Data Protection Advisor (DPA): DPA'da (Linux sistemi) SSL Sertifikası nasıl kurulur

Aşağıda, Linux ortamında Data Protection Advisor (DPA) Uygulama Sunucusuna imzalı bir sertifika yüklemek veya içe aktarmak için uygulanacak genel adımlar verilmiştir.

Bunlar, birçok durumda işe yarayan genel genel adımlardır, ancak bazı ortamlarda bu adımlarda değişiklik veya eklemeler ya da tamamen farklı bir prosedür gerektiren farklılıklar olabilir.

1. dpa/services/standalone/configuration bölümünden apollo.keystore ve standalone.xml dosyalarının bir kopyasını ve dpa/services/executive konumundan application-service.conf dosyasını oluşturun.

2. standalone.xml dosyasının kopyasını açın ve "key-alias" ifadesini arayın. Anahtar-diğer ad ve parolayı içeren aşağıdakine benzer bir satır vardır:      

<ssl name="ssl" key-alias="${apollo.keystore.alias:apollokey}" password="apollo"

Basitlik adına, parolayı not alın ve aşağıdaki adımlarda kullanın.
 

3. Komut istemi penceresinden DPA DIR>/dpa/services/_jre/bin dizinine <gidin ve apollo anahtar deposu için doğru parolayı doğrulamak üzere aşağıdaki komutu çalıştırın:

./keytool -list -v -keystore <Install Directory>/dpa/services/standalone/configuration/apollo.keystore -storetype PKCS12

apollo.keystore un mevcut içeriğini görüntülemek ve bunun bir PKCS12 anahtar deposu olduğunu doğrulamak için standalone.xml parolayı girin.

4. Sonraki birkaç adım DPA'nın tamamen dışında gerçekleştirilir ve DPA işlemeyi etkilemez. Hizmetlerin durdurulmasını gerektirmezler (11. adıma kadar). İmzalı sertifikanın talep edileceği yeni bir anahtar deposu oluşturmak için aşağıdaki komutu kullanın:      

./keytool -genkey -keyalg RSA -alias emcdpa -keysize 2048 -dname CN=dpaapp01.emc.corp.com  -keystore new.keystore -storepass password_from_standalone.xml -storetype PKCS12

• Diğer ad , son kullanıcının istediği herhangi bir diğer ad olabilir, ancak sonraki adımlarda gerekli olduğu için burada kullanılan diğer adı not ettiğinizden emin olun. Bu durumda emcdpa kullanılmaktadır.

• Dname, kullanıcı arayüzüne erişmek için kullanılan https:<hostname>:9002 URL ile aynıdır. Örneğin, uygulama sunucusunun adı dpaapp01 ise ancak buna erişmek için kullanılan URL http:dpaapp01.emc.ve Tic. Ltd. Şticom:9002 için dpaapp01.emc ifadesini girin.ve Tic. Ltd. Şticom ad ve soyadı olarak.

• Komutta Anahtar deposu Yol, geçici anahtar deposunun yerleştirildiği yere bağlı olarak değişir. Başka bir yola (C:/Temp/new.keystore) yeniden yönlendirilebilir veya burada yapıldığı gibi /dpa/services/_jre/bin içinde yeni bir anahtar deposu dosyası oluşturulabilir.
• Depo geçişi, standalone.xml'den aldığınız parolaya ayarlanmalıdır (2. adımdan itibaren)

5. Sertifika isteğini (.csr) oluşturmak için aşağıdaki komutu kullanın. Önceki adımda oluşturulan diğer adı ve anahtar deposunu kullanın. Storepass seçeneği, anahtar deposu parolasının komutla birlikte kullanılmasına izin verir. Önceki adımdaki parolayı kullanın. 

./keytool -certreq -alias emcdpa -ext san=dns:dpaapp01.emc.corp.com -keystore new.keystore -storepass password_from_standalone.xml -storetype PKCS12 -file emcdpa.csr

6. Geçici anahtar deposunun da bir kopyasını oluşturun. Böylece, içe aktarma sırasında bir şeyler ters giderse sıfırdan başlama ihtiyacı ortadan kalkar. Orijinal dosyaların kopyalarıyla birlikte geçici anahtar deposunun bir kopyasını yerleştirin.

