Microsoft 키 저장소의 기존 인증서를 사용하여 Dell Encryption 서비스의 인증서를 업데이트하는 방법

1. Start | Run | MMC를 입력합니다.

그림 56: (영어로만 제공) MMC 실행

2. File | Add/Remove Snap-in을 클릭합니다.

그림 57: (영어로만 제공) Add/Remove Snap-in 클릭

3. Add or Remove Snap-ins 창에서 Certificates를 선택하고 Add를 클릭합니다.

그림 58: (영어로만 제공) 인증서 추가

4. 메시지가 나타나면 Computer account 원형 버튼을 선택하고 Next를 클릭합니다.

그림 59: (영어로만 제공) 컴퓨터 계정

5. Local computer(기본적으로 선택됨)를 선택하고 Finish를 클릭합니다.

그림 60: (영어로만 제공) 로컬 컴퓨터: (이 콘솔이 실행되고 있는 컴퓨터)

6. Add or Remove Snap-ins 창에서 OK를 클릭합니다.

그림 61: (영어로만 제공) OK 클릭

7. MMC 기본 콘솔에서 더하기(+) 기호를 클릭하여 Certificate 스냅인을 확장합니다.

그림 62: (영어로만 제공) 가져오기

8. 개인 | 인증서 창입니다.
9. Certificates 패널 내에서 오른쪽 클릭하고 All Tasks | Import를 클릭하여 인증서 가져오기 마법사를 시작합니다.

그림 63: (영어로만 제공) 인증서 가져오기 마법사

10. 마법사를 따라 서명된 인증서와 개인 키를 가져옵니다. 인증서 파일은 최종 사용자 인증서와 개인 키가 모두 포함된 컨테이너 형식이어야 합니다.

그림 64: (영어로만 제공) Next를 클릭하고 마법사를 따라 서명된 인증서를 가져옵니다.

11. 찾아보기를 클릭합니다.

그림 65: (영어로만 제공) Browse 클릭

12. Open 대화 상자에서 다음을 수행합니다.
    1. 파일을 개인 정보 교환(*.pfx, *.p12)으로 변경합니다.
    2. 가져올 인증서를 찾아 선택합니다(이 예에서 사용된 인증서: ddpe.pfx).
    3. 확인을 클릭합니다.

그림 66: (영어로만 제공) Personal Information Exchange (*.pfx, *.p12)

13. Private key protection 화면에서 다음을 수행합니다.
    1. 필요에 따라 비밀번호를 입력합니다.
    2. Mark this key as exportable 확인란을 선택합니다. 이렇게 하면 나중에 키를 백업하거나 전송할 수 있습니다.
    3. Include all extended properties 확인란을 선택합니다.
    4. Next를 클릭합니다.

그림 67: (영어로만 제공) 개인 키 보호

14. Place all certificates in the following store: Personal을 선택하고 Next를 클릭합니다.

그림 68: (영어로만 제공) 인증서 저장소

15. Finish를 클릭합니다.

그림 69: (영어로만 제공) Finish 클릭

MMC에서 개인 키와 인증서 경로를 사용하여 인증서를 내보냅니다.

1. 시작 메뉴를 열고 Run을 선택합니다.

그림 70: (영어로만 제공) Run 열기 

2. MMC를 입력하고 OK를 누릅니다.

그림 71: (영어로만 제공) MMC 입력

3. MMC의 상단 메뉴에서 File을 클릭하고 Add/Remove Snap-in을 선택합니다.

그림 72: (영어로만 제공) Add/Remove Snap in 선택

4. Add or Remove Snap-ins 창의 Available snap-ins 영역에서 Certificates를 선택한 다음 Add > 버튼을 클릭하여 Certificates snap-in 창을 엽니다.

그림 73: (영어로만 제공) Certificate snap-in 열기

5. Computer Account 원형 버튼을 선택하고 Next > 버튼을 클릭합니다.

그림 74: (영어로만 제공) 컴퓨터 계정

6. Finish 버튼을 클릭하여 Certificates snap-in 창을 닫습니다.

그림 75: (영어로만 제공) 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)

7. Add or Remove Snap-ins 창에서 OK를 클릭하여 스냅인 추가를 마칩니다.

그림 76: (영어로만 제공) OK 클릭

8. MMC 창에서 Certificates (Local Computer) 및 Personal 폴더를 확장합니다. 그런 다음 Certificates 폴더를 선택합니다.

그림 77: (영어로만 제공) Certificates 선택

9. 내보낼 인증서를 결정합니다. 인증서를 오른쪽 클릭하고 All Tasks를 선택한 다음 Export를 선택합니다.

