Jak aktualizovat certifikát pro služby Dell Encryption pomocí stávajícího certifikátu v keystore společnosti Microsoft

1. Spusťte Start | Spustit | MMC.

Obrázek 56: (Pouze v angličtině) Spuštění konzole MMC

2. Klikněte na Soubor | Přidat nebo odebrat modul snap-in.

Obrázek 57: (Pouze v angličtině) Klikněte na možnost Přidat nebo odebrat modul snap-in

3. V okně Přidat nebo odebrat moduly snap-in vyberte možnost Certifikáty a klikněte na tlačítko Přidat.

Obrázek 58: (Pouze v angličtině) Přidání certifikátů

4. Vyberte přepínač Účet počítače a klikněte na tlačítko Další.

Obrázek 59: (Pouze v angličtině) Účet počítače

5. Vyberte možnost Místní počítač (výchozí vybraná možnost) a klikněte na tlačítko Dokončit.

Obrázek 60: (Pouze v angličtině) Místní počítač: (počítač, ve kterém je spuštěna tato konzola)

6. V okně Přidat nebo odebrat moduly snap-in klikněte na tlačítko OK.

Obrázek 61: (Pouze v angličtině) Klikněte na tlačítko OK

7. V hlavní konzoli MMC kliknutím na symbol plus (+) rozbalte modul snap-in Certifikáty.

Obrázek 62: (Pouze v angličtině) Import

8. Přejděte do části Personal (Osobní) | Panel Certifikáty .
9. Klikněte pravým tlačítkem na panel Certifikáty a poté kliknutím na možnost Všechny úkoly | Importovat spusťte Průvodce importem certifikátu.

Obrázek 63: (Pouze v angličtině) Průvodce importem certifikátu

10. Pomocí průvodce importujte podepsaný certifikát společně s privátním klíčem. Soubor certifikátu musí být ve formátu kontejneru, který má certifikát koncového uživatele i jeho privátní klíč.

Obrázek 64: (Pouze v angličtině) Klikněte na tlačítko Další a podle průvodce naimportujte podepsaný certifikát.

11. Klikněte na tlačítko Procházet.

Obrázek 65: (Pouze v angličtině) Klikněte na tlačítko Procházet

12. V dialogovém okně Otevřít:
    1. Změňte soubor na Možnost Personal Information Exchange (*.pfx, *.p12).
    2. Vyhledejte a vyberte certifikát, který chcete importovat (v příkladu je použit certifikát ddpe.pfx).
    3. Klikněte na tlačítko OK.

Obrázek 66: (Pouze v angličtině) Personal Information Exchange (*.pfx, *.p12)

13. Na obrazovce Ochrana privátního klíče:
    1. Volitelně můžete zadat heslo
    2. Zaškrtněte možnost Označit tento klíč jako exportovatelný. (později bude možné klíč zálohovat či přenést)
    3. Zaškrtněte možnost Zahrnout všechny rozšířené vlastnosti.
    4. Klikněte na tlačítko Next.

Obrázek 67: (Pouze v angličtině) Ochrana privátního klíče

14. Vyberte možnost Všechny certifikáty umístit v následujícím úložišti: Osobní a klikněte na tlačítko Další.

Obrázek 68: (Pouze v angličtině) Úložiště certifikátů

15. Klikněte na tlačítko Finish.

Obrázek 69: (Pouze v angličtině) Klikněte na tlačítko Dokončit

Export certifikátu s privátním klíčem a certifikační cestou z konzole MMC.

1. Otevřete nabídku Start a vyberte možnost Spustit.

Obrázek 70: (Pouze v angličtině) Otevřete okno Spustit 

2. Zadejte MMC a stiskněte tlačítko OK.

Obrázek 71: (Pouze v angličtině) Zadání výrazu MMC

3. V horní nabídce konzole MMC klikněte na možnost Soubor a vyberte možnost Přidat nebo odebrat modul snap-in.

Obrázek 72: (Pouze v angličtině) Vyberte možnost Přidat nebo odebrat modul snap-in

4. V části Moduly snap-in k dispozici okna Přidat nebo odebrat moduly snap-in vyberte možnost Certifikáty a kliknutím na tlačítko Přidat > otevřete okno Modul snap-in Certifikáty.

