Aktualizowanie certyfikatu dla usług Dell Encryption przy użyciu istniejącego certyfikatu w magazynze kluczy Microsoft

1. Wprowadź Start | Uruchom | MMC.

Rysunek 56: (Tylko w języku angielskim) Uruchom MMC

2. Kliknij File | Add/Remove Snap-in.

Rysunek 57: (Tylko w języku angielskim) Kliknij Add/Remove Snap-in (Dodaj/usuń przystawkę).

3. W oknie Add or Remove Snap-ins wybierz opcję Certificates i kliknij przycisk Add.

Rysunek 58: (Tylko w języku angielskim) Dodaj certyfikaty

4. Po wyświetleniu monitu wybierz przycisk Computer account i kliknij przycisk Next.

Rysunek 59: (Tylko w języku angielskim) Konto komputera

5. Wybierz opcję Local computer (wybrana domyślnie) i kliknij przycisk Finish.

Rysunek 60: (Tylko w języku angielskim) Komputer lokalny: (komputer, na którym jest uruchomiona konsola)

6. W oknie Add or Remove Snap-ins kliknij przycisk OK.

Rysunek 61: (Tylko w języku angielskim) Kliknij OK

7. W konsoli głównej MMC kliknij symbol plusa (+) , aby rozwinąć przystawkę Certificate.

Rysunek 62: (Tylko w języku angielskim) Import

8. Przejdź do sekcji Osobiste | Okienko certyfikatów .
9. Kliknij prawym przyciskiem myszy w obrębie panelu Certificates i kliknij All Tasks | Import, aby uruchomić Kreatora importu certyfikatów.

Rysunek 63: (Tylko w języku angielskim) Kreator importu certyfikatów

10. Postępuj zgodnie z kreatorem, aby zaimportować podpisany certyfikat wraz z kluczem prywatnym. Plik certyfikatu musi być w formacie kontenera mającego zarówno certyfikat użytkownika końcowego, jak i jego klucz prywatny.

Rysunek 64: (tylko w języku angielskim) Kliknij przycisk Dalej i postępuj zgodnie z instrukcjami kreatora, aby zaimportować podpisany certyfikat

11. Kliknij opcję Przeglądaj.

Rysunek 65: (Tylko w języku angielskim) Kliknij Browse (Przeglądaj)

12. W oknie dialogowym Otwórz:
    1. Zmień plik na Personal Information Exchange (*.pfx, *.p12).
    2. Przejdź do certyfikatu i wybierz ten, który chcesz zaimportować (ddpe.pfx to certyfikat używany w przykładzie).
    3. Kliknij przycisk OK.

Rysunek 66: (Tylko w języku angielskim) Wymiana danych osobowych (*.pfx, *.p12)

13. Na ekranie Ochrona klucza prywatnego:
    1. Opcjonalnie, wprowadź hasło
    2. Zaznacz opcję Mark this key as exportable. Dzięki temu można później wykonać kopię zapasową lub przetransportować nasze klucze.
    3. Zaznacz opcję Include all extended properties.
    4. Kliknij przycisk Next.

Rysunek 67: (Tylko w języku angielskim) Ochrona klucza prywatnego

14. Zaznacz opcję Place all certificates in the following store: Personal i kliknij przycisk Next.

Rysunek 68: (Tylko w języku angielskim) Magazyn certyfikatów

15. Kliknij przycisk Zakończ.

Rysunek 69: (Tylko w języku angielskim) Kliknij przycisk Zakończ

Eksport certyfikatu z kluczem prywatnym i ścieżką certyfikacji z MMC.

1. Otwórz menu Start i wybierz polecenie Uruchom.

Rysunek 70: (Tylko w języku angielskim) Otwórz polecenie Uruchom 

2. Wpisz polecenie MMC i kliknij przycisk OK.

Rysunek 71: (Tylko w języku angielskim) Wpisz MMC

3. Kliknij File w górnym menu MMC i wybierz Add/Remove Snap-in.

Rysunek 72: (Tylko w języku angielskim) Wybierz Add/Remove Snap-in

4. W okienku Available snap-ins okna Add or Remove Snap-ins wybierz opcję Certificates, a następnie kliknij przycisk Add >, który otworzy okno Certificates snap-in.