그림 78: (영어로만 제공) 내보내기

10. Certificate Export Wizard에서 Next > 버튼을 클릭합니다.

그림 79: (영어로만 제공) 인증서 내보내기 마법사

11. Export Private Key 화면에서 Yes, export the private key 원형 버튼을 선택하고 Next > 버튼을 클릭합니다.

그림 80: (영어로만 제공) 개인 키 내보내기

12. Export File Format 화면에서 Personal Information Exchange - PKCS #12 (.PFX) 원형 버튼을 선택하고 Include all certificates in the certification path if possible을 선택합니다. 그리고 Export all extended properties 확인란을 선택한 후 Next를 클릭합니다.

그림 81: (영어로만 제공) Personal Information Exchange -PKCS #12(.PFX)

13. 파일에 비밀번호를 지정하고 Next > 버튼을 클릭합니다.

그림 82: (영어로만 제공) 비밀번호 생성

14. 내보내기 파일의 위치 및 이름을 선택한 후 Next를 클릭합니다.

그림 83: (영어로만 제공) 내보내기 파일의 위치와 이름을 선택합니다.

15. Finish 버튼을 클릭합니다.

그림 84: (영어로만 제공) Finish 클릭

• C의 루트에 Cert라는 폴더를 만들고 내보낸 PFX를 "MMC에서 개인 키와 인증 경로를 사용하여 인증서 내보내기" 단계에서 이 폴더로 이동합니다.
• C:\Program Files\Dell\Enterprise Edition\Security Server\Conf 디렉토리에서 cacerts 파일의 사본을 가져와 C:\Cert 폴더에 복사합니다.
• 내보낸 인증서에서 별칭 이름을 가져옵니다.
  • 관리자 명령 프롬프트를 열고 다음을 입력합니다.
  • 명령 프롬프트에서 Java bin 디렉토리를 경로에 추가합니다. 다음 예제 명령은 Java bin 폴더에 대한 기본 설치 폴더를 사용하며 업데이트해야 할 수 있습니다.
  • Set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

그림 85: (영어로만 제공) set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin 입력

• 명령 프롬프트에서 C:\Cert Folder 디렉토리로 이동합니다.
• 키 툴 유틸리티를 실행하여 내보낸 인증서의 정보를 나열합니다. 인증서(PFX)를 내보낼 때 사용되는 값으로 다음 명령을 업데이트해야 합니다. 명령을 실행한 후 정보에 액세스하려면 내보낸 인증서에 대한 비밀번호를 제공해야 합니다.
  • 명령:
    • keytool -list -v -keystore -storetype PKCS12
  • 매개변수:
    • - 내보낸 인증서 파일의 이름

그림 86: (영어로만 제공) keytool -list -v -keystore -storetype PKCS12 입력

• 이전 명령의 출력에서 별칭 이름 뒤의 값을 기록합니다.
• 인증서를 cacerts 파일로 가져옵니다.
  • 첫 번째 단계에서 열린 명령 프롬프트에서 키 툴 유틸리티를 실행하여 내보낸 PFX 파일을 cacerts 파일로 가져옵니다. 지금까지 프로세스 전체에서 수집된 정보로 다음 명령을 업데이트해야 합니다. 명령을 실행한 후 가져올 정보에 액세스하려면 내보낸 인증서에 대한 비밀번호를 제공해야 합니다.
  • 명령 프롬프트를 닫습니다.
    • 명령:
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • 매개변수:
      • - 내보낸 인증서 파일의 이름
      • - 이전에 기록된 별칭 이름
      • - 업데이트되는 cacerts 파일의 파일 이름
      • - cacerts 파일에 저장된 모든 정보를 보호하는 비밀번호. 이는 cacerts 별칭 비밀번호 값과 일치해야 합니다.
      • - cacerts 파일에서 인증서 정보가 저장되는 별칭. 이 ddpe를 만드는 것이 권장되지만 반드시 필요한 것은 아닙니다.
      • - cacerts 파일의 지정된 별칭에 저장된 정보를 보호하는 비밀번호. 이 값은 의 값과 일치해야 합니다.

