如何使用 Microsoft 密钥库中的现有证书更新 Dell Encryption 服务的证书

1. 输入开始 | 运行 | MMC。

图 56：（仅英文）运行 MMC

2. 单击文件 | 添加/删除管理单元。

图 57：（仅英文）单击“Add/Remove Snap-in”

3. 在添加或删除管理单元窗口中，选择证书，然后单击添加。

图 58：（仅英文）添加证书

4. 出现提示时，选择计算机帐户单选按钮，然后单击下一步。

图 59：（仅英文）计算机帐户

5. 选择本地计算机（默认选择）并单击完成。

图 60：（仅英文）本地计算机：（运行此控制台的计算机）

6. 在添加或删除管理单元窗口中，单击确定。

图 61：（仅英文）单击“确定”

7. 在 MMC 主控制台中，单击加号 (+) 符号以展开证书管理单元。

图 62：（仅英文）导入

8. 转至 Personal |证书 窗格。
9. 在证书面板中右键单击，然后单击所有任务 | 导入，以启动证书导入向导。

图 63：（仅英文）证书导入向导

10. 按照向导导入签名证书以及私钥。证书文件必须采用容器格式，并包含终端用户证书及其私钥。

图 64：（仅限英文）单击 下一步 ，然后按照向导导入签名的证书

11. 单击浏览。

图 65：（仅英文）单击“浏览”

12. 在“打开”对话框中：
    1. 将文件更改为 个人信息交换（*.pfx、*.p12）。
    2. 浏览并选择要导入的证书（ddpe.pfx 是示例中使用的证书）。
    3. 单击确定。

图 66：（仅英文）个人信息交换 (*.pfx, *.p12)

13. 在“私钥保护”屏幕上：
    1. （可选）输入密码
    2. 勾选标志此密钥为可导出的密钥。这将允许你在稍后备份或传输密钥。
    3. 勾选包括所有扩展属性。
    4. 单击 Next。

图 67：（仅英文）私钥保护

14. 选中将所有的证书都放入下列存储：个人，然后单击下一步。

图 68：（仅英文）证书存储

15. 单击 Finish。

图 69：（仅英文）单击“完成”

使用私钥和证书路径从 MMC 导出证书。

1. 打开开始菜单，然后选择运行。

图 70：（仅英文）打开“运行” 

2. 键入 MMC，然后按确定。

图 71：（仅英文）键入 MMC

3. 单击 MMC 顶部菜单中的文件，然后选择添加/删除管理单元。

图 72：（仅英文）选择“添加/删除管理单元”

4. 从添加或删除管理单元窗口的可用的管理单元窗格中，选择证书，然后单击添加 > 按钮，这会打开证书管理单元窗口。

图 73：（仅英文）打开证书管理单元

5. 选择计算机帐户单选按钮，然后单击下一步 > 按钮。

图 74：（仅英文）计算机帐户

6. 单击完成按钮，以关闭证书管理单元窗口。

图 75：（仅英文）本地计算机（运行此控制台的计算机）

7. 在添加或删除管理单元窗口中单击确定以完成添加管理单元。

图 76：（仅英文）单击“确定”

8. 在 MMC 窗口中，展开证书（本地计算机）和个人文件夹。然后选择证书文件夹。

图 77：（仅英文）选择证书

9. 确定要导出的证书。右键单击证书并选择所有任务，然后选择导出。

图 78：（仅英文）导出

10. 在证书导出向导中，单击下一步 > 按钮。

图 79：（仅英文）证书导出向导

11. 在导出私钥屏幕上，选择是，导出私钥单选按钮，然后单击下一步 > 按钮。

图 80：（仅英文）导出私钥

12. 在导出文件格式屏幕上，选择个人信息交换 - PKCS #12 (.PFX) 单选按钮，选中如果可能，则包括证书路径中的所有证书，并选中导出所有扩展属性复选框，然后单击下一步。

图 81：（仅英文）个人信息交换 - PKCS #12 (.PFX)

13. 向文件分配密码，然后单击下一步 > 按钮。

图 82：（仅英文）创建密码

14. 选择导出文件的位置和名称，然后单击下一步。

图 83：（仅限英文）选择导出文件的位置和名称

15. 单击完成按钮。

图 84：（仅英文）单击“完成”

