Comment mettre à jour le certificat des services Dell Encryption à l’aide d’un certificat existant dans le magasin de clés Microsoft

1. Saisissez Démarrer | Exécuter | MMC.

Figure 56 : (En anglais uniquement) Exécuter MMC

2. Cliquez sur Fichier | Ajouter/Supprimer un composant logiciel enfichable.

Figure 57 : (En anglais uniquement) Cliquez sur Ajouter/Supprimer un composant logiciel enfichable

3. Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis cliquez sur Ajouter.

Figure 58 : (En anglais uniquement) Ajouter un certificat

4. Sélectionnez le bouton d’option Compte d’ordinateur lorsque vous y êtes invité, puis cliquez sur Suivant.

Figure 59 : (En anglais uniquement) Compte d’ordinateur

5. Sélectionnez Ordinateur local (sélectionné par défaut), puis cliquez sur Terminer.

Figure 60 : (En anglais uniquement) Sélectionnez Ordinateur local (l’ordinateur sur lequel cette console s’exécute)

6. Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, cliquez sur OK.

Figure 61 : (En anglais uniquement) Cliquez sur OK

7. Dans la console MMC principale, cliquez sur le symbole plus (+) pour développer le composant logiciel enfichable Certificat.

Figure 62 : (En anglais uniquement) Importation

8. Accédez à Personal | Volet Certificats .
9. Cliquez avec le bouton droit de la souris dans le panneau Certificats, puis cliquez sur Toutes les tâches | Importation pour démarrer l’Assistant Importation de certificat.

Figure 63 : (En anglais uniquement) Assistant Importation de certificat

10. Suivez l’Assistant pour importer le certificat signé avec la clé privée. Le fichier de certificat doit être au format conteneur : il doit contenir avec à la fois le certificat de l’utilisateur final et sa clé privée.

Figure 64 : (en anglais uniquement) Cliquez sur Suivant et suivez l’Assistant pour importer le certificat signé.

11. Cliquez sur Parcourir.

Figure 65 : (En anglais uniquement) Cliquez sur Parcourir

12. Dans la boîte de dialogue Ouvrir :
    1. Remplacez le fichier par Échange d’informations personnelles (*.pfx, *.p12).
    2. Recherchez et sélectionnez le certificat que vous souhaitez importer (ddpe.pfx est le certificat utilisé dans l’exemple).
    3. Cliquez sur OK.

Figure 66 : (En anglais uniquement) Échange d’informations personnelles (*.pfx, *.p12)

13. Sur l’écran Protection de la clé privée :
    1. Si vous le souhaitez, saisissez un mot de passe
    2. Cochez la case Marquer cette clé comme exportable. Cela vous permettra de sauvegarder et de transporter vos clés ultérieurement.
    3. Cochez la case Inclure toutes les propriétés étendues.
    4. Cliquez sur Next.

Figure 67 : (En anglais uniquement) Protection de la clé privée

14. Sélectionnez Placer tous les certificats dans le magasin suivant : Personnel et cliquez sur Suivant.

Figure 68 : (En anglais uniquement) Magasin de certificats

15. Cliquez sur Terminer.

Figure 69 : Cliquez sur Terminer (en anglais uniquement)

Exportez le certificat avec la clé privée et le chemin de certification à partir du MMC.

1. Ouvrez le menu Démarrer et sélectionnez Exécuter.

Figure 70 : (En anglais uniquement) Ouvrez le menu Exécuter 

2. Saisissez MMC et appuyez sur OK.

Figure 71 : (En anglais uniquement) Saisissez MMC

3. Cliquez sur Fichier dans le menu supérieur de MMC, puis sélectionnez Ajouter/Supprimer un composant logiciel enfichable.

Figure 72 : (En anglais uniquement) Sélectionnez Ajouter/Supprimer un composant logiciel enfichable

4. Dans le volet Composants logiciels enfichables disponibles de la fenêtre Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis cliquez sur le bouton Ajouter > pour accéder à la fenêtre Composant logiciel enfichable Certificats.