그림 87: (영어로만 제공) keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass 입력

• Java 서비스에 대한 기존 cacerts 파일을 백업합니다.
  • 아래 목록에서 각 서비스를 중지합니다. 환경의 아키텍처와 설치된 서버 버전에 따라 목록에 있는 모든 서비스가 없을 수 있습니다.
  • 기존 cacerts 파일의 이름을 cacerts로 변경합니다. DDMMYY - 여기서 DDMMYY는 두 자리 숫자 일, 월 및 연도 형식의 날짜입니다. cacerts 파일은 서비스 설치 폴더 내의 conf 폴더에 있습니다.
    • Compliance Reporter - Compliance Reporter 서비스의 기본 위치는 C:\Program Files\Dell\Enterprise Edition\Compliance Reporter입니다.
    • Device Server - Device Server 서비스의 기본 위치는 C:\Program Files\Dell\Enterprise Edition\Device Server입니다.
    • Identity Server - Identity Server 서비스의 기본 위치는 C:\Program Files\Dell\Enterprise Edition\Identity Server입니다.
    • Security Server - Security Server 서비스의 기본 위치는 C:\Program Files\Dell\Enterprise Edition\Security Server입니다.
    • Console Web Services - Console Web Services의 기본 위치는 C:\Program Files\Dell\Enterprise Edition\Console입니다.
    참고: Console Web Services는 Dell Security Management Server(이전 Dell Data Protection | Enterprise Edition) v9.2에서 더 이상 사용되지 않습니다.
• 생성된 cacerts 파일을 백업된 각 서비스의 conf 폴더에 복사합니다.

• application.properties 및 eserver.properties 파일을 새 cacerts 값으로 업데이트합니다.

  
  그림 88: (영어로만 제공) application.preperties 및 eserver.properties 업데이트

  • application.properties/eserver.properties 파일을 열고 다음 값을 업데이트합니다. 모든 값이 각 서비스에 대한 하나 이상의 구성 파일에 없을 수도 있습니다. 값이 없으면 건너뛰고 파일에 있는 나머지 값을 업데이트합니다.
  • eserver.keystore.password - Java 키 저장소 파일, cacerts, 할당된 비밀번호로 업데이트해야 합니다. 값은 아래 예제와 같은 형식이어야 합니다.
    • eserver.keystore.password = 비밀번호
  • keystore.password - Java 키 저장소 비밀번호, cacerts, 별칭 비밀번호로 업데이트해야 합니다. 값은 아래 예제와 같은 형식이어야 합니다.
    • keystore.password = CLR(비밀번호)
  • 서비스가 시작되면 값이 암호화되며 설정은 다음과 같습니다.
    • keystore.password = ENC(암호화된 비밀번호)
  • keystore.alias.ssl - 이 값은 대/소문자를 구분하며 cacerts 별칭과 정확히 일치하도록 업데이트해야 합니다.
  • keystore.alias.signing - 이 값은 대/소문자를 구분하며 cacerts 별칭과 정확히 일치하도록 업데이트해야 합니다.
  • 샘플 파일 위치 및 구성 설정
  • Security Server:
    • application.properties file location
    • application.properties settings
    • keystore.password=CLR(changeit)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Compliance Reporter:

    
    그림 89: (영어로만 제공) eserver.properties

    • eserver.properties file location
    • eserver.properties settings
    • eserver.keystore.password=changeit
  • Device Server:
    • application.properties file location

      
      그림 90: (영어로만 제공) application.properties

      • application.properties settings
      • keystore.password=CLR(changeit)
      • keystore.alias.ssl=ddpe
• 이전 단계에서 서비스가 중지되었습니다.
• https://server:8443/xapi/, https://server:8084/reporter 및 https://server:8081/xapi로 이동하여 각 URL에 대해 다음 단계를 수행하여 지문의 유효성을 검사합니다.
  • 잠금 아이콘을 클릭합니다.