• 在 C 盘根目录上创建一个名为“Cert”的文件夹，并将“使用私钥和证书路径从 MMC 导出证书”步骤中导出的 PFX 移至此文件夹。
• 从 C：\Program Files\Dell\Enterprise Edition\Security Server\Conf 目录中拷贝 cacerts 文件，并将其拷贝到 C：\Cert 文件夹中。
• 从导出的证书获取别名。
  • 打开管理命令提示符。
  • 在命令提示符处，将 Java bin 目录添加到路径。以下示例命令使用 Java bin 文件夹的默认安装文件夹，并且可能需要更新。
  • Set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

图 85：（仅英文）键入 set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

• 从命令提示符处，转至目录 C:\Cert 文件夹。
• 运行密钥工具实用程序以列出导出的证书中的信息。必须使用导出证书 (PFX) 时使用的值更新以下命令。命令运行后，必须提供导出证书的密码才能访问信息。
  • 命令：
    • keytool -list -v -keystore -storetype PKCS12
  • 参数：
    • — 导出的证书文件的名称

图 86：（仅英文）键入 keytool -list -v -keystore -storetype PKCS12

• 从上一个命令的输出中记录别名后的值。
• 将证书导入 cacerts 文件。
  • 在第一步中打开的命令提示符中，运行密钥工具实用程序以将导出的 PFX 文件导入 cacerts 文件。必须使用到目前为止在整个过程中收集的信息更新以下命令。命令运行后，必须提供导出证书的密码才能访问导入信息。
  • 关闭命令提示符。
    • 命令：
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • 参数：
      • — 导出的证书文件的名称
      • — 之前记录的别名
      • — 更新的 cacerts 文件的文件名。
      • — 用于保护存储在 cacerts 文件中的所有信息的密码。这必须与 cacerts 别名密码的值相匹配。
      • — 证书信息以此别名存储在 cacerts 文件中。建议（但并非必需）设置为 ddpe。
      • — 用于保护存储在 cacerts 文件中指定别名中的信息的密码。这必须与 的值相匹配。

图 87：（仅英文）键入 keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass

• 备份 Java 服务的现有 cacerts 文件：
  • 停止下面的列表中的每个服务。根据环境的体系结构和安装的服务器版本，列表中的所有服务可能不存在。
  • 将现有 cacerts 文件重命名为 cacerts.DDMMYY，其中 DDMMYY 是以两位数的天、月和年格式表示的日期。cacerts 文件位于服务安装文件夹中的 conf 文件夹中。
    • Compliance Reporter — Compliance Reporter 服务的默认位置是 C:\Program Files\Dell\Enterprise Edition\Compliance Reporter。
    • Device Server — Device Server 服务的默认位置是 C:\Program Files\Dell\Enterprise Edition\Device Server。
    • Identity Server — Identity Server 服务的默认位置是 C:\Program Files\Dell\Enterprise Edition\Identity Server。
    • Security Server — Security Server 服务的默认位置是 C:\Program Files\Dell\Enterprise Edition\Security Server。
    • Console Web Services — Console Web Services 的默认位置是 C:\Program Files\Dell\Enterprise Edition\Console。
    提醒：Console Web Services 已在 Dell Security Management Server（以前称为 Dell Data Protection | Enterprise Edition）v9.2 中弃用。
• 将生成的 cacerts 文件复制到已备份的每个服务的 conf 文件夹中。

• 使用新的 cacerts 值更新 application.properties 和 eserver.properties 文件。

  
  图 88：（仅英文）更新 application.preperties 和 eserver.properties

  • 打开 application.properties/eserver.properties 文件并更新以下值。每个服务的一个或多个配置文件中，某些值可能不存在。如果某个值不存在，请跳过它，并更新文件中存在的其他值。
  • eserver.keystore.password — 必须使用 java 密钥库文件、cacerts、分配的密码更新此值。该值的格式必须如下示例所示。
    • eserver.keystore.password=password
  • keystore.password — 必须使用 java 密钥库密码、cacerts、别名密码更新此值。该值的格式必须如下示例所示。
    • keystore.password = CLR(password)
  • 服务启动后，该值将被加密，并且设置如下所示。
    • keystore.password = ENC(encrypted password)
  • keystore.alias.ssl — 此值区分大小写，必须更新为与 cacerts 别名完全匹配。
  • keystore.alias.signing — 此值区分大小写，必须更新为与 cacerts 别名完全匹配。
  • 示例文件位置和配置设置
  • Security Server：
    • application.properties 文件位置
    • application.properties 设置
    • keystore.password=CLR(changeit)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Compliance Reporter：