Rysunek 73: (Tylko w języku angielskim) Otwórz przystawkę certyfikatu

5. Wybierz przycisk Computer Account, a następnie kliknij przycisk Next >.

Rysunek 74: (Tylko w języku angielskim) Konto komputera

6. Kliknij przycisk Finish, aby zamknąć okno Certificates snap-in.

Rysunek 75: (Tylko w języku angielskim) Komputer lokalny (komputer, na którym uruchomiona jest ta konsola)

7. Kliknij przycisk OK w oknie Add or Remove Snap-ins, aby zakończyć dodawanie przystawek.

Rysunek 76: (Tylko w języku angielskim) Kliknij OK

8. W oknie MMC rozwiń pozycję Certificates (Local Computer) i folder Personal. Następnie wybierz folder Certificates .

Rysunek 77: (Tylko w języku angielskim) Wybierz certyfikaty

9. Określ certyfikat, który chcesz wyeksportować. Kliknij prawym przyciskiem myszy certyfikat i wybierz All Tasks, a następnie wybierz pozycję Export.

Rysunek 78: (Tylko w języku angielskim) Eksport

10. Na ekranie kreatora Certificate Export Wizard kliknij przycisk Next >.

Rysunek 79: (Tylko w języku angielskim) Kreator eksportu certyfikatów

11. Na ekranie Export Private Key zaznacz przycisk Yes, export the private key i kliknij przycisk Next >.

Rysunek 80: (Tylko w języku angielskim) Eksportuj klucz prywatny

12. Na ekranie Export File Format wybierz przycisk Personal Information Exchange - PKCS #12 (.PFX), zaznacz pole wyboru Include all certificates in the certification path if possible oraz pole wyboru Export all extended properties, a następnie kliknij przycisk Next.

Rysunek 81: (Tylko w języku angielskim) Wymiana danych osobowych — PKCS#12(.PFX)

13. Przypisz hasło do pliku i kliknij przycisk Next >.

Rysunek 82: (Tylko w języku angielskim) Utwórz hasło

14. Wybierz lokalizację i nazwę pliku eksportu, a następnie kliknij przycisk Next.

Rysunek 83: (tylko w języku angielskim) Wybierz lokalizację i nazwę pliku eksportu

15. Kliknij przycisk Zakończ.

Rysunek 84: (Tylko w języku angielskim) Kliknij przycisk Zakończ

• Utwórz folder w katalogu głównym C o nazwie Cert i przenieś wyeksportowany plik PFX z etapu „Eksport certyfikatu z kluczem prywatnym i ścieżką certyfikacji z MMC” do tego folderu.
• Pobierz kopię pliku cacerts z katalogu C:\Program Files\Dell\Enterprise Edition\Security Server\Conf i skopiuj go do folderu C:\Cert.
• Pobierz nazwę aliasu z wyeksportowanego certyfikatu.
  • Zaloguj się jako administrator i uruchom wiersz poleceń.
  • Z poziomu wiersza poleceń dodaj do ścieżki katalog Java bin. Poniższe przykładowe polecenie używa domyślnego folderu instalacyjnego dla folderu Java bin i może być konieczne zaktualizowanie.
  • Set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

Rysunek 85: (Tylko w języku angielskim) Wpisz set path=%path%; C:\Program Files\Dell\Java Runtime\jre1.7\bin

• Z poziomu wiersza poleceń przejdź do katalogu C:\Cert.
• Uruchom narzędzie Key Tool, aby wyświetlić informacje zawarte w wyeksportowanym certyfikacie. Poniższe polecenie należy zaktualizować o wartości użyte podczas eksportu certyfikatu (PFX). Po uruchomieniu polecenia, aby uzyskać dostęp do informacji, należy podać hasło do wyeksportowanego certyfikatu.
  • Polecenie:
    • keytool -list -v -keystore -storetype PKCS12
  • Parametry:
    • — nazwa pliku z wyeksportowanym certyfikatem

Rysunek 86: (Tylko język angielski) Wpisz keytool -list -v -keystore -storetype PKCS12

• Zapisz wartość po nazwie Alias z wyniku poprzedniego polecenia.
• Zaimportuj certyfikat do pliku cacerts.
  • Z wiersza poleceń otwartego w pierwszym kroku uruchom narzędzie Key Tool, aby zaimportować wyeksportowany plik PFX do pliku cacerts. Poniższe polecenie należy zaktualizować o informacje, które zostały zebrane w całym dotychczasowym procesie. Po uruchomieniu polecenia, aby uzyskać dostęp do informacji do zaimportowania, należy podać hasło do wyeksportowanego certyfikatu.
  • Zamknij wiersz polecenia
    • Polecenie:
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • Parametry:
      • — nazwa pliku z wyeksportowanym certyfikatem
      • — nazwa aliasu zapisana poprzednio
      • — nazwa pliku cacerts, który jest aktualizowany.
      • — hasło chroniące wszystkie informacje, które są przechowywane w pliku cacerts. Musi odpowiadać wartości dla hasła aliasu cacerts.
      • — alias, pod którym przechowywane są informacje o certyfikacie w pliku cacerts. Zaleca się wykonanie ddpe, ale nie jest to konieczne.
      • — hasło chroniące informacje, które są przechowywane w określonym aliasie w pliku cacerts. Musi odpowiadać wartości dla .