    
    그림 91: (영어로만 제공) 서버 URL로 이동

  • View Certificates를 클릭합니다.

    
    그림 92: (영어로만 제공) 인증서 보기

  • Details 탭을 클릭합니다.

    
    그림 93: (영어로만 제공) Details 탭을 클릭합니다.

  • 아래로 스크롤하고 Thumbprint를 클릭하여 지문을 보고 각 서비스가 올바른 인증서를 사용하고 있는지 확인합니다.

    
    그림 94: (영어로만 제공) Thumbprint 클릭

참고: SQL에 Windows 인증을 사용할 때 DM 인증서 가져오기를 사용할 수 없을 수 있습니다. "데이터베이스 구성 테스트" 작업을 실행하여 옵션을 활성화합니다.

• 서버 구성 툴을 사용하여 .NET 서비스 인증서를 업데이트합니다.
  • Core Server 및 Compatibility Server 서비스를 중지합니다.
  • 서버 구성 툴을 시작하고 Actions 메뉴 항목에서 Configure Certificates를 선택하여 Certificate Wizard를 엽니다.

    
    그림 95: (영어로만 제공) 인증서 구성

  • Next 버튼을 클릭하고 Certificate Wizard Mode 화면에서 Advanced 원형 버튼을 선택한 후 Next를 클릭합니다.

    
    그림 96: (영어로만 제공) 고급

  • Core Server SSL Certificate 화면에서 다음을 수행합니다. Select Certificate 원형 버튼을 선택한 후 Next를 클릭합니다.

    
    그림 97: (영어로만 제공) 인증서 선택

  • Select Core Server SSL Certificate 화면에서 Browse... 버튼을 클릭합니다.
  • 그런 다음 Browse For Certificate 화면에서 사용할 인증서를 선택하고 OK를 클릭합니다.
  • Select Core Server SSL Certificate 화면으로 돌아간 후 Next를 클릭합니다.

    
    그림 98: (영어로만 제공) 인증서 선택 및 Next 클릭

  • 메시지 보안 인증서에 대한 단계를 반복합니다.
  • Finish를 클릭합니다.
• Dell Manager 인증서를 업데이트합니다.
  • Actions 메뉴 항목에서 Import DM Certificate를 선택합니다.

    
    그림 99: (영어로만 제공) DM 인증서 가져오기

  • 내보낸 PFX 파일을 찾아 Open 버튼을 클릭합니다.

    
    그림 100: (영어로만 제공) 내보낸 PFX 파일 열기

  • 내보낸 PFX 파일의 비밀번호를 입력하고 OK 버튼을 클릭합니다.

    
    그림 101: (영어로만 제공) 비밀번호 입력

  • 서버 구성 툴을 닫고 Core Server 및 Compatibility Server 서비스를 시작합니다.

Dell Data Protection | Encryption 8.x를 새로 설치하거나 업그레이드하는 동안 마스터 설치 프로그램으로 인해 Security Server에 대해 생성된 인증서의 정보가 누락될 수 있습니다. 누락될 수 있는 정보에는 서명 서버의 별칭이 기본 FQDN(Fully Qualified Domain Name)을 제공하지 않거나 Security Server에 서버 인증서가 전혀 없는 것이 포함되지만 이에 국한되지는 않습니다. 이 문서에서는 이 문제를 해결하는 방법을 설명합니다.

오류 메시지

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

해결 방법

이 문제를 해결하기 위해 keytool만 사용하면 대체 인증서가 제대로 생성되지 않습니다. 대체 인증서를 생성하려면 다음 단계를 수행합니다.

1. 현재 Security Server cacerts 파일을 Device Server에서 복사된 cacerts 파일로 바꿉니다.
2. Security Server 서비스가 실행 중인 경우 중지합니다.
3. \Program Files\…\Security Server\conf 폴더에 있는 cacerts 파일의 이름을 백업으로 바꿉니다.
4. DS\conf 폴더에서 cacerts 파일을 Security Server\conf 폴더로 복사합니다.
5. 명령 프롬프트에서 keytool을 실행하고 cacerts 파일의 별칭을 찾습니다.

6. 키 저장소 암호를 입력합니다.