Data Protection Advisor (DPA): Cómo instalar un certificado SSL en DPA (sistema Linux)

Los siguientes son pasos generales para instalar o importar un certificado firmado en el servidor de aplicaciones de Data Protection Advisor (DPA) en un entorno Linux.

Estos son pasos genéricos generales que funcionan en muchas situaciones, pero puede haber variaciones en algunos entornos que requieran cambios o adiciones a estos pasos, o un procedimiento completamente diferente.

1. Haga una copia de los archivos apollo.keystore y standalone.xml desde dpa/services/standalone/configuration y el archivo application-service.conf desde dpa/services/executive.

2. Abra la copia del archivo de standalone.xml y busque "key-alias". Hay una línea que contiene el alias de clave y la contraseña similar a la siguiente:      

<ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

En aras de la simplicidad, tome nota de la contraseña y utilícela en los siguientes pasos.
 

3. En una ventana del símbolo del sistema, vaya al <directorio DIR>/dpa/services/_jre/bin de DPA y ejecute el siguiente comando para verificar la contraseña correcta del almacén de claves Apollo:

./keytool -list -v -keystore <Install Directory>/dpa/services/standalone/configuration/apollo.keystore -storetype PKCS12

Ingrese la contraseña de standalone.xml para ver el contenido actual del almacén de claves apollo.keystore y valide que sea un almacén de claves PKCS12.

4. Los siguientes pasos se realizan completamente fuera de DPA y no afectarán el procesamiento de DPA. No requieren que se detengan los servicios (hasta el paso 11). Utilice el siguiente comando para generar un nuevo almacén de claves desde el cual solicitar el certificado firmado:      

./keytool -genkey -keyalg RSA -alias emcdpa -keysize 2048 -dname CN=dpaapp01.emc.corp.com  -keystore new.keystore -storepass password_from_standalone.xml -storetype PKCS12

• El alias puede ser lo que desee el usuario final, pero asegúrese de anotar el alias utilizado aquí, ya que será necesario en los próximos pasos. En este caso, se utiliza emcdpa.

• El dname es el mismo que la dirección URL utilizada para acceder a la interfaz de usuario, es decir, https:<hostname>:9002. Por ejemplo, si el nombre del servidor de aplicaciones es dpaapp01, pero la URL utilizada para acceder a él es http:dpaapp01.emc.Corp.com:9002, ingrese dpaapp01.emc.Corp.com como nombre y apellido.

• La variable Almacén de claves La ruta varía según el lugar donde se coloque el almacenamiento de claves temporal. Se puede redirigir a otra ruta (es decir, C:/Temp/new.keystore) o crear un nuevo archivo de almacén de claves en /dpa/services/_jre/bin, como se hizo aquí.
• El storepass debe configurarse con la contraseña que recuperó de standalone.xml (del paso 2)

5. Utilice el siguiente comando para generar la solicitud de certificado (.csr). Utilice el alias y el almacenamiento de claves creados en el paso anterior. La opción storepass permite el uso de la contraseña del almacén de claves con el comando. Utilice la misma contraseña del paso anterior. 

./keytool -certreq -alias emcdpa -ext san=dns:dpaapp01.emc.corp.com -keystore new.keystore -storepass password_from_standalone.xml -storetype PKCS12 -file emcdpa.csr

6. Haga también una copia del almacén de claves temporal. Esto evita la necesidad de comenzar desde cero en caso de que algo salga mal durante la importación. Coloque una copia del almacenamiento de claves temporal con las copias de los archivos originales.

7. Abra "emcdpa.csr" como un archivo de texto, copie el contenido y utilícelo para solicitar el certificado firmado por la CA. Deben devolver un certificado firmado (incluida la cadena de certificados completa) en formato X.509 codificado de base 64.

Según el formato del certificado firmado, la importación puede ocurrir de diferentes maneras. Si se recibe un archivo que contiene el certificado firmado y la cadena completa de certificados, importe el certificado en un solo paso. Entre los tipos de archivo que normalmente contienen toda esta información se incluyen los siguientes: .pfx, .pkcs12, .p12, .p7b

Si el certificado firmado incluye la cadena de certificados completa (al certificado raíz), vaya al paso 8. Si no está seguro o prefiere hacerlo manualmente, consulte el artículo de la base de conocimientos 532108: Cómo separar manualmente los certificados de servidor, intermedios y raíz de un único certificado firmadopara obtener más información.

8. Importe el certificado firmado en new.keystore mediante el siguiente comando:     

./keytool -import -trustcacerts -alias emcdpa -keystore new.keystore -file emcdpa.p7b -storepass password_from_standalone.xml -storetype PKCS12

A continuación, verifique que el certificado se haya importado correctamente mediante el comando:   

./keytool -list -v -keystore new.keystore -storepass password_from_standalone.xml

Si el certificado se importó correctamente, se mostrará el mensaje "Tipo de entrada: PrivateKeyEntry" y la longitud de la cadena de certificados debe representar la cadena de certificados con precisión (por ejemplo, si dpaapp01.emc.corp.com contiene un certificado firmado, un certificado intermedio y el certificado raíz, la longitud de la cadena debe ser 3).

9. Una vez que el certificado firmado (y la cadena) se importe correctamente a new.keystore, detenga los servicios de aplicaciones de DPA. 

10. En dpa/services/_jre/bin, copie el almacenamiento de claves temporal (new.keystore) y muévalo a dpa/services/standalone/configuration. Cambie el nombre de apollo.keystore a apollo.keystore.old y, a continuación, reemplácelo por el almacén de claves temporal cambiando el nombre de new.keystore a apollo.keystore. 
11. Edite el archivo application-service.conf (dpa\services\executive) para actualizar keystore.alias de modo que coincida con el que utilizó en los pasos anteriores y guarde los cambios. Busque apollo.key y reemplácelo por el alias que utilizó al generar el keystore/csr, en este caso, emcdpa. Debería tener el siguiente aspecto cuando haya terminado de editar: 
    # La siguiente tecla se utiliza para un comando ejecutivo de la aplicación. No reutilizar.

wrapper.java.additional.34 = -Dapollo.keystore.alias=emcdpa

10. Edite el archivo standalone.xml (dpa/services/standalone/configuration) para actualizar keystore.alias a fin de que coincida con el que utilizó en los pasos anteriores y guarde los cambios. Busque apollo.keystore.alias y reemplace el alias existente con el alias que utilizó al generar keystore/csr, en este caso, emcdpa. Debería tener el siguiente aspecto cuando haya terminado de editar: 

    -<subsystem xmlns="urn:jboss:domain:web:2.1" native="false" default-virtual-server="default-host">
    -<connector name="https" socket-binding="https" secure="true" enable-lookups="false" scheme="https" protocol="HTTP/1.1">
    <ssl name="ssl" protocol="TLSv1,TLSv1.1,TLSv1.2" keystore-type="PKCS12" verify-client="false" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" password="standalone.xml_password" key-alias="${apollo.keystore.alias:emcdpa}"/>
    </connector>

    
     
11. Reinicie los servicios de la aplicación e intente iniciar sesión en la interfaz de usuario.