Обновление сертификата для служб Dell Encryption с использованием существующего сертификата в хранилище ключей Microsoft

1. Выберите Пуск | Выполнить | MMC.

Рис. 56. (Только на английском языке) Запуск «MMC»

2. Выберите Файл | Добавить или удалить оснастку.

Рис. 57. (Только на английском языке) Нажмите «Добавить или удалить оснастку»

3. В окне Добавление и удаление оснасток выберите Сертификаты и нажмите Добавить.

Рис. 58. (Только на английском языке) Добавление сертификатов

4. При появлении запроса выберите переключатель Учетная запись компьютера и нажмите Далее.

Рис. 59. (Только на английском языке) Учетная запись компьютера

5. Выберите Локальный компьютер (выбран по умолчанию) и нажмите Готово.

Рис. 60. (Только на английском языке) Локальный компьютер. (компьютер, на котором запущена консоль)

6. В окне Добавление и удаление оснасток нажмите OK.

Рис. 61. (Только на английском языке) Нажмите «OK»

7. На главной консоли MMC нажмите значок плюса (+), чтобы развернуть оснастку Сертификаты.

Рис. 62. (Только на английском языке) Импорт

8. Перейдите в раздел Личные | Панель Certificates .
9. Нажмите правой кнопкой мыши на панель Сертификаты и выберите Все задачи | Импорт, чтобы запустить мастер импорта сертификатов.

Рис. 63. (Только на английском языке) Мастер импорта сертификатов

10. Следуйте указаниям мастера, чтобы импортировать заверенный сертификат вместе с закрытым ключом. Формат файла сертификата должен соответствовать формату контейнера с сертификатом конечного пользователя и его закрытым ключом.

Рис. 64. (только на английском языке) Нажмите далее и следуйте инструкциям мастера для импорта подписанного сертификата.

11. Нажмите кнопку Обзор.

Рис. 65. (Только на английском языке) Нажмите «Обзор»

12. В диалоговом окне «Открыть».
    1. Измените файл на Personal Information Exchange (*.pfx, *.p12).
    2. Перейдите и выберите сертификат, который необходимо импортировать (dpe.pfx — это сертификат, который используется в данном примере).
    3. Нажмите OK.

Рис. 66. (Только на английском языке) Файлы обмена личной информацией (*.pfx, *.p12)

13. На экране «Защита закрытого ключа».
    1. При необходимости введите пароль
    2. Установите флажок Пометить этот ключ как экспортируемый. Это позволит вам выполнить резервное копирование или позднейшую передачу ключей.
    3. Установите флажок Включить все расширенные свойства.
    4. Нажмите Next.

Рис. 67. (Только на английском языке) Защита закрытого ключа

14. Установите флажок Поместить все сертификаты в следующее хранилище: Личное и нажмите Далее.

Рис. 68. (Только на английском языке) Хранилище сертификатов

15. Нажмите Finish.

Рис. 69. (Только на английском языке) Нажмите «Готово»

Экспортируйте сертификат с закрытым ключом и путь сертификации из MMC.

1. Откройте меню «Пуск» и выберите пункт Выполнить.

Рис. 70. (Только на английском языке) Откройте «Выполнить» 

2. Введите MMC и нажмите ОК.

Рис. 71. (Только на английском языке) Введите «MMC»

3. Нажмите Файл в верхнем меню MMC и выберите Добавить или удалить оснастку.

Рис. 72. (Только на английском языке) Выберите «Select Add/Remove Snap in»

4. На панели Доступные оснастки окна Добавление и удаление оснасток выберите Сертификаты, затем нажмите кнопку Добавить >, чтобы открыть оснастку Сертификаты.

Рис. 73. (Только на английском языке) Откройте оснастку «Сертификаты»

5. Нажмите переключатель Учетная запись компьютера, затем нажмите кнопку Далее >.

Рис. 74. (Только на английском языке) Учетная запись компьютера

6. Нажмите кнопку Готово, чтобы закрыть диалоговое окно оснастки Сертификаты.

Рис. 75. (Только на английском языке) Локальный компьютер (компьютер, на котором запущена консоль)

7. Нажмите OK в окне Добавление и удаление оснасток, чтобы завершить добавление оснастки.

Рис. 76. (Только на английском языке) Нажмите «OK»

8. В окне MMC разверните Сертификаты (Локальный компьютер) и папку Личные. Затем выберите папку Сертификаты.

Рис. 77. (Только на английском языке) Выберите «Сертификаты»

9. Определите сертификат, который необходимо экспортировать. Нажмите правой кнопкой мыши на сертификат, выберите Все задачи и Экспорт.

Рис. 78. (Только на английском языке) «Экспорт»

10. В мастере экспорта сертификатов нажмите кнопку Далее >.

Рис. 79. (Только на английском языке) Мастер экспорта сертификатов

11. На экране Экспорт закрытого ключа выберите переключатель Да, экспортировать закрытый ключ и нажмите кнопку Далее.