Figure 73 : (En anglais uniquement) Ouvrez le composant logiciel enfichable Certificat

5. Sélectionnez le bouton d’option Compte d’ordinateur, puis cliquez sur le bouton Suivant >.

Figure 74 : (En anglais uniquement) Compte d’ordinateur

6. Cliquez sur le bouton Terminer pour fermer la fenêtre Composant logiciel enfichable Certificats.

Figure 75 : (En anglais uniquement) Ordinateur local (L’ordinateur sur lequel cette console s’exécute)

7. Cliquez sur OK dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables pour terminer l’ajout du composant logiciel enfichable.

Figure 76 : (En anglais uniquement) Cliquez sur OK

8. Dans la fenêtre MMC, développez Certificats (Ordinateur local) et le dossier Personnel. Sélectionnez ensuite le dossier Certificats.

Figure 77 : (En anglais uniquement) Sélectionnez Certificats

9. Identifiez le certificat que vous souhaitez exporter. Cliquez avec le bouton droit de la souris sur le certificat, sélectionnez Toutes les tâches et choisissez Exporter.

Figure 78 : (En anglais uniquement) Exporter

10. Dans la fenêtre Assistant Exportation de certificat, cliquez sur le bouton Suivant.

Figure 79 : (En anglais uniquement) Assistant Exportation de certificat

11. Sur l’écran Exporter la clé privée, sélectionnez le bouton d’option Oui, exporter la clé privée, puis cliquez sur le bouton Suivant.

Figure 80 : (En anglais uniquement) Exporter la clé privée

12. Sur l’écran Format de fichier d’exportation, sélectionnez Échange d’informations personnelles - PKCS #12 (.PFX), cochez la case Inclure tous les certificats dans le chemin de certification, si possible, puis cochez la case Exporter toutes les propriétés étendues et cliquez sur Suivant.

Figure 81 : (En anglais uniquement) Échange d’informations personnelles - PKCS#12 (.PFX)

13. Attribuez un mot de passe au fichier, puis cliquez sur le bouton Suivant >.

Figure 82 : (En anglais uniquement) Créer un mot de passe

14. Choisissez l’emplacement et le nom du fichier d’exportation, puis cliquez sur Suivant.

Figure 83 : (en anglais uniquement) Choisissez l’emplacement et le nom du fichier d’exportation.

15. Cliquez sur Finish (Terminer).

Figure 84 : Cliquez sur Terminer (en anglais uniquement)

• Créez un dossier à la racine de C appelé Cert et déplacez dans ce dossier le PFX exporté à partir de l’étape « Exporter le certificat avec la clé privée et le chemin de certification à partir du MMC ».
• Effectuez une copie du fichier cacerts dans le répertoire C:\Program Files\Dell\Enterprise Edition\Security Server\Conf et copiez-le dans le dossier C:\Cert.
• Récupérez le nom d’alias à partir du certificat exporté.
  • Ouvrez une invite de commande d’administration.
  • À partir de l’invite de commande, ajoutez le répertoire bin Java au chemin. L’exemple de commande suivant utilise le dossier d’installation par défaut pour le dossier bin Java et doit peut-être être mis à jour.
  • Set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

Figure 85 : (En anglais uniquement) Saisissez set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

• À partir de l’invite de commande, accédez au répertoire C:\Cert Folder.
• Exécutez l’utilitaire key tool pour répertorier les informations contenues dans le certificat exporté. La commande suivante doit être mise à jour avec les valeurs utilisées lors de l’exportation du certificat (PFX). Une fois la commande exécutée, le mot de passe du certificat exporté doit être fourni pour accéder aux informations.
  • Commande :
    • keytool -list -v -keystore -storetype PKCS12
  • Paramètres :
    •  : nom du fichier de certificat exporté.

Figure 86 : (En anglais uniquement) Saisissez keytool -list -v -keystore -storetype PKCS12

• Enregistrez la valeur après le nom d’alias, à partir du résultat de la commande précédente.
• Importez le certificat dans le fichier cacerts.
  • À partir de l’invite de commande ouverte à la première étape, exécutez l’utilitaire key tool pour importer le fichier PFX exporté dans un fichier cacerts. La commande suivante doit être mise à jour avec les informations que vous avez recueillies jusqu’ici tout au long du processus. Une fois la commande exécutée, le mot de passe du certificat exporté doit être fourni pour accéder aux informations à importer.
  • Fermez l’invite de commandes.
    • Commande :
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • Paramètres :
      •  : nom du fichier de certificat exporté.
      •  : nom d’alias enregistré précédemment.
      •  : nom du fichier cacerts mis à jour.
      •  : mot de passe qui protège toutes les informations stockées dans le fichier cacerts. Cette valeur doit correspondre à celle du mot de passe de l’alias cacerts.
      •  : alias sous lequel les informations de certificat sont stockées dans le fichier cacerts. Bien que cela ne soit pas obligatoire, il est recommandé d’effectuer cette opération ddpe.
      •  : mot de passe qui protège les informations stockées dans l’alias spécifié dans le fichier cacerts. Cette valeur doit correspondre à celle de .

