以下は、Windows環境で6.2.1以降のDPAアプリケーション サーバーに署名済み証明書をインストールまたはインポートする一般的な手順です。これらは多くの状況で機能する一般的または包括的な手順ですが、一部の環境では、これらの手順の変更または追加が必要な場合や、全く異なる手順が必要な場合があります。
1. dpa/services/standalone/configurationからapollo.keystoreファイルとstandalone.xmlファイルのコピーを作成し、dpa/services/executiveからapplication-service.confファイルのコピーを作成します。元の構成に戻す必要がある場合は、これらのファイルを使用して、DPAを正常に動作する状態にリストアできます。 安全に保管し、混乱を避けるために、コピーをデスクトップ上のフォルダーに置きます。
2. standalone.xmlファイルのコピーを開き、「key-alias」を検索します。次のようなkey-aliasとpasswordを含む行が表示されます。
作業を簡単にするため、パスワードを書き留めて、以降の手順で使用します。
注:お客様の環境で必要な場合は別のパスワードを使用することもできますが、一時的なキーストア パスワード、エイリアス パスワード、元のキーストア パスワード間でのパスワード競合が原因の問題が起こらなくなるため、このパスワードを使用することをお勧めします。
3. /dpa/services/_jre/binディレクトリーから次のコマンドを実行して、署名済み証明書をリクエストする新しいキーストアを生成します。
./keytool -genkey -keyalg RSA -alias emcdpa -keysize 2048 -dname CