Anleitung zum Aktualisieren des Zertifikats für Dell Encryption-Services mithilfe eines vorhandenen Zertifikats im Microsoft Keystore

1. Geben Sie Start | Ausführen | MMC ein.

Abbildung 56: (Nur in englischer Sprache) MMC ausführen

2. Klicken Sie auf File | Add/Remove Snap-in.

Abbildung 57: (Nur Englisch) Klicken Sie auf „Add/Remove Snap-in“.

3. Wählen Sie im Fenster Add or Remove Snap-ins die Option Certificates und klicken Sie auf Add.

Abbildung 58: (Nur in englischer Sprache) Zertifikate hinzufügen

4. Wählen Sie das Optionsfeld Computer account aus, wenn Sie dazu aufgefordert werden, und klicken Sie auf Next.

Abbildung 59: (Nur in englischer Sprache) Computerkonto

5. Wählen Sie Local computer aus (standardmäßig ausgewählt) und klicken Sie auf Finish.

Abbildung 60: (Nur in englischer Sprache) Lokaler Computer (der Computer, auf dem die Konsole ausgeführt wird)

6. Klicken Sie im Fenster Add or Remove Snap-ins auf OK.

Abbildung 61: (Nur in englischer Sprache) Klicken Sie auf „OK“.

7. Klicken Sie in der MMC-Hauptkonsole auf das Pluszeichen (+), um das Zertifikat-Snap-in zu erweitern.

Abbildung 62: (Nur in englischer Sprache) Importieren

8. Gehen Sie zu Personal | Fensterbereich "Zertifikate ".
9. Klicken Sie mit der rechten Maustaste im Bereich Certificates und klicken Sie auf All Tasks | Import, um den Assistenten zum Importieren von Zertifikaten zu starten.

Abbildung 63: (Nur in englischer Sprache) Assistent zum Importieren von Zertifikaten

10. Befolgen Sie die Anweisungen des Assistenten, um das signierte Zertifikat zusammen mit dem privaten Schlüssel zu importieren. Die Zertifikatdatei muss in einem Containerformat sein, das sowohl das Endnutzerzertifikat als auch den privaten Schlüssel aufweist.

Abbildung 64: (Nur in englischer Sprache) Klicken Sie auf Weiter und folgen Sie dem Assistenten, um das signierte Zertifikat zu importieren.

11. Klicken Sie auf Durchsuchen.

Abbildung 65: (Nur Englisch) Klicken Sie auf „Browse“.

12. Gehen Sie im Dialogfeld „Open“ wie folgt vor:
    1. Ändern Sie die Datei in "Austausch personenbezogener Informationen" (*.pfx, *.p12).)
    2. Navigieren Sie zu dem Zertifikat, das Sie importieren möchten, und wählen Sie es aus (ddpe.pfx ist das Zertifikat, das im Beispiel verwendet wird).
    3. Klicken Sie auf OK.

Abbildung 66: (Nur in englischer Sprache) Personal Information Exchange (*.pfx, *.p12)

13. Gehen Sie auf dem Bildschirm „Private key protection“ wie folgt vor:
    1. Geben Sie optional ein Kennwort ein.
    2. Setzen Sie ein Häkchen und markieren Sie diesen Schlüssel als exportierbar. Auf diese Weise können Sie unsere Schlüssel später sichern oder transportieren.
    3. Setzen Sie ein Häkchen und schließen Sie alle erweiterten Eigenschaften ein.
    4. Klicken Sie auf Next.

Abbildung 67: (Nur in englischer Sprache) Schutz privater Schlüssel

14. Aktivieren Sie die Option Place all certificates in the following store: Personal und klicken Sie auf Next.

Abbildung 68: (Nur in englischer Sprache) Zertifikatspeicher

15. Klicken Sie auf Fertig stellen.

Abbildung 69: (Nur in englischer Sprache) Klicken Sie auf „Fertig stellen“.

Exportieren Sie das Zertifikat mit dem privaten Schlüssel und dem Zertifizierungspfad aus der MMC.

1. Öffnen Sie das Startmenü und wählen Sie Run aus.

Abbildung 70: (Nur in englischer Sprache) „Run“ öffnen 

2. Geben Sie MMC ein und drücken Sie OK.

Abbildung 71: (Nur in englischer Sprache) MCC eingeben

3. Klicken Sie im oberen Menü des MMC auf File und wählen Sie Add/Remove Snap-in aus.

Abbildung 72: (Nur in englischer Sprache) „Add/Remove Snap-in“ auswählen

4. Wählen Sie im Bereich Available snap-ins des Fensters Add or Remove Snap-ins die Option Certificates aus und klicken Sie dann auf die Add > Taste, wodurch das Fenster Certificates snap-in geöffnet wird.

Abbildung 73: (Nur in englischer Sprache) Zertifikat-Snap-in öffnen

5. Wählen Sie das Optionsfeld Computer Account aus und klicken Sie dann auf die Schaltfläche Next >.

Abbildung 74: (Nur in englischer Sprache) Computerkonto

6. Klicken Sie auf die Schaltfläche Finish, um das Fenster Certificates snap-in zu schließen.

Abbildung 75: (Nur in englischer Sprache) Lokaler Computer (auf dem Computer, auf dem diese Konsole ausgeführt wird)

7. Klicken Sie im Fenster Add or Remove Snap-ins auf OK, um das Hinzufügen des Snap-ins abzuschließen.

Abbildung 76: (Nur in englischer Sprache) Klicken Sie auf „OK“.

8. Erweitern Sie im MMC-Fenster die Option Certificates (Local Computer) und wählen Sie dann den Personal Ordner. Wählen Sie dann den Ordner Certificates aus.

Abbildung 77: (Nur in englischer Sprache) „Certificates“ auswählen

9. Bestimmen Sie das Zertifikat aus, das Sie entfernen möchten. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie All Tasks aus und wählen Sie Export aus.

Abbildung 78: (Nur in englischer Sprache) Exportieren

10. Klicken Sie im Certificate Export Wizard auf die Schaltfläche Next >.

Abbildung 79: (Nur in englischer Sprache) Certificate Export Wizard

11. Wählen Sie im Bildschirm Export Private Key das Optionsfeld Yes, export the private key aus und klicken Sie auf die Schaltfläche Next >.

Abbildung 80: (Nur in englischer Sprache) Privaten Schlüssel exportieren

12. Wählen Sie auf dem Bildschirm Export File Format die Option Personal Information Exchange - PKCS #12 (.PFX) das Optionsfeld und aktivieren Sie nach Möglichkeit das Kontrollkästchen zum Einschließen aller Zertifikate in den Zertifizierungspfad und das Kontrollkästchen Export all extended properties und klicken Sie dann auf Next.

Abbildung 81: (Nur in englischer Sprache) Personal Information Exchange - PKCS#12(.PFX)

13. Weisen Sie der Datei ein Kennwort zu und klicken Sie auf die Schaltfläche Next >.

Abbildung 82: (Nur in englischer Sprache) Kennwort erstellen

14. Wählen Sie den Speicherort und den Namen der Exportdatei aus und klicken Sie dann auf Next.

Abbildung 83: (Nur in englischer Sprache) Wählen Sie den Speicherort und Namen der Exportdatei aus.

15. Klicken Sie auf die Schaltfläche Finish.

Abbildung 84: (Nur in englischer Sprache) Klicken Sie auf „Fertig stellen“.