Рис. 80. (Только на английском языке) Экспорт закрытого ключа

12. На экране Формат экспортируемого файла выберите переключатель Файлы обмена личной информацией - PKCS #12 (.PFX), установите флажки Включить по возможности все сертификаты в путь сертификации и Экспортировать все расширенные свойства, затем нажмите Далее.

Рис. 81. (Только на английском языке) Файлы обмена личной информацией - PKCS#12(.PFX)

13. Присвойте файлу пароль и нажмите кнопку Далее >.

Рис. 82. (Только на английском языке) Создание пароля

14. Выберите местоположение и имя файла экспорта, затем нажмите кнопку Далее.

Рис. 83. (только на английском языке) Выберите расположение и имя экспортированного файла.

15. Нажмите кнопку Готово.

Рис. 84. (Только на английском языке) Нажмите «Готово»

• Создайте папку в корневом каталоге диска C с именем Cert и переместите экспортированный PFX из действия «Экспортируйте сертификат с закрытым ключом и путь сертификации из MMC» в эту папку.
• Скопируйте файл cacerts из каталога C:\Program Files\Dell\Enterprise Edition\Security Server\Conf и скопируйте его в папку C:\Cert.
• Получите псевдоним из экспортированного сертификата.
  • Откройте командную строку администрирования.
  • В командной строке добавьте в путь каталог Java bin. Следующая команда использует папку установки по умолчанию для папки Java bin и может потребовать обновления.
  • Set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

Рис. 85. (Только на английском языке) Введите «set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin»

• Из командной строки перейдите в каталог C:\Cert Folder.
• Запустите утилиту «key tool», чтобы вывести информацию в экспортированном сертификате. Следующая команда должна быть обновлена значениями, используемыми при экспорте сертификата (PFX). После выполнения команды для доступа к информации необходимо ввести пароль к экспортированному сертификату.
  • Команда:
    • keytool -list -v -keystore -storetype PKCS12
  • Параметры:
    • — имя экспортированного файла сертификата

Рис. 86. (Только на английском языке) Введите keytool -list -v -keystore -storetype PKCS12

• Запишите значение после псевдонима из вывода предыдущей команды.
• Импортируйте сертификат в файл cacerts.
  • В командной строке, открытой на первом этапе, запустите утилиту «key tool» для импорта экспортированного файла PFX в файл cacerts. Следующая команда должна быть обновлена информацией, собранной на данный момент. После выполнения команды для доступа к импортируемой информации необходимо ввести пароль к экспортированному сертификату.
  • Закройте командную строку.
    • Команда:
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • Параметры:
      • — имя экспортированного файла сертификата
      • — записанный ранее псевдоним
      • — имя обновленного файла cacerts.
      • — пароль, который защищает всю информацию, хранящуюся в файле cacerts. Это значение должно совпадать со значением пароля «cacerts alias».
      • — псевдоним, под которым информация о сертификате хранится в файле cacerts. Рекомендуется использовать ddpe, но это не обязательно.
      • — пароль, защищающий информацию, хранящуюся в указанном псевдониме в файле cacerts. Он должен совпадать со значением .

Рис. 87. (Только на английском языке) Введите keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass

• Создайте резервную копию существующего файла cacerts для служб Java.
  • Остановите каждую службу из списка ниже. В зависимости от архитектуры среды и установленной версии сервера все службы в списке могут отсут уже не отображаться.
  • Переименуйте существующий файл cacerts в cacerts. DDMMYY, где DDMMYY — дата в формате «день, месяц, год», обозначенные двузначными числами. Файл cacerts находится в папке установки службы conf.
    • Compliance Reporter — местоположение по умолчанию для службы Compliance Reporter: C:\Program Files\Dell\Enterprise Edition\Compliance Reporter.
    • Device Server — по умолчанию служба Device Server находится в папке C:\Program Files\Dell\Enterprise Edition\Device Server.
    • Identity Server — по умолчанию служба Identity Server находится в папке C:\Program Files\Dell\Enterprise Edition\Identity Server.
    • Security Server — по умолчанию служба Security Server находится в папке C:\Program Files\Dell\Enterprise Edition\Security Server.
    • Console — по умолчанию службы Console Web Services расположены в папке C:\Program Files\Dell\Enterprise Edition\Console.
    Примечание.: Службы Console Web Services в Dell Security Management Server (ранее Dell Data Protection | Enterprise Edition) версии 9.2 устарели.
• Скопируйте созданный файл cacerts в папку conf для каждой службы, для которой было выполнено резервное копирование.

• Обновите файлы application.properties и eserver.properties новыми значениями cacerts.