Figure 87 : (En anglais uniquement) Saisissez keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass

• Sauvegardez le fichier cacerts existant pour les services Java :
  • Arrêtez chaque service dans la liste ci-dessous. En fonction de l’architecture de l’environnement et de la version du serveur installée, tous les services de la liste peuvent ne pas être présents.
  • Renommez le fichier cacerts existant en cacerts. JJMMAA où JJMMAA est la date au format jour, mois et année à deux chiffres. Le fichier cacerts se trouve dans le dossier conf du dossier d’installation du service.
    • Compliance Reporter : l’emplacement par défaut du service Compliance Reporter est C:\Program Files\Dell\Enterprise Edition\Compliance Reporter.
    • Device Server : l’emplacement par défaut du service Device Server est C:\Program Files\Dell\Enterprise Edition\Device Server.
    • Identity Server : l’emplacement par défaut du service Identity Server est C:\Program Files\Dell\Enterprise Edition\Identity Server.
    • Security Server : l’emplacement par défaut du service Security Server est C:\Program Files\Dell\Enterprise Edition\Security Server.
    • Console Web Services : l’emplacement par défaut de Console Web Services est C:\Program Files\Dell\Enterprise Edition\Console.
    Remarque : Console Web Services n’est plus utilisé dans Dell Security Management Server (anciennement Dell Data Protection | Enterprise Edition) v9.2.
• Copiez le fichier cacerts généré dans le dossier conf pour chaque service que vous avez sauvegardé.

• Mettez à jour les fichiers application.properties et eserver.properties avec les nouvelles valeurs cacerts.

  
  Figure 88 : (En anglais uniquement) Mettre à jour application.properties et eserver.properties

  • Ouvrez le fichier application.properties/eserver.properties et mettez à jour les valeurs suivantes. Toutes les valeurs peuvent ne pas être présentes dans un ou plusieurs fichiers de configuration pour chaque service. Si aucune valeur n’est présente, ignorez-la et mettez à jour les valeurs restantes présentes dans les fichiers.
  • eserver.keystore.password : doit être mis à jour avec le fichier de magasin de clés Java, les valeurs cacerts et le mot de passe attribué. La valeur doit suivre le format de l’exemple ci-dessous.
    • eserver.keystore.password=password
  • keystore.password : doit être mis à jour avec le mot de passe du magasin de clés Java, les valeurs cacerts et le mot de passe d’alias. La valeur doit suivre le format de l’exemple ci-dessous.
    • keystore.password = CLR(password)
  • Une fois le service démarré, la valeur est chiffrée et le paramètre ressemble à ce qui suit.
    • keystore.password = ENC(encrypted password)
  • keystore.alias.ssl : cette valeur est sensible à la casse et doit être mise à jour pour correspondre exactement à l’alias cacerts.
  • keystore.alias.signing : cette valeur est sensible à la casse et doit être mise à jour pour correspondre exactement à l’alias cacerts.
  • Exemples d’emplacements de fichier et de paramètres de configuration
  • Serveur de sécurité :
    • Emplacement du fichier application.properties
    • Paramètres application.properties
    • keystore.password=CLR(changeit)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Compliance Reporter :

    
    Figure 89 : (En anglais uniquement) eserver.properties

    • Emplacement du fichier eserver.properties
    • Paramètres eserver.properties
    • eserver.keystore.password=changeit
  • Serveur de périphérique :
    • Emplacement du fichier application.properties

      
      Figure 90 : (En anglais uniquement) application.properties

      • Paramètres application.properties
      • keystore.password=CLR(changeit)
      • keystore.alias.ssl=ddpe
• Redémarrez les services arrêtés à l’étape précédente.
• Pour valider l’empreinte numérique, accédez à https://server:8443/xapi/, https://server:8084/reporter et https://server:8081/xapi et effectuez les étapes suivantes pour chaque URL
  • Cliquez sur l’icône de verrou.