Obrázek 73: (Pouze v angličtině) Otevřete modul snap-in Certifikáty

5. Vyberte možnost Účet počítače a klikněte na tlačítko Další >.

Obrázek 74: (Pouze v angličtině) Účet počítače

6. Kliknutím na tlačítko Dokončit zavřete okno Modul snap-in Certifikáty.

Obrázek 75: (Pouze v angličtině) Místní počítač (počítač, ve kterém je spuštěna tato konzola)

7. Kliknutím na tlačítko OK v okně Přidat nebo odebrat moduly snap-in dokončete přidání modulu.

Obrázek 76: (Pouze v angličtině) Klikněte na tlačítko OK

8. V okně konzole MMC rozbalte položku Certifikáty (místní) a složku Osobní. Poté vyberte složku Certifikáty.

Obrázek 77: (Pouze v angličtině) Vyberte položku Certifikáty

9. Vyberte certifikát, který chcete exportovat. Klikněte pravým tlačítkem na certifikát, vyberte možnost Všechny úkoly a Exportovat.

Obrázek 78: (Pouze v angličtině) Exportovat

10. V Průvodci exportem certifikátu klikněte na tlačítko Další >.

Obrázek 79: (Pouze v angličtině) Průvodce exportem certifikátu

11. Na obrazovce Exportovat privátní klíč vyberte možnost Ano, exportovat privátní klíč a klikněte na tlačítko Další >.

Obrázek 80: (Pouze v angličtině) Exportovat privátní klíč

12. Na obrazovce Formát souboru pro export vyberte Formát Personal Information Exchange – PKCS č. 12 (PFX) zaškrtněte možnost Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné a Exportovat všechny rozšířené vlastnosti a klikněte na tlačítko Další.

Obrázek 81: (Pouze v angličtině) Formát Personal Information Exchange – PKCS č. 12 (PFX)

13. Přiřaďte k souboru heslo a klikněte na tlačítko Další >.

Obrázek 82: (Pouze v angličtině) Vytvoření hesla

14. Vyberte umístění a název exportovaného souboru a klikněte na tlačítko Další.

Obrázek 83: (Pouze v angličtině) Zvolte umístění a název exportovaného souboru.

15. Klikněte na tlačítko Dokončit.

Obrázek 84: (Pouze v angličtině) Klikněte na tlačítko Dokončit

• Vytvořte složku v kořenovém adresáři C s názvem Cert a přesuňte exportovaný soubor PFX z kroku „Export certifikátu s privátním klíčem a certifikační cestou z konzole MMC“ do této složky.
• Vezměte kopii souboru cacerts z adresáře C:\Program Files\Dell\Enterprise Edition\Security Server\Conf a zkopírujte jej do složky C:\Cert.
• Získejte název aliasu z exportovaného certifikátu.
  • Otevřete příkazový řádek správce.
  • V příkazovém řádku přidejte do cesty adresář bin Java. Následující příklad příkazu používá výchozí instalační složku pro složku Bin Java a může být nutné jej aktualizovat.
  • Set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

Obrázek 85: (Pouze v angličtině) Zadejte set path=%path%;C:\Program Files\Dell\Java Runtime\jre1.7\bin

• V příkazovém řádku přejděte do složky C:\Cert.
• Spuštěním nástroje key tool získáte informace v exportovaném certifikátu. Následující příkaz je nutné aktualizovat o hodnoty použité při exportu certifikátu (PFX). Po spuštění příkazu je nutné zadat heslo exportovaného certifikátu pro přístup k informacím.
  • Příkaz:
    • keytool -list -v -keystore -storetype PKCS12
  • Parametry:
    •  – Název exportovaného souboru certifikátu.

Obrázek 86: (Pouze v angličtině) Zadejte příkaz keytool -list -v -keystore -storetype PKCS12

• Zaznamenejte si hodnotu „Alias name“ z výstupu předchozího příkazu.
• Importujte certifikát do souboru cacerts.
  • V příkazovém řádku otevřeném v prvním kroku spusťte nástroj key tool a importujte exportovaný soubor PFX do souboru cacerts. Následující příkaz je nutné aktualizovat o informace získané během celého procesu. Po spuštění příkazu je nutné zadat heslo exportovaného certifikátu pro přístup k importovaným informacím.
  • Zavřete příkazový řádek.
    • Příkaz:
      • keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass
    • Parametry:
      •  – Název exportovaného souboru certifikátu.
      •  – Dříve zaznamenaný název „Alias name“.
      •  – Název aktualizovaného souboru cacerts.
      •  – Heslo, které chrání všechny informace uložené v souboru cacerts. Musí se shodovat s hodnotou hesla aliasu cacerts.
      •  – Alias, pod kterým jsou informace o certifikátu uloženy v souboru cacerts. Doporučujeme, ale není to nutné, nastavit tuto možnost jako ddpe.
      •  – Heslo, které chrání informace uložené na zadaném aliasu v souboru cacerts. Musí se shodovat s hodnotou hesla .