7. 'emcdpa.csr' dosyasını bir metin dosyası olarak açın, içeriği kopyalayın ve CA tarafından imzalanan sertifikayı istemek için kullanın. Base-64 kodlu X.509 biçiminde imzalı bir sertifika (tam sertifika zinciri dahil) döndürmeleri gerekir.

İmzalı sertifikanın biçimine bağlı olarak içe aktarma işlemi birkaç farklı şekilde gerçekleşebilir. İmzalı sertifikayı ve tam sertifika zincirini içeren bir dosya alınırsa sertifikayı tek adımda içe aktarın. Genellikle bu bilgilerin tümünü içeren dosya tipleri şunlardır: .pfx, .pkcs12, .p12, .p7b

İmzalı sertifika tam sertifika zincirini (kök sertifikaya) içeriyorsa 8. adıma gidin. Emin değilseniz veya bunu manuel olarak yapmayı tercih ediyorsanız 532108 numaralı KB makalesine bakın: Sunucu, ara ve kök sertifikaları tek bir imzalı sertifikadan manuel olarak ayırmahakkında daha fazla bilgi edinin.

8. Aşağıdaki komutu kullanarak imzalı sertifikayı new.keystore a aktarın:     

./keytool -import -trustcacerts -alias emcdpa -keystore new.keystore -file emcdpa.p7b -storepass password_from_standalone.xml -storetype PKCS12

Ardından şu komutu kullanarak sertifikanın doğru şekilde içe aktarıldığını doğrulayın:   

./keytool -list -v -keystore new.keystore -storepass password_from_standalone.xml

Sertifika doğru şekilde içe aktarıldıysa "Entry type: PrivateKeyEntry" görülmeli ve sertifika zinciri uzunluğu, sertifika zincirini doğru bir şekilde temsil etmelidir (Örneğin, dpaapp01.emc.corp.com imzalı bir sertifika, bir ara sertifika ve kök sertifika içeriyorsa zincir uzunluğu 3 olmalıdır).

9. İmzalı sertifika (ve zincir) new.keystore a başarıyla aktarıldıktan sonra DPA Uygulama hizmetlerini durdurun. 

10. dpa/services/_jre/bin konumundan geçici anahtar deposunu (new.keystore) kopyalayın ve dpa/services/standalone/configuration konumuna taşıyın. apollo.keystore'u apollo.keystore.old olarak yeniden adlandırın, ardından new.keystore'u apollo.keystore olarak yeniden adlandırarak geçici anahtar deposuyla değiştirin. 
11. keystore.alias dosyasını yukarıdaki adımlarda kullandığınız anahtar deposu ile eşleşecek şekilde güncellemek için application-service.conf dosyasını (dpa\services\executive) düzenleyin ve değişikliklerinizi kaydedin. apollo.key bulun ve anahtar deposunu/csr- oluştururken kullandığınız diğer adla değiştirin. Bu durumda, emcdpa. Düzenlemeyi bitirdiğinizde aşağıdaki gibi görünmelidir: 
    # Aşağıdaki anahtar bir uygulama yürütme komutu için kullanılır. Tekrar kullanmayın.

wrapper.java.additional.34 = -Dapollo.keystore.alias=emcdpa

10. keystore.alias dosyasını yukarıdaki adımlarda kullandığınızla eşleşecek şekilde güncellemek için standalone.xml dosyasını (dpa/services/standalone/configuration) düzenleyin ve değişikliklerinizi kaydedin. apollo.keystore.alias için arama yapın ve mevcut diğer adı, anahtar deposu/csr oluştururken kullandığınız diğer adla değiştirin- bu durumda, emcdpa. Düzenlemeyi bitirdiğinizde aşağıdaki gibi görünmelidir: 

    -<subsystem xmlns="urn:jboss:domain:web:2.1" native="false" default-virtual-server="default-host">
    -<connector name="https" socket-binding="https" secure="true" enable-lookups="false" scheme="https" protocol="HTTP/1.1">
    <ssl name="ssl" protocol="TLSv1,TLSv1.1,TLSv1.2" keystore-type="PKCS12" verify-client="false" cipher-suite="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA" certificate-key-file="${jboss.server.config.dir}/apollo.keystore" password="standalone.xml_password" key-alias="${apollo.keystore.alias:emcdpa}"/>
    </connector>

    
     
11. Uygulama hizmetlerini yeniden başlatın ve kullanıcı arayüzünde oturum açmayı deneyin.