• Erstellen Sie einen Ordner im Stammverzeichnis C namens „Cert“ und verschieben Sie den exportierten PFX aus dem Schritt „Exportieren des Zertifikats mit dem privaten Schlüssel und dem Zertifizierungspfad aus dem MMC“ in diesen Ordner.
• Kopieren Sie die Cacerts-Datei aus dem Verzeichnis C:\Program Files\Dell\Enterprise Edition\Security Server\Conf und kopieren Sie sie in den Ordner C:\Cert.
• Rufen Sie den Aliasnamen vom exportierten Zertifikat ab.
  • Öffnen Sie eine Eingabeaufforderung mit administrativen Rechten.
  • Fügen Sie über die Eingabeaufforderung das Java-Bin-Verzeichnis zum Pfad hinzu. Der folgende Beispielbefehl verwendet den Standardinstallationsordner für den Java-Bin-Ordner und muss möglicherweise aktualisiert werden.
  • Set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

Abbildung 85: (Nur in englischer Sprache) set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin eingeben

• Navigieren Sie in der Eingabeaufforderung zum Verzeichnis C:\Cert Folder.
• Führen Sie das Key Tool Utility aus, um die Informationen im exportierten Zertifikat aufzulisten. Der folgende Befehl muss mit den Werten aktualisiert werden, die beim Exportieren des Zertifikats (PFX) verwendet werden. Nachdem der Befehl ausgeführt wurde, muss das Kennwort für das exportierte Zertifikat angegeben werden, um auf die Informationen zugreifen zu können.
  • Befehl:
    • keytool -list -v -keystore -storetype PKCS12
  • Parameter:
    • : Der Name der exportierten Zertifikatdatei

Abbildung 86: (Nur Englisch) Geben Sie keytool -list -v -keystore -storetype PKCS12 ein.

• Notieren Sie den Wert nach dem Aliasnamen aus der Ausgabe des vorherigen Befehls.
• Importieren Sie das Zertifikat in die cacerts-Datei.
  • Führen Sie über die im ersten Schritt geöffnete Eingabeaufforderung das Key-Tool-Dienstprogramm aus, um die exportierte PFX-Datei in eine cacerts-Datei zu importieren. Der folgende Befehl muss mit Informationen aktualisiert werden, die bisher während des gesamten Prozesses erfasst wurden. Nachdem der Befehl ausgeführt wurde, muss das Kennwort für das exportierte Zertifikat angegeben werden, um auf die zu importierenden Informationen zuzugreifen.
  • Schließen Sie die Eingabeaufforderung.
    • Befehl:
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • Parameter:
      • : Der Name der exportierten Zertifikatdatei
      • : Der Aliasname, der zuvor in aufgezeichnet wurde
      • : Der Dateiname der cacerts-Datei, die aktualisiert wird.
      • : Das Kennwort, das alle in der Cacerts-Datei gespeicherten Informationen schützt. Dies muss mit dem Wert für das Cacerts-Aliaskennwort übereinstimmen.
      • : Der Alias, unter dem die Zertifikatinformationen in der Cacerts-Datei gespeichert sind. Es wird empfohlen, ddpe zu nutzen. Dies ist jedoch nicht erforderlich.
      • : Das Kennwort, das die im angegebenen Alias in der Cacerts-Datei gespeicherten Informationen schützt. Dies muss mit dem Wert für übereinstimmen.

Abbildung 87: (Nur Englisch) Geben Sie keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass ein.

• Sichern Sie die vorhandene Cacerts-Datei für die Java-Services:
  • Beenden Sie jeden Service aus der Liste unten. Je nach Architektur der Umgebung und der installierten Serverversion sind möglicherweise nicht alle Services in der Liste vorhanden.
  • Benennen Sie die vorhandene Cacerts-Datei in cacerts um. DDMMYY, wobei DDMMYY das Datum im zweistelligen Tag-, Monat- und Jahresformat ist. Die Cacerts-Datei befindet sich im conf.Ordner im Serviceinstallationsordner.
    • Compliance Reporter: Der Standardspeicherort für den Compliance Reporter-Service ist C:\Program Files\Dell\Enterprise Edition\Compliance Reporter.
    • Device Server: Der Standardspeicherort für den Geräteserverservice ist C:\Program Files\Dell\Enterprise Edition\Device Server.
    • Identity Server: Der Standardspeicherort für den Identity Server-Service ist C:\Program Files\Dell\Enterprise Edition\Identity Server.
    • Security Server: Der Standardspeicherort für den Security Server-Service ist C:\Program Files\Dell\Enterprise Edition\Security Server.
    • Console Web Services: Der Standardspeicherort für die Console Web Services ist C:\Program Files\Dell\Enterprise Edition\Console.
    Hinweis: Console Web Services ist veraltet ab Dell Security Management Server (ehemals Dell Data Protection | Enterprise Edition) v9.2.
• Kopieren Sie die erzeugte Cacerts-Datei für jeden service, der gesichert wurde, in den conf-Ordner.