    
    图 89：（仅英文）eserver.properties

    • eserver.properties 文件位置
    • eserver.properties 设置
    • eserver.keystore.password=changeit
  • Device Server：
    • application.properties 文件位置

      
      图 90：（仅英文）application.properties

      • application.properties 设置
      • keystore.password=CLR(changeit)
      • keystore.alias.ssl=ddpe
• 重新启动服务在上一步中停止。
• 通过浏览到 https://server:8443/xapi/、https://server:8084/reporter 和 https://server:8081/xapi 并为每个 URL 执行以下步骤来验证指纹
  • 单击锁定图标。

    
    图 91：（仅英文）转至服务器 URL

  • 单击 View Certificates。

    
    图 92：（仅英文）查看证书

  • 单击 Details 选项卡。

    
    图 93：（仅限英文）单击 Details 选项卡

  • 向下滚动并单击 Thumbprint 以查看指纹，以验证每个服务是否使用正确的证书。

    
    图 94：（仅英文）单击“Thumbprint”

提醒：将 Windows 身份验证用于 SQL 时，导入 DM 证书可能不可用。运行“Test Database Configuration”操作以启用该选项。

• 使用 Server Configuration Tool 更新 .net 服务证书。
  • 停止 Core Server 和 Compatibility Server 服务。
  • 启动 Server Configuration Tool，然后从 Actions 菜单中选择 Configure Certificates，这会打开 Certificate Wizard。

    
    图 95：（仅英文）配置证书

  • 单击 Next 按钮，然后在 Certificate Wizard Mode 屏幕上选择 Advanced 单选按钮，然后单击 Next。

    
    图 96：（仅英文）高级

  • 在 Core Server SSL Certificate 屏幕上：选择 Select Certificate 单选按钮，然后单击 Next。

    
    图 97：（仅英文）选择证书

  • 在“Select Core Server SSL Certificate”屏幕上，单击 Browse… 按钮。
  • 然后在 Browse For Certificate 屏幕上选择要使用的证书并单击 OK。
  • 返回 Select Core Server SSL Certificate 屏幕后，单击 Next。

    
    图 98：（仅英文）选择证书并单击“Next”

  • 重复 消息安全证书的步骤。
  • 单击 Finish。
• 更新 Dell Manager 证书。
  • 从 Actions 菜单项中选择 Import DM Certificate。

    
    图 99：（仅英文）导入 DM 证书

  • 找到导出的 PFX 文件，然后单击 Open 按钮。

    
    图 100：（仅英文）打开导出的 PFX 文件

  • 输入导出的 PFX 文件的密码，然后单击 OK 按钮。

    
    图 101：（仅英文）输入密码

  • 关闭 Server Configuration Tool 并启动 Core Server 和 Compatibility Server 服务。

在新安装或升级 Dell Data Protection | Encryption 8.x 后，主安装程序可能会导致为安全服务器生成的证书缺少信息。可能缺少的信息包括但不限于：签名服务器的别名不提供默认的完全限定域名 (FQDN)，或者安全服务器可能根本没有服务器证书。本文介绍如何解决此问题。

错误消息

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

解决方法

要解决此问题，仅使用 keytool 无法正确生成替换证书。请执行以下步骤以生成替换证书。

1. 将当前安全服务器 cacerts 文件替换为从设备服务器复制的 cacerts 文件。
2. 如果安全服务器服务正在运行，则停止该服务。
3. 将在 \Program Files\…\Security Server\conf folder 中找到的 cacerts 文件作为备份重命名。
4. 将 cacerts 文件从 DS\conf 文件夹复制到 Security Server\conf 文件夹。
5. 从命令提示符运行 keytool 并找到 cacerts 文件的别名。

6. 输入密钥库密码