Rysunek 87: (Tylko język angielski) Wpisz keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass

• Utwórz kopię zapasową istniejącego pliku cacerts dla usług Java:
  • Zatrzymaj każdą usługę z poniższej listy. W zależności od architektury środowiska i zainstalowanej wersji serwera wszystkie usługi na liście mogą nie być obecne.
  • Zmień nazwę istniejącego pliku cacerts na cacerts. DDMMRR, gdzie DDMMRR to data w formacie dwucyfrowym dzień, miesiąc i rok. Plik cacerts znajduje się w folderze conf w folderze instalacji usługi.
    • Compliance Reporter — domyślną lokalizacją dla usługi Compliance Reporter jest C:\Program Files\Dell\Enterprise Edition\Compliance Reporter.
    • Device Server — domyślną lokalizacją dla usługi Device Server jest C:\Program Files\Dell\Enterprise Edition\Device Server.
    • Identity Server — domyślną lokalizacją dla usługi Identity Server jest C:\Program Files\Dell\Enterprise Edition\Identity Server.
    • Security Server — domyślną lokalizacją dla usługi Security Server jest C:\Program Files\Dell\Enterprise Edition\Security Server.
    • Console Web Services — domyślną lokalizacją dla usługi Console Web Services jest C:\Program Files\Dell\Enterprise Edition\Console.
    Uwaga: Usługa Console Web Services została wycofana z programu Dell Security Management Server (dawniej Dell Data Protection | Enterprise Edition) 9.2.
• Skopiuj wygenerowany plik cacerts do folderu conf dla każdej usługi, której kopia zapasowa została wykonana.

• Zaktualizuj pliki application.properties i eserver.properties przy użyciu nowych wartości cacerts.

  
  Rysunek 88: (Tylko w języku angielskim) Aktualizacja application.properties i eserver.properties

  • Otwórz plik application.properties/eserver.properties i zaktualizuj następujące wartości. Wszystkie wartości mogą nie być obecne w jednym lub kilku plikach konfiguracyjnych dla każdej usługi. Jeśli wartość nie jest obecna, pomiń ją i zaktualizuj pozostałe wartości obecne w plikach.
  • eserver.keystore.password — wartość tę należy zaktualizować przy użyciu hasła przypisanego do pliku magazynu kluczy java, cacerts. Wartość musi być sformatowana tak jak w poniższym przykładzie.
    • eserver.keystore.password=hasło
  • keystore.password — należy je zaktualizować przy użyciu hasła magazynu kluczy java, cacerts, hasła aliasu. Wartość musi być sformatowana tak jak w poniższym przykładzie.
    • keystore.password = CLR(hasło)
  • Po uruchomieniu usługi wartość jest szyfrowana, a ustawienie wygląda tak.
    • keystore.password = ENC(hasło zaszyfrowane)
  • keystore.alias.ssl — ta wartość uwzględnia wielkość liter i musi zostać zaktualizowana tak, aby dokładnie odpowiadała aliasowi cacerts.
  • keystore.alias.signing — ta wartość uwzględnia wielkość liter i musi zostać zaktualizowana tak, aby dokładnie odpowiadała aliasowi cacerts.
  • Przykładowe lokalizacje plików i ustawienia konfiguracji
  • Security Server:
    • lokalizacja pliku application.properties
    • ustawienia application.properties
    • keystore.password=CLR(changeit)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Compliance Reporter:

    
    Rysunek 89: (Tylko w języku angielskim) eserver.properties

    • Lokalizacja pliku eserver.properties
    • Ustawienia eserver.properties
    • eserver.keystore.password=changeit
  • Device Server:
    • lokalizacja pliku application.properties

      
      Rysunek 90: (Tylko w języku angielskim) application.properties

      • ustawienia application.properties
      • keystore.password=CLR(changeit)
      • keystore.alias.ssl=ddpe
• Usługi ponownego uruchomienia zatrzymane w poprzednim kroku.
• Zatwierdź odcisk kciuka, wchodząc na strony https://server:8443/xapi/, https://server:8084/reporter i https://server:8081/xapi i wykonując następujące czynności dla każdego adresu URL
  • Kliknij ikonę kłódki.

