Slik oppdaterer du sertifikatet for Dell Encryption-tjenester ved hjelp av et eksisterende sertifikat i Microsoft KeyStore

1. Angi Start | Kjør | MMC.

Figur 56: (Bare på engelsk) Kjør MMC

2. Klikk på Fil | Legg til / fjern snapin-modulen.

Figur 57: (Bare på engelsk) Klikk på Legg til / fjern snapin

3. I vinduet Legg til eller fjern snapin-moduler velger du Sertifikater og klikker på Legg til.

Figur 58: (Bare på engelsk) Legg til sertifikater

4. Velg radioknappen Datamaskinkonto når du blir bedt om det, og klikk på Next (Neste).

Figur 59: (Bare på engelsk) Datamaskinkonto

5. Velg Lokal datamaskin (valgt som standard), og klikk på Finish (Fullfør).

Figur 60: (Bare på engelsk) Lokal datamaskin: (datamaskinen som denne konsollen kjører på)

6. I vinduet Legg til eller fjern snapin-moduler klikker du på OK.

Figur 61: (Bare på engelsk) Klikk på OK

7. I MMC-hovedkonsollen klikker du på plusssymbolet (+) for å utvide snapin-modulen for sertifikat .

Figur 62: (Bare på engelsk) Importere

8. Gå til Personal (Personlig) | Sertifikatrute .
9. Høyreklikk i Sertifikater-panelet, og klikk på Alle oppgaver | Importer for å starte veiviseren for sertifikatimport.

Figur 63: (Bare på engelsk) Veiviser for sertifikatimport

10. Følg veiviseren for å importere det signerte sertifikatet sammen med den private nøkkelen. Sertifikatfilen må være i beholderformat med både sluttbrukersertifikatet og dens private nøkkel.

Figur 64: (Bare på engelsk) Klikk på Neste, og følg veiviseren for å importere det signerte sertifikatet

11. Klikk på Bla gjennom.

Figur 65: (Bare på engelsk) Klikk på Browse (Bla gjennom)

12. I dialogboksen Åpne:
    1. Endre filen til Personal Information Exchange (*.pfx, *.p12).
    2. Bla til og velg sertet du vil importere (ddpe.pfx er det som brukes i eksempelet).
    3. Klikk på OK.

Figur 66: (Bare på engelsk) Bytte av personlig informasjon (*.pfx, *.p12)

13. På skjermbildet for beskyttelse av privat nøkkel:
    1. Alternativt kan du skrive inn et passord
    2. Sett inn en innsjekking. Merk denne nøkkelen som eksporterbar. Dette gjør det mulig å sikkerhetskopiere eller transportere nøklene våre senere.
    3. Sett inn en innsjekking, inkluder alle utvidede egenskaper.
    4. Klikk på Next (Neste).

Figur 67: (Bare på engelsk) Beskyttelse av privat nøkkel

14. Kontroller Place all certificates (Plasser alle sertifikater) i følgende lager: Personlig, og klikk på Neste.

Figur 68: (Bare på engelsk) Sertifikatlageret

15. Klikk Finish Fullfør.

Figur 69: (Bare på engelsk) Klikk på Finish (Fullfør)

Eksporter sertifikatet med privatnøkkelen og sertifiseringsbanen fra MMC.

1. Åpne Start-menyen, og velg Kjør.

Figur 70: (Bare på engelsk) Åpne Kjør 

2. Skriv inn MMC , og trykk på OK.

Figur 71: (Bare på engelsk) Type MMC

3. Klikk på Fil i den øverste menyen i MMC, og velg Legg til / fjern snapin-operativsystemet.

Figur 72: (Bare på engelsk) Velg Add/Remove Snap in (Legg til / fjern snapin-modus)

4. I ruten Available snap-ins (Tilgjengelige snapin-moduler) i vinduet Legg til eller fjern snapin-moduler velger du Certificates (Sertifikater ), og deretter klikker du på knappen Add > ( Legg til >), som åpner snapin-vinduet for sertifikater .

Figur 73: (Bare på engelsk) Åpne snapin-modulen for sertifikat

5. Velg alternativknappen Datamaskinkonto , og klikk deretter på knappen Next > ( Neste ).

Figur 74: (Bare på engelsk) Datamaskinkonto

6. Klikk på knappen Finish (Fullfør ) for å lukke snapin-vinduet for sertifikater .

Figur 75: (Bare på engelsk) Lokal datamaskin (datamaskinen som denne konsollen kjører på)

7. Klikk på OKi vinduet Legg til eller fjern snapin-moduler for å fullføre tilleggingen av snapin-modulen.

Figur 76: (Bare på engelsk) Klikk på OK

8. I MMC-vinduet utvider du Sertifikater (lokal datamaskin) og Personlig-mappen . Velg deretter mappen Certificates (Sertifikater).

