: (Kun på engelsk) Lokal computer (den computer, som denne konsol kører på)

7. Klik på OK i vinduet Tilføj eller fjern Snap-ins for at afslutte tilføjelsen af snap-in.

Figur 76: (Kun på engelsk) Klik på OK

8. I MMC-vinduet skal du udvide Certifikater (lokal computer) og den personlige mappe. Vælg derefter mappen Certifikater .

Figur 77: (Kun på engelsk) Vælg certifikater

9. Bestem det certifikat, du vil eksportere. Højreklik på certifikatet, vælg Alle opgaver , og vælg Eksporter.

Figur 78: (Kun på engelsk) Eksport

10. I guiden Certifikateksport skal du klikke på knappen Næste >.

Figur 79: (Kun på engelsk) Guide til certifikateksport

11. På skærmbilledet Eksporter privat nøgle skal du vælge Ja, eksportere alternativknappen for den private nøgle og klikke på knappen Næste >.

Figur 80: (Kun på engelsk) Eksporter privat nøgle

12. På skærmbilledet Eksporter filformat skal du vælge Personal Information Exchange - PKCS #12 (. PFX) alternativknap, marker afkrydsningsfeltet Medtag alle certifikater i certificeringsstien, hvis det er muligt, og afkrydsningsfeltet Eksporter alle udvidede egenskaber , og klik derefter på Næste.

Figur 81: (Kun på engelsk) Udskiftning af personlige oplysninger – PKCS#12 (. PFX)

13. Tildel filen en adgangskode, og klik på knappen Næste >.

Figur 82: (Kun på engelsk) Opret adgangskode

14. Vælg placeringen og navnet på eksportfilen, og klik derefter på Næste.

Figur 83: (Kun på engelsk) Vælg placeringen og navnet på eksportfilen

15. Klik på knappen Afslut .

Figur 84: (Kun på engelsk) Klik på Afslut

• Opret en mappe i roden af C kaldet Cert, og flyt den eksporterede PFX fra trinnet "Eksporter certifikatet med den private nøgle og certificeringsstien fra MMC" til denne mappe.
• Tag en kopi af cacerts-filen fra mappen C:\Program Files\Dell\Enterprise Edition\Security Server\Conf, og kopiér den til mappen C:\Cert.
• Hent aliasnavnet fra det eksporterede certifikat.
  • Åbn en administrativ kommandoprompt.
  • Fra kommandoprompten skal du føje Java-bin-mappen til stien. Følgende eksempel bruges af standardinstallationsmappen til Java-bin-mappen og skal muligvis opdateres.
  • Angiv sti=%path%; C:\Program Files\Dell\Java Runtime\jre1.7\bin

Figur 85: (Kun på engelsk) Skriv set path=%path%; C:\Program Files\Dell\Java Runtime\jre1.7\bin

• Fra kommandoprompten skal du gå til mappen C:\Cert.
• Kør nøgleværktøjet for at få vist oplysningerne i det eksporterede certifikat. Følgende kommando skal opdateres med de værdier, der bruges ved eksport af certifikatet (PFX). Når kommandoen er kørt, skal adgangskoden til det eksporterede certifikat angives for at få adgang til oplysningerne.
  • Kommando:
    • keytool -list -v -keystore -storetype PKCS12
  • Parametre:
    • – Navnet på den eksporterede certifikatfil

Figur 86: (Kun på engelsk) Type keytool -list -v -keystore -storetype PKCS12

• Registrer værdien efter aliasnavn fra outputtet fra den forrige kommando.
• Importer certifikatet til cacerts filen.
  • Fra den kommandoprompt, der blev åbnet i første trin, skal du køre nøgleværktøjet for at importere den eksporterede PFX-fil til en cacerts fil. Følgende kommando skal opdateres med oplysninger, der er indsamlet under hele processen indtil videre. Når kommandoen er kørt, skal adgangskoden til det eksporterede certifikat angives for at få adgang til de oplysninger, der skal importeres.
  • Luk kommandoprompten.
    • Kommando:
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • Parametre:
      • – Navnet på den eksporterede certifikatfil
      • – Aliasnavnet, der blev registreret i tidligere
      • - Filnavnet på den cacerts-fil, der opdateres.
      • – Adgangskoden, der beskytter alle oplysninger, der er gemt i cacerts-filen. Dette skal stemme overens med værdien for aliasadgangskoden til cacerts.
      • – Det alias, som certifikatoplysningerne er gemt under i cacerts-filen. Det anbefales, men er ikke nødvendigt, at gøre dette ddpe.
      • - Adgangskoden, der beskytter de oplysninger, der er gemt i det angivne alias i cacerts-filen. Dette skal svare til værdien for .