Obrázek 87: (Pouze v angličtině) Zadejte příkaz keytool -importkeystore -v -srckeystore -srcstoretype  PKCS12 -srcalias -destkeystore -deststorepass -destalias -destkeypass

• Zálohujte stávající soubor cacerts pro služby Java:
  • Zastavte všechny služby z níže uvedeného seznamu. V závislosti na architektuře prostředí a nainstalované verzi serveru nemusí být přítomny všechny služby v seznamu.
  • Přejmenujte stávající soubor cacerts na cacerts. DDMMYY, kde DDMMYY je datum ve formátu dvoumístný den, měsíc a rok. Soubor cacerts se nachází ve složce conf v instalační složce služby.
    • Compliance Reporter – Výchozí umístění služby Compliance Reporter je C:\Program Files\Dell\Enterprise Edition\Compliance Reporter.
    • Device Server – Výchozí umístění služby Device Server je C:\Program Files\Dell\Enterprise Edition\Device Server.
    • Identity Server – Výchozí umístění služby Identity Server je C:\Program Files\Dell\Enterprise Edition\Identity Server.
    • Security Server – Výchozí umístění služby Security Server je C:\Program Files\Dell\Enterprise Edition\Security Server.
    • Console Web Services – Výchozí umístění Console Web Services je C:\Program Files\Dell\Enterprise Edition\Console.
    Poznámka: Služba Console Web Services přestala být používána v nástroji Dell Security Management Server (dříve Dell Data Protection | Enterprise Edition) verze 9.2.
• Zkopírujte vytvořený soubor cacerts do složky conf pro každou zálohovanou službu.

• Aktualizujte soubory application.properties a eserver.properties o nové hodnoty cacerts.

  
  Obrázek 88: (Pouze v angličtině) Aktualizace souborů application.preperties a eserver.properties

  • Otevřete soubor application.properties / eserver.properties a aktualizujte následující hodnoty. Všechny hodnoty nemusí být přítomny ve všech konfiguračních souborech pro každou službu. Pokud hodnota není přítomna, přeskočte ji a aktualizujte zbývající hodnoty v souborech.
  • eserver.keystore.password – Hodnotu je nutné aktualizovat o soubor úložiště klíčů Java, cacerts, přiřazené heslo. Hodnota musí být formátována jako v níže uvedeném příkladu.
    • eserver.keystore.password=heslo
  • keystore.password – Hodnotu je nutné aktualizovat o heslo úložiště klíčů Java, cacerts, heslo aliasu. Hodnota musí být formátována jako v níže uvedeném příkladu.
    • keystore.password = CLR(heslo)
  • Po spuštění služby je hodnota šifrována a nastavení vypadá takto.
    • keystore.password = ENC(šifrované heslo)
  • keystore.alias.ssl – Tato hodnota rozlišuje velká a malá písmena a je nutné ji aktualizovat, aby přesně odpovídala aliasu cacerts.
  • keystore.alias.signing – Tato hodnota rozlišuje velká a malá písmena a je nutné ji aktualizovat, aby přesně odpovídala aliasu cacerts.
  • Vzorová umístění souborů a nastavení konfigurace
  • Security Server:
    • Umístění souboru application.properties
    • Nastavení souboru application.properties
    • keystore.password=CLR(changeit)
    • keystore.alias.ssl=ddpe
    • keystore.alias.signing=ddpe
  • Compliance Reporter:

    
    Obrázek 89: (pouze v angličtině) eserver.properties

    • Umístění souboru eserver.properties
    • Nastavení souboru eserver.properties
    • eserver.keystore.password=changeit
  • Device Server:
    • Umístění souboru application.properties

      
      Obrázek 90: (Pouze v angličtině) application.properties

      • Nastavení souboru application.properties
      • keystore.password=CLR(changeit)
      • keystore.alias.ssl=ddpe
• V předchozím kroku se služby restartu zastavily.
• Ověřte otisk otevřením stránek https://server:8443/xapi/, https://server:8084/reporter a https://server:8081/xapi a proveďte následující kroky pro každou adresu URL.
  • Klikněte na ikonu zámku.