Figur 77: (Bare på engelsk) Velg sertifikater

9. Fastslå sertifikatet du vil eksportere. Høyreklikk på sertifikatet, velg Alle oppgaver og velg Eksporter.

Figur 78: (Bare på engelsk) Eksportere

10. I veiviseren for sertifikateksport klikker du på knappen Next > ( Neste ).

Figur 79: (Bare på engelsk) Veiviser for sertifikateksport

11. På skjermbildet Export Private Key (Eksporter privat nøkkel) velger du Yes (Ja), eksporterer alternativknappen for private taster og klikker på knappen Next > ( Neste ).

Figur 80: (Bare på engelsk) Eksporter privat nøkkel

12. På skjermbildet Export File Format (Eksporter filformat ) velger du Personal Information Exchange – PKCS #12 (. PFX) alternativknapp, velg include all certificates in the certification path if possible (Inkluder alle sertifikater i sertifiseringsbanen hvis mulig), og merk av for Export all extended properties (Eksporter alle utvidede egenskaper ), og klikk deretter på Next (Neste).

Figur 81: (Bare på engelsk) Bytte av personlig informasjon – PKCS#12(. PFX)

13. Tilordne et passord til filen, og klikk på knappen Next > ( Neste ).

Figur 82: (Bare på engelsk) Opprett passord

14. Velg plasseringen og navnet på eksportfilen, og klikk deretter på Neste.

Figur 83: (Bare på engelsk) Velg plasseringen og navnet på eksportfilen

15. Klikk på Knappen Finish (Fullfør ).

Figur 84: (Bare på engelsk) Klikk på Finish (Fullfør)

• Opprett en mappe på roten av C som heter Cert, og flytt den eksporterte PFX-en fra trinnet Export the certificate with the private key and certification path from the MMC (Eksporter sertifikatet med den private nøkkelen og sertifiseringsbanen fra MMC) til denne mappen.
• Ta en kopi av cacerts-filen fra mappen C:\Program Files\Dell\Enterprise Edition\Security Server\Conf, og kopier den til C:\Cert-mappen.
• Hent aliasnavnet fra det eksporterte sertifikatet.
  • Åpne en ledetekst som administrator.
  • Fra ledeteksten legger du java bin-katalogen til banen. Følgende eksempelkommando bruker standard installasjonsmappe for Java Bin-mappen og må kanskje oppdateres.
  • Angi bane=%bane%; C:\Programfiler\Dell\Java Runtime\jre1.7\bin

Figur 85: (Bare på engelsk) Skriv inn set path=%path%; C:\Programfiler\Dell\Java Runtime\jre1.7\bin

• Fra ledeteksten går du til mappen C:\Cert.
• Kjør verktøyet for nøkkelverktøyet for å vise informasjonen i det eksporterte sertifikatet. Følgende kommando må oppdateres med verdiene som brukes ved eksport av sertifikatet (PFX). Når kommandoen er kjørt, må du oppgi passordet til det eksporterte sertifikatet for å få tilgang til informasjonen.
  • Kommando:
    • keytool -list -v -keystore -storetype PKCS12
  • Parametre:
    • – navnet på den eksporterte sertifikatfilen

Figur 86: (Bare på engelsk) Type keytool -list -v -keystore -storetype PKCS12

• Registrer verdien etter aliasnavnet fra utdataene fra den forrige kommandoen.
• Importer sertifikatet cacerts til filen.
  • Fra ledeteksten som ble åpnet i det første trinnet, kjører du nøkkelverktøyverktøyet for å importere den eksporterte PFX-filen til en cacerts fil. Følgende kommando må oppdateres med informasjon som er samlet inn gjennom hele prosessen så langt. Når kommandoen er kjørt, må du oppgi passordet til det eksporterte sertifikatet for å få tilgang til informasjonen som skal importeres.
  • Lukk ledeteksten.
    • Kommando:
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • Parametre:
      • – navnet på den eksporterte sertifikatfilen
      • – aliasnavnet som er registrert tidligere
      • – filnavnet til cacerts-filen som er oppdatert.
      • – passordet som beskytter all informasjon som er lagret i cacerts-filen. Dette må samsvare med verdien for cacerts aliaspassord.
      • – aliaset som sertifikatinformasjonen lagres under i cacerts-filen. Det anbefales, men ikke nødvendig, å gjøre dette ddpe.
      • - Passordet som beskytter informasjonen som er lagret i det angitte aliaset i cacerts-filen. Dette må samsvare med verdien for .