Figur 87: (Kun på engelsk) Type keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass

• Sikkerhedskopier den eksisterende cacerts-fil for Java-tjenesterne:
  • Stop hver tjeneste fra listen nedenfor. Afhængigt af arkitekturen i miljøet og den serverversion, der er installeret, er alle tjenester på listen muligvis ikke til stede.
  • Omdøb den eksisterende cacerts-fil til cacerts. DDMMYY, hvor DDMMYY er datoen i tocifret dag-, måneds- og årsformat. Cacerts-filen findes i conf-mappen i serviceinstallationsmappen.
    • Compliance Reporter - Standardplaceringen for Compliance Reporter-tjenesten er C:\Program Files\Dell\Enterprise Edition\Compliance Reporter.
    • Device Server - Standardplaceringen for Device Server-tjenesten er C:\Program Files\Dell\Enterprise Edition\Device Server.
    • Identity Server - Standardplaceringen for Identity Server-tjenesten er C:\Program Files\Dell\Enterprise Edition\Identity Server.
    • Sikkerhedsserver - Standardplaceringen for Security Server-tjenesten er C:\Program Files\Dell\Enterprise Edition\Security Server.
    • Console Web Services - Standardplaceringen for Console Web Services er C:\Program Files\Dell\Enterprise Edition\Console.
    Bemærk: Webtjenester i konsol blev forældet i Dell Security Management Server (tidligere Dell Data Protection | Enterprise Edition) v9.2.
• Kopier den genererede cacerts-fil til conf-mappen for hver tjeneste, der er blevet sikkerhedskopieret.

• Opdater application.properties- og eserver.properties-filerne med de nye cacerts-værdier.

  
  Figur 88: (Kun på engelsk) Opdater application.preper og eserver.properties

  • Åbn filen application.properties/eserver.properties, og opdater følgende værdier. Alle værdier er muligvis ikke til stede i en eller flere konfigurationsfiler for hver service. Hvis der ikke findes en værdi, skal du springe den over og opdatere de resterende værdier, der findes i filerne.
  • eserver.keystore.password - Denne skal opdateres med java keystore-filen, cacerts, tildelt adgangskode. Værdien skal formateres som i eksemplet nedenfor.
    • eserver.keystore.password=password
  • keystore.password - Denne skal opdateres med java keystore-adgangskode, cacerts, aliasadgangskode. Værdien skal formateres som i eksemplet nedenfor.
    • keystore.password = CLR(adgangskode)
  • Når servicen er startet, krypteres værdien, og indstillingen ser ud som den skal.
    • keystore.password = ENC (krypteret adgangskode)
  • keystore.alias.ssl - Denne værdi forskel på store og små bogstaver og skal opdateres, så den stemmer præcist overens med aliasser for cacerts.
  • keystore.alias.sign – Denne værdi forskel på store og små bogstaver og skal opdateres, så den stemmer præcist overens med aliasser for cacerts.
  • Eksempelfilplaceringer og konfigurationsindstillinger
  • Sikkerhedsserver:
    • application.properties filplacering
    • indstillinger for application.properties
    • keystore.password=CLR(changeit)
    • keystore.alias.ssl=ddpe
    • keystore.alias.sign=ddpe
  • Overholdelsesrapport:

    
    Figur 89: (Kun på engelsk) eserver.properties

    • Placering af filen eserver.properties
    • Indstillinger for eserver.properties
    • eserver.keystore.password=changeit
  • Enhedsserver:
    • application.properties filplacering

      
      Figur 90: (Kun på engelsk) application.properties

      • indstillinger for application.properties
      • keystore.password=CLR(changeit)
      • keystore.alias.ssl=ddpe
• Genstartstjenester stoppet i det forrige trin.
• Validere aftrykket ved at søge efter https://server:8443/xapi/, https://server:8084/reporter og https://server:8081/xapi og udføre følgende trin for hver URL
  • Klik på låseikonet .