  
  Рис. 88. (Только на английском языке) Обновите application.preperties и eserver.properties

  • Откройте файл application.properties/eserver.properties и обновите следующие значения. Любые из значений могут отсутствовать в одном или нескольких файлах конфигурации для каждой службы. Если значение отсутствует, пропустите его и обновите остальные значения, имеющиеся в файлах.
  • eserver.keystore.password — здесь необходимо обновить файл java keystore, cacerts, назначенный пароль. Формат значения показан в примере ниже.
    • eserver.keystore.password=password
  • keystore.password — здесь необходимо обновить пароль хранилища ключей java, cacerts и пароль псевдонима. Формат значения показан в примере ниже.
    • keystore.password = CLR(пароль)
  • После запуска службы значение шифруется, и настройки выглядят следующим образом.
    • keystore.password = ENC (зашифрованный пароль)
  • keystore.alias.ssl — это значение чувствительно к регистру и должно быть обновлено для точного совпадения с псевдонимом cacerts.
  • keystore.alias.signing — это значение чувствительно к регистру и должно быть обновлено для точного совпадения с псевдонимом cacerts.
  • Примеры расположения файлов и настроек конфигурации
  • Security Server:
    • Расположение файла application.properties
    • Настройки application.properties
    • keystore.password=CLR(«changeit»)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Compliance Reporter:

    
    Рис. 89. (Только на английском языке) eserver.properties

    • Расположение файла eserver.properties
    • Настройки eserver.properties
    • eserver.keystore.password=changeit
  • Device Server:
    • Расположение файла application.properties

      
      Рис. 90. (Только на английском языке) application.properties

      • Настройки application.properties
      • keystore.password=CLR(«changeit»)
      • keystore.alias.ssl=ddpe
• На предыдущем шаге сервисы перезапуска остановлены.
• Подтвердите отпечаток, перейдя по ссылке https://server:8443/xapi/, https://server:8084/reporter, и https://server:8081/xapi и выполнив следующие действия для каждого URL-адреса
  • Нажмите на значок замка.

    
    Рис. 91. (Только на английском языке) Перейдите по URL-адресу сервера

  • Нажмите View Certificates.

    
    Рис. 92. (Только на английском языке) «View Certificate»

  • Откройте вкладку Details.

    
    Рис. 93. (только на английском языке) Перейдите на вкладку Сведения.

  • Прокрутите вниз и нажмите на Thumbprint, чтобы просмотреть отпечаток и убедиться в том, что каждая служба использует правильный сертификат.

    
    Рис. 94. (Только на английском языке) Нажмите «Thumbprint»

Примечание.: Импорт сертификата DM может быть недоступен при использовании проверки подлинности Windows в SQL. Запустите действие «Test Database Configuration», чтобы активировать этот параметр.

• Обновите сертификаты службы .net с помощью «Server Configuration Tool».
  • Остановите службы Core Server и Dell Compatibility Server.
  • Запустите «Server Configuration Tool» и выберите пункт Configure Certificates в меню Actions, после чего откроется мастер сертификатов.

    
    Рис. 95. (Только на английском языке) «Configure Certificates»

  • Нажмите кнопку Next, затем выберите переключатель Advanced на экране Certificate Wizard Mode, затем нажмите Next.

    
    Рис. 96. (Только на английском языке) «Advanced»

  • На экране Core Server SSL Certificate. Выберите переключатель Select Certificate, затем нажмите Next.

    
    Рис. 97. (Только на английском языке) Выберите сертификат

  • На экране «Select Core Server SSL Certificate» нажмите кнопку Browse….
  • Затем на экране Browse For Certificate выберите сертификат и нажмите OK.
  • Вернувшись на экран Select Core Server SSL Certificate, нажмите Next.

    
    Рис. 98. (Только на английском языке) Выберите сертификат и нажмите «Next»

  • Повторите эти действия для сертификата безопасности сообщений.
  • Нажмите Finish.
• Обновите сертификат Dell Manager.
  • Выберите Import DM Certificate в пункте меню Actions.

    
    Рис. 99. (Только на английском языке) Импорт сертификата DM

  • Найдите экспортированный файл PFX и нажмите кнопку Open.

    
    Рис. 100. (Только на английском языке) Откройте экспортированный файл PFX

  • Введите пароль в экспортированный файл PFX и нажмите кнопку «OK».

    
    Рис. 101. (Только на английском языке) Введите пароль

  • Закройте «Server Configuration Tool» и запустите службы «Core Server» и «Compatibility Server».

Во время переустановки или модернизации Dell Data Protection | Encryption 8.x главный установщик может стать причиной отсутствия информации в сертификате, созданном для сервера безопасности. Помимо прочего, могут отсутствовать следующее сведения: псевдоним сервера подписи не содержит полное доменное имя (FQDN) по умолчанию, или на сервере безопасности отсутствует сертификат сервера. В этой статье показано, как обойти эту проблему.

Сообщение об ошибке

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

Временное решение

Чтобы обойти эту проблему, использование keytool не приводит к правильному созданию заменяющего сертификата. Для создания заменяющего сертификата выполните следующие действия.

1. Замените текущий файл cacerts Security Server файлом cacerts, скопированным с Device Server.
2. Остановите Security Server Service, если она запущена.
3. Переименуйте файл cacerts, сохраненный в папке «\Program Files\…\Security Server\conf», в качестве резервной копии.
4. Скопируйте файл cacerts из папки «DS\conf» в папку «Security Server\conf».
5. Запустите keytool из командной строки и найдите псевдоним для файла cacerts.

6. Введитепароль хранилища ключей