    
    Figure 91 : (En anglais uniquement) Accédez à l’URL du serveur

  • Cliquez sur Afficher le certificat.

    
    Figure 92 : (En anglais uniquement) Afficher le certificat

  • Cliquez sur l’onglet Détails.

    
    Figure 93 : (en anglais uniquement) Cliquez sur l’onglet Détails.

  • Faites défiler vers le bas, puis cliquez sur Empreinte numérique pour afficher l’empreinte numérique afin de vérifier que chaque service utilise le certificat approprié.

    
    Figure 94 : (En anglais uniquement) Cliquez sur Empreinte numérique

Remarque : L’importation d’un certificat DM peut être indisponible lors de l’utilisation de l’authentification Windows sur SQL. Exécutez l’action « Tester la configuration de la base de données » pour activer l’option.

• Mettez à jour les certificats de service .net à l’aide de l’outil de configuration de serveur.
  • Arrêtez les services Core Server et Compatibility Server.
  • Démarrez l’outil de configuration de serveur et sélectionnez Configurer les certificats dans l’élément de menu Actions qui ouvre l’Assistant Certificat.

    
    Figure 95 : (En anglais uniquement) Configurer le certificat

  • Cliquez sur le bouton Suivant, puis sélectionnez le bouton d’option Avancé sur l’écran Mode Assistant Certificat, puis cliquez sur Suivant.

    
    Figure 96 : (En anglais uniquement) Avancé

  • Sur l’écran Certificat SSL de Core Server : Sélectionnez le bouton d’option Sélectionner un certificat, puis cliquez sur Suivant.

    
    Figure 97 : (En anglais uniquement) Sélectionner un certificat

  • Sur l’écran de sélection du certificat SSL de Core Server, cliquez sur le bouton Parcourir....
  • Ensuite, sur l’écran Rechercher un certificat, sélectionnez le certificat à utiliser, puis cliquez sur OK.
  • De retour sur l’écran Sélectionner le certificat SSL de Core Server, cliquez sur Suivant.

    
    Figure 98 : (En anglais uniquement) Sélectionnez Certificat, puis cliquez sur Suivant.

  • Répétez les étapes du certificat de sécurité des messages.
  • Cliquez sur Terminer.
• Mettez à jour le certificat Dell Manager.
  • Sélectionnez Importer un certificat DM à partir de l’élément de menu Actions.

    
    Figure 99 : (En anglais uniquement) Importer des certificats DM

  • Localisez le fichier PFX exporté, puis cliquez sur le bouton Ouvrir.

    
    Figure 100 : (En anglais uniquement) Ouvrir le fichier PFX exporté

  • Saisissez le mot de passe dans le fichier PFX exporté, puis cliquez sur le bouton OK.

    
    Figure 101 : (en anglais uniquement) Saisissez le mot de passe

  • Fermez l’outil de configuration de serveur et démarrez les services Core Server et Compatibility Server.

Lors d’une nouvelle installation ou d’une mise à niveau de Dell Data Protection | Encryption 8.x, certaines informations peuvent être absentes sur le certificat généré pour Security Server en raison du programme d’installation principal. Exemples d’informations manquantes (liste non exhaustive) : l’alias du serveur de signature ne fournit pas le nom de domaine complet (FQDN) par défaut ou le Security Server peut ne pas avoir de certificat de serveur. Cet article vous explique comment résoudre ce problème.

Message d’erreur

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

Solution

Pour contourner ce problème, l’utilisation du keytool seul ne permet pas de générer correctement un certificat de remplacement. Procédez comme suit pour générer le certificat de remplacement.

1. Remplacez l’actuel fichier cacerts de Security Server par un fichier cacerts copié à partir du Device Server.
2. Arrêtez le service Security Server s’il est en cours d’exécution.
3. Renommez le fichier cacerts qui se trouve dans le dossier \Program Files\...\Security Server\conf en tant que fichier de sauvegarde.
4. Copiez le fichier cacerts du dossier DS\conf dans le dossier Security Server\conf.
5. Exécutez le keytool à partir d’une invite de commande et recherchez l’alias du fichier cacerts.

6. Saisissez le mot de passe du magasin de clés