    
    Figur 91: (Kun på engelsk) Gå til serverens URL-adresse

  • Klik på Vis certifikater.

    
    Figur 92: (Kun på engelsk) Vis certifikat

  • Klik på fanen Detaljer.

    
    Figur 93: (Kun på engelsk) Klik på fanen Detaljer

  • Rul ned, og klik på Aftryk for at se aftrykket for at validere, at hver service bruger det korrekte certifikat.

    
    Figur 94: (Kun på engelsk) Klik på aftryk

Bemærk: Import af DM-certifikat kan være utilgængeligt, når du bruger Windows-godkendelse til SQL. Kør handlingen "Test databasekonfiguration" for at aktivere indstillingen.

• Opdater .net-servicecertifikater ved hjælp af serverkonfigurationsværktøjet.
  • Stop core-server- og kompatibilitetsservertjenesterne.
  • Start Server Configuration Tool, og vælg Konfigurer certifikater i menupunktet Handlinger , som åbner certifikatguiden.

    
    Figur 95: (Kun på engelsk) Konfigurer certifikat

  • Klik på knappen Næste , og vælg derefter alternativknappen Avanceret på skærmbilledet Certifikatguidetilstand , og klik derefter på Næste.

    
    Figur 96: (Kun på engelsk) Avanceret

  • På skærmbilledet For SSL-certifikat til Core Server : Vælg alternativknappen Vælg certifikat , og klik derefter på Næste.

    
    Figur 97: (Kun på engelsk) Vælg certifikat

  • Klik på knappen Gennemse på skærmbilledet Vælg kerneserver-SSL-certifikat.
  • På skærmbilledet Søg efter certifikat skal du derefter vælge det certifikat, der skal bruges, og klikke på OK.
  • Når du er tilbage på skærmbilledet Vælg Core Server SSL Certificate , skal du klikke på Næste.

    
    Figur 98: (Kun på engelsk) Vælg Certifikat, og klik på Næste

  • Gentag trinene for meddelelsens sikkerhedscertifikat.
  • Klik på Udfør.
• Opdater Dell Manager-certifikatet.
  • Vælg Importer DM-certifikat i menupunktet Handlinger .

    
    Figur 99: (Kun på engelsk) Importer DM-certifikat

  • Find den eksporterede PFX-fil, og klik på knappen Åbn .

    
    Figur 100: (Kun på engelsk) Åben eksporteret PFX-fil

  • Indtast adgangskoden til den eksporterede PFX-fil, og klik på knappen OK .

    
    Figur 101: (Kun på engelsk) Indtast adgangskode

  • Luk serverkonfigurationsværktøjet, og start core-server- og kompatibilitetsservertjenesterne.

Under en ny installation eller opgradering af Dell Data Protection | Encryption 8.x Master Installer kan medføre, at det certifikat, der genereres for sikkerhedsserveren, mangler oplysninger. De oplysninger, der muligvis mangler, kan omfatte, men er ikke begrænset til: aliaset for signeringsserveren angiver ikke standard FQDN (Fully Qualified Domain Name), eller sikkerhedsserveren har slet ikke et servercertifikat. Denne artikel beskriver, hvordan du løser problemet.

Fejlmeddelelse

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

Løsning

For at løse dette problem genererer keytoolen alene ikke et erstatningscertifikat korrekt. Udfør følgende trin for at generere erstatningscertifikatet.

1. Udskift den aktuelle sikkerhedsserver-cacerts-fil med en cacerts-fil, der er kopieret fra Enhedsserveren.
2. StopSecurity Server Service , hvis den kører.
3. Omdøbcacerts-filen, der findes i mappen \Program Files\...\Security Server\conf , som en sikkerhedskopi.
4. Kopiercacerts-filen fra mappen DS\conf til mappen Security Server\conf.
5. Kørkeytool-kommandoen fra en kommandoprompt, og find alias for cacerts-filen.

6. Indtastkeystore-adgangskoden