Figur 87: (Bare på engelsk) Type keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass

• Sikkerhetskopier den eksisterende cacerts-filen for Java-tjenestene:
  • Stopp hver tjeneste fra listen nedenfor. Det kan hende at alle tjenestene i listen ikke finnes, avhengig av arkitekturen i miljøet og serverversjonen som er installert.
  • Endre navnet på den eksisterende cacerts-filen til cacerts. DDMMYY der DDMMYY er datoen i tosifret format for dag, måned og år. Cacerts-filen er i conf-mappen i mappen for tjenesteinstallasjon.
    • Compliance Reporter – Standardplasseringen for Compliance Reporter-tjenesten er C:\Program Files\Dell\Enterprise Edition\Compliance Reporter.
    • Enhetsserver – standardplasseringen for Enhetsserver-tjenesten er C:\Program Files\Dell\Enterprise Edition\Device Server.
    • Identity Server – Standardplasseringen for Identity Server-tjenesten er C:\Program Files\Dell\Enterprise Edition\Identity Server.
    • Security Server – Standardplasseringen for Security Server-tjenesten er C:\Program Files\Dell\Enterprise Edition\Security Server.
    • Console Web Services – Standardplasseringen for konsollnetttjenester er C:\Program Files\Dell\Enterprise Edition\Console.
    Merk: Console Web Services ble avviklet i Dell Security Management Server (tidligere Dell Data Protection | Enterprise Edition) v9.2.
• Kopier den genererte cacerts-filen til conf-mappen for hver tjeneste som er sikkerhetskopiert.

• Oppdater application.properties- og eserver.properties-filene med de nye cacerts-verdiene.

  
  Figur 88: (Bare på engelsk) Oppdater application.preperties og eserver.properties

  • Åpne filen application.properties/eserver.properties, og oppdater følgende verdier. Alle verdier finnes kanskje ikke i én eller flere konfigurasjonsfiler for hver tjeneste. Hvis en verdi ikke finnes, hopper du over den og oppdaterer de gjenværende verdiene i filene.
  • eserver.keystore.password – Dette må oppdateres med java keystore-filen, cacerts, tilordnet passord. Verdien må være formatert som eksempelet nedenfor.
    • eserver.keystore.password=password
  • keystore.password – dette må oppdateres med java keystore-passordet, cacerts, aliaspassord. Verdien må være formatert som eksempelet nedenfor.
    • keystore.password = CLR(passord)
  • Når tjenesten er startet, krypteres verdien, og innstillingen ser ut som.
    • keystore.password = ENC (kryptert passord)
  • keystore.alias.ssl – denne verdien skiller mellom store og små bokstaver og må oppdateres nøyaktig slik at den samsvarer med aliaset cacerts.
  • keystore.alias.signing – denne verdien skiller mellom store og små bokstaver, og må oppdateres slik at den samsvarer nøyaktig med cacerts-aliaset.
  • Eksempelfilplasseringer og konfigurasjonsinnstillinger
  • Sikkerhetsserver:
    • application.properties-filplassering
    • application.Properties-innstillinger
    • keystore.password=CLR (endre)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Samsvarsrapportering:

    
    Figur 89: (Bare engelsk) eserver.properties

    • filplassering for eserver.properties
    • innstillinger for eserver.properties
    • eserver.keystore.password=changeit
  • Enhetsserver:
    • application.properties-filplassering

      
      Figur 90: (Bare engelsk) application.properties

      • application.Properties-innstillinger
      • keystore.password=CLR (endre)
      • keystore.alias.ssl=ddpe
• Omstartstjenester stoppet i forrige trinn.
• Validere avtrykket ved å bla til https://server:8443/xapi/, https://server:8084/reporter og https://server:8081/xapi og utføre følgende trinn for hver URL-adresse
  • Klikk på låseikonet .

    
    Figur 91: (Bare på engelsk) Gå til URL-adresse for server

  • Klikk på Vis sertifikater.