    
    Rysunek 91: (Tylko w języku angielskim) Przejdź do adresu URL serwera

  • Kliknij przycisk View Certificates.

    
    Rysunek 92: (Tylko w języku angielskim) Wyświetl certyfikat

  • Kliknij kartę Szczegóły.

    
    Rysunek 93: (tylko w języku angielskim) Kliknij kartę Szczegóły

  • Przewiń w dół i kliknij Thumbprint, aby zobaczyć Thumbprint w celu sprawdzenia, czy każda usługa używa właściwego certyfikatu.

    
    Rysunek 94: (Tylko w języku angielskim) Kliknij Thumbprint

Uwaga: Importowanie certyfikatu DM może być niedostępne podczas korzystania z uwierzytelniania Windows do SQL. Uruchom akcję „Test Database Configuration”, aby włączyć opcję.

• Zaktualizuj certyfikaty usługi .net za pomocą narzędzia Server Configuration Tool.
  • Zatrzymaj usługi Core Server i Compatibility Server.
  • Uruchom narzędzie Server Configuration Tool i z pozycji menu Actions wybierz Configure Certificates, co spowoduje otworzenie kreatora certyfikatów.

    
    Rysunek 95: (Tylko w języku angielskim) Konfiguruj certyfikat

  • Kliknij przycisk Next, a następnie wybierz przycisk Advanced na ekranie Certificate Wizard Mode, po czym kliknij przycisk Next.

    
    Rysunek 96: (Tylko w języku angielskim) Zaawansowane

  • Na ekranie Core Server SSL Certificate: Zaznacz przycisk Select Certificate, a następnie kliknij przycisk Next.

    
    Rysunek 97: (Tylko w języku angielskim) Wybierz certyfikat

  • Na ekranie Select Core Server SSL Certificate kliknij przycisk Browse….
  • Następnie na ekranie Browse For Certificate wybierz certyfikat do użycia i kliknij OK.
  • Po powrocie na ekran Select Core Server SSL Certificate kliknij Next.

    
    Rysunek 98: (Tylko w języku angielskim) Wybierz Certificate i kliknij Next

  • Powtórz te czynności, aby uzyskać certyfikat zabezpieczeń komunikatów.
  • Kliknij przycisk Zakończ.
• Zaktualizuj certyfikat programu Dell Manager.
  • Z pozycji menu Actions wybierz Import DM Certificate.

    
    Rysunek 99: (Tylko w języku angielskim) Importuj certyfikat DM

  • Odszukaj wyeksportowany plik PFX i kliknij przycisk Open.

    
    Rysunek 100: (Tylko w języku angielskim) Otwórz wyeksportowany plik PFX

  • Wprowadź hasło do wyeksportowanego pliku PFX i kliknij przycisk OK.

    
    Rysunek 101: (Tylko w języku angielskim) Wprowadź hasło

  • Zamknij narzędzie Server Configuration Tool i uruchom usługi Core Server i Compatibility Server.

Podczas nowej instalacji lub aktualizacji programu Dell Data Protection | Encryption 8.x instalator główny może spowodować, że w certyfikacie wygenerowanym dla Security Server może brakować informacji. Informacje, których może brakować to między innymi: alias dla serwera podpisującego nie zawiera domyślnej nazwy domenowej Fully Qualified Domain Name (FQDN) lub Security Server może w ogóle nie posiadać certyfikatu serwera. W tym artykule przedstawiono sposób obejścia tego problemu.

Komunikat o błędzie

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

Obejście problemu

Aby obejść ten problem, użycie samego narzędzia keytool nie generuje poprawnie certyfikatu zastępczego. Wykonaj następujące kroki, aby wygenerować certyfikat zastępczy.

1. Zastąp bieżący plik cacerts programu Security Server plikiem cacerts skopiowanym z Device Server.
2. Zatrzymaj usługę Security Server, jeśli jest ona uruchomiona.
3. Zmień nazwę pliku cacerts, który znajduje się w folderze \Program Files \Security Server \Conf jako kopia zapasowa.
4. Skopiuj plik cacerts z folderu DS\conf do folderu Security Server.
5. Uruchom narzędzie keytool z wiersza poleceń i zlokalizuj alias dla pliku cacerts.

6. Wprowadźhasło magazynu kluczy