    
    Obrázek 91: (Pouze v angličtině) Přejděte na adresu URL serveru

  • Klikněte na možnost Zobrazit certifikáty.

    
    Obrázek 92: (Pouze v angličtině) Zobrazit certifikát

  • Klikněte na kartu Podrobnosti.

    
    Obrázek 93: (Pouze v angličtině) Klikněte na kartu Podrobnosti.

  • Přejděte dolů a kliknutím na možnost Kryptografický otisk zobrazte otisk a ověřte, zda každá služba používá správný certifikát.

    
    Obrázek 94: (Pouze v angličtině) Klikněte na Kryptografický otisk

Poznámka: Při použití ověřování systému Windows k systému SQL nemusí být import certifikátu DM nedostupný. Spuštěním akce „Test Database Configuration“ možnost povolíte.

• Aktualizujte certifikáty služby .net pomocí nástroje Server Configuration Tool.
  • Zastavte služby Core Server a Compatibility Server.
  • Spusťte nástroj Server Configuration Tool a v nabídce Actions vyberte možnost Configure Certificates, která otevře průvodce Certificate Wizard.

    
    Obrázek 95: (Pouze v angličtině) Configure Certificate

  • Klikněte na tlačítko Next a na obrazovce Certificate Wizard Mode vyberte možnost Advanced a klikněte na tlačítko Next.

    
    Obrázek 96: (Pouze v angličtině) Advanced

  • Na obrazovce Core Server SSL Certificate: Vyberte možnost Select Certificate a klikněte na tlačítko Next.

    
    Obrázek 97: (Pouze v angličtině) Select Certificate

  • Na obrazovce Select Core Server SSL Certificate klikněte na tlačítko Browse....
  • Poté na obrazovce Browse For Certificate vyberte certifikát, který chcete použít, a klikněte na OK.
  • Zpět na obrazovce Select Core Server SSL Certificate klikněte na tlačítko Next.

    
    Obrázek 98: (Pouze v angličtině) Vyberte možnost Certificate a klikněte na tlačítko Next

  • Opakujte kroky pro certifikát zabezpečení zprávy.
  • Klikněte na tlačítko Finish.
• Aktualizujte certifikát nástroje Dell Manager.
  • V nabídce Actions vyberte možnost Import DM Certificate.

    
    Obrázek 99: (Pouze v angličtině) Import DM Certificates

  • Vyhledejte exportovaný soubor PFX a klikněte na tlačítko Open.

    
    Obrázek 100: (Pouze v angličtině) Otevřete exportovaný soubor PFX

  • Zadejte heslo exportovaného souboru PFX a klikněte na tlačítko OK.

    
    Obrázek 101: (Pouze v angličtině) Zadání hesla

  • Zavřete nástroj Server Configuration Tool a spusťte služby Core Server a Compatibility Server.

Během nové instalace nebo upgradu nástroje Dell Data Protection | Encryption 8.x může hlavní instalační program způsobit, že v certifikátu vygenerovaném pro službu Security Server budou chybět informace. Mezi chybějící informace může patřit: alias pro podpisový server neposkytuje výchozí plně kvalifikovaný název domény (FQDN) nebo služba Security Server vůbec nemusí mít certifikát serveru. Tento článek popisuje, jak problém vyřešit.

Chybová zpráva

Security Server Service will not start and review of the Security Server "Wrapper.log" displays the following error message "Error: Invocation of init method failed; nested exception is java.lang.Exception: SSL cert with alias not found in keystore"

Zástupné řešení

Chcete-li tento problém vyřešit, pouze příkaz keytool nevygeneruje správně náhradní certifikát. Při generování náhradního certifikátu postupujte následovně.

1. Nahraďte aktuální soubor cacerts služby Security Serveru souborem cacerts zkopírovaným ze služby Device Server.
2. Zastavte službu Security Server, pokud je spuštěna.
3. Přejmenujte soubor cacerts, který se nachází ve složce \Program Files\...\Security Server\conf na backup.
4. Zkopírujte soubor cacerts ze složky DS\conf do složky Security Server\conf.
5. V příkazovém řádku spusťte příkaz keytool a vyhledejte alias souboru cacerts.

6. Zadejteheslo úložiště klíčů.