    
    Figur 92: (Bare på engelsk) Vis sertifikat

  • Klikk på fanen Detaljer.

    
    Figur 93: (Bare på engelsk) Klikk på fanen Detaljer

  • Bla ned, og klikk på Thumbprint (Avtrykk ) for å vise Thumbprint (Avtrykk) for å bekrefte at hver tjeneste bruker riktig sertifikat.

    
    Figur 94: (Bare på engelsk) Klikk på Thumbprint (Avtrykk)

Merk: Importer DM-sertifikatet kan være utilgjengelig når du bruker Windows-godkjenning til SQL. Kjør handlingen «Test Database Configuration» (Test databasekonfigurasjon) for å aktivere alternativet.

• Oppdater .net-tjenestesertifikatene ved hjelp av serverkonfigurasjonsverktøyet.
  • Stopp servertjenester for kjerneserver og kompatibilitet.
  • Start serverkonfigurasjonsverktøyet, og velg Configure Certificates (Konfigurer sertifikater ) fra menyelementet Actions (Handlinger ), som åpner sertifikatveiviseren.

    
    Figur 95: (Bare på engelsk) Konfigurere sertifikat

  • Klikk på Neste-knappen, og velg deretter knappen Advanced radio ( Avansert alternativ) på skjermbildet Certificate Wizard Mode (Veivisermodus for sertifikat ), og klikk deretter på Next (Neste).

    
    Figur 96: (Bare på engelsk) Avansert

  • På skjermbildet Core Server SSL Certificate (SSL-sertifikat for kjerneserver ): Velg alternativknappen Select Certificate (Velg sertifikat ), og klikk deretter på Next (Neste).

    
    Figur 97: (Bare på engelsk) Velg sertifikat

  • På skjermbildet Select Core Server SSL Certificate (Velg SSL-sertifikat for kjerneserver) klikker du på Bla gjennom... -knappen.
  • På skjermbildet Bla etter sertifikat velger du sertifikatet du vil bruke, og klikker på OK.
  • Når du er tilbake på skjermbildet Select Core Server SSL Certificate (Velg Core Server SSL-sertifikat ), klikker du på Next (Neste).

    
    Figur 98: (Bare på engelsk) Velg Sertifikat, og klikk på Neste

  • Gjenta trinnene for meldingssikkerhetssertifikatet.
  • Klikk Finish Fullfør.
• Oppdater Dell Manager-sertifikatet.
  • Velg Import DM Certificate (Importer DM-sertifikat ) fra menyelementet Actions (Handlinger ).

    
    Figur 99: (Bare på engelsk) Importere DM-sertifikat

  • Finn den eksporterte PFX-filen, og klikk på Åpne-knappen .

    
    Figur 100: (Bare på engelsk) Åpne eksportert PFX-fil

  • Skriv inn passordet til den eksporterte PFX-filen, og klikk på OK-knappen .

    
    Figur 101: (Bare på engelsk) Skriv inn passordet

  • Lukk serverkonfigurasjonsverktøyet, og start server- og kompatibilitetsservertjenestene for kjerneserveren.

Under en ny installasjon eller oppgradering av Dell Data Protection | Kryptering 8.x som hovedinstallasjonsprogrammet kan føre til at sertifikatet som genereres for sikkerhetsserveren, har manglende informasjon. Informasjonen som kan mangle, kan inkludere, men er ikke begrenset til: aliaset for signeringsserveren gir ikke standard fullstendig domenenavn (FQDN), eller det kan hende at sikkerhetsserveren ikke har et serversertifikat i det hele tatt. Denne artikkelen viser deg hvordan du kan løse dette problemet.

feilmelding

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

Omgåelse av problemet

Hvis du vil omgå dette problemet, genererer ikke bruk av keytool alene et erstatningssertifikat på riktig måte. Gjør følgende for å generere erstatningssertifikatet.

1. Bytt ut den gjeldende Security Server cacerts-filen med en cacerts-fil kopiert fra enhetsserveren.
2. Stoppsikkerhetsservertjenesten hvis den kjører.
3. Endre navnetpå cacerts-filen som er funnet i mappen \Program Files\...\Security Server\conf som en sikkerhetskopi.
4. Kopiercacerts-filen fra mappen DS\conf til mappen Security Server\conf.
5. Kjørtasteverktøyet fra en ledetekst, og finn aliaset for cacerts-filen.

6. Skriv innnøkkellagerpassordet