• Aktualisieren Sie die Dateien application.properties und eserver.properties mit den neuen Cacerts-Werten.

  
  Abbildung 88: (Nur in englischer Sprache) application.preperties und eserver.properties aktualisieren

  • Öffnen Sie die Datei application.properties/eserver.properties und aktualisieren Sie die folgenden Werte. Möglicherweise sind nicht alle Werte in einer oder mehreren Konfigurationsdateien für jeden Service vorhanden. Wenn kein Wert vorhanden ist, überspringen Sie ihn und aktualisieren Sie die verbleibenden Werte in den Dateien.
  • eserver.keystore.password: Dies muss mit der Java Keystore-Datei, cacerts und dem zugewiesenen Kennwort aktualisiert werden. Der Wert muss wie im folgenden Beispiel formatiert werden.
    • eserver.keystore.password=password
  • keystore.password: Dies muss mit dem Java Keystore-Kennwort, cacerts und dem Alias-Kennwort aktualisiert werden. Der Wert muss wie im folgenden Beispiel formatiert werden.
    • keystore.password = CLR (Kennwort)
  • Sobald der Service gestartet wurde, wird der Wert verschlüsselt und die Einstellung sieht so aus.
    • keystore.password = ENC (verschlüsseltes Kennwort)
  • keystore.alias.ssl: Bei diesem Wert wird zwischen Groß- und Kleinschreibung unterschieden und er muss so aktualisiert werden, dass er genau mit dem Cacerts-Alias übereinstimmt.
  • keystore.alias.signing: Bei diesem Wert wird zwischen Groß- und Kleinschreibung unterschieden und er muss so aktualisiert werden, dass er genau mit dem Cacerts-Alias übereinstimmt.
  • Beispieldateispeicherorte und Konfigurationseinstellungen
  • Sicherheitsserver:
    • Speicherort der Datei application.properties
    • application.properties Einstellungen
    • keystore.password=CLR(changeit)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Compliance Reporter:

    
    Abbildung 89: (Nur in englischer Sprache) eserver.properties

    • Speicherort der Datei eserver.properties
    • eserver.properties Einstellungen
    • eserver.keystore.password=changeit
  • Geräteserver:
    • Speicherort der Datei application.properties

      
      Abbildung 90: (Nur in englischer Sprache) appliation.properties

      • application.properties Einstellungen
      • keystore.password=CLR(changeit)
      • keystore.alias.ssl=ddpe
• Starten Sie die Dienste neu, die im vorherigen Schritt beendet wurden.
• Validieren Sie den Fingerabdruck, indem Sie zu https://server:8443/xapi/, https://server:8084/reporter und https://server:8081/xapi navigieren und die folgenden Schritte für jede URL ausführen.
  • Klicken Sie auf das Schlosssymbol.

    
    Abbildung 91: (Nur in englischer Sprache) Zur Server-URL wechseln

  • Klicken Sie auf View Certificates.

    
    Abbildung 92: (Nur in englischer Sprache) Zertifikat anzeigen

  • Klicken Sie auf die Registerkarte Details.

    
    Abbildung 93: (Nur in englischer Sprache) Klicken Sie auf die Registerkarte Details.

  • Scrollen Sie nach unten und klicken Sie auf Thumbprint, um den Fingerabdruck anzuzeigen, um zu überprüfen, ob jeder Service das richtige Zertifikat verwendet.

    
    Abbildung 94: (Nur in englischer Sprache) Auf „Thumbprint“ klicken

Hinweis: Das Importieren des DM-Zertifikats ist möglicherweise nicht verfügbar, wenn Windows-Authentifizierung in SQL verwendet wird. Führen Sie die Aktion "2Test Database Configuration“ aus, um die Option zu aktivieren.

• Aktualisieren Sie die .net-Servicezertifikate mithilfe des Serverkonfigurationstools.
  • Beenden Sie die Core Server und Compatibility Server Services.
  • Starten Sie das Serverkonfigurationstool und wählen Sie Configure Certificates aus dem Menüelement Actions aus, wodurch der Certificate Wizard geöffnet wird.

    
    Abbildung 95: (Nur in englischer Sprache) Zertifikat konfigurieren

  • Klicken Sie auf die Schaltfläche Next, wählen Sie dann das Optionsfeld Advanced im Bildschirm Certificate Wizard Mode und klicken Sie dann auf Next.

    
    Abbildung 96: (Nur in englischer Sprache) Erweitert

  • Gehen Sie auf dem Bildschirm Core Server SSL Certificate wie folgt vor: Wählen Sie das Optionsfeld Select Certificate aus und klicken Sie dann auf Next.

    
    Abbildung 97: (Nur in englischer Sprache) Zertifikat auswählen

  • Klicken Sie auf dem Bildschirm „Select Core Server SSL Certificate“ auf die Schaltfläche Browse....
  • Wählen Sie dann auf dem Bildschirm Browse For Certificate das zu verwendende Zertifikat aus und klicken Sie auf OK.
  • Klicken Sie auf dem Bildschirm Select Core Server SSL Certificate auf Next.

    
    Abbildung 98: (Nur in englischer Sprache) Zertifikat auswählen und auf „Next“ klicken

  • Wiederholen Sie die Schritte für das Meldungssicherheitszertifikat.
  • Klicken Sie auf Fertig stellen.
• Aktualisieren Sie das Dell Manager-Zertifikat.
  • Wählen Sie Import DM Certificate aus dem Menüelement Actions aus.

    
    Abbildung 99: (Nur in englischer Sprache) DM-Zertifikat importieren

  • Suchen Sie die exportierte PFX-Datei und klicken Sie auf die Schaltfläche Open.

    
    Abbildung 100: (Nur in englischer Sprache) Exportierte PFX-Datei öffnen

  • Geben Sie das Kennwort in die exportierte PFX-Datei ein und klicken Sie auf die Schaltfläche OK.

    
    Abbildung 101: (Nur in englischer Sprache) Kennwort eingeben

  • Schließen Sie das Serverkonfigurationstool und starten Sie die Core Server und Compatibility Server Services.

Während einer neu installierten oder aktualisierten Dell Data Protection | Encryption 8.x das Master-Installationsprogramm kann dazu führen, dass das Zertifikat, das für den Security Server erzeugt wird, informationen fehlen. Zu den möglicherweise fehlenden Informationen zählen u. a.: Der Alias für den Signaturserver enthält nicht den standardmäßigen vollständig qualifizierten Domainnamen (FQDN) oder der Security Server verfügt möglicherweise überhaupt nicht über ein Serverzertifikat. In diesem Artikel erfahren Sie, wie Sie dieses Problem umgehen.

Fehlermeldung

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

Problemumgehung

Um dieses Problem zu umgehen, erzeugt die Verwendung von keytool allein kein Ersatzzertifikat. Führen Sie die folgenden Schritte aus, um das Ersatzzertifikat zu erzeugen.

1. Ersetzen Sie die aktuelle Security Server-Cacerts-Datei durch eine cacerts-Datei, die vom Geräteserver kopiert wurde.
2. Beenden Sie den Security Server-Service, wenn er ausgeführt wird.
3. Benennen Sie die cacerts-Datei, die sich im Ordner \Program Files\...\Security Server\conf befindet, als Backup um.
4. Kopieren Sie die Cacerts-Datei aus dem Ordner DS\conf in den Ordner Security Server\conf.
5. Führen Siekeytool über eine Eingabeaufforderung aus und suchen Sie den Alias für die Cacerts-Datei.

6. Geben Sie das Keystore-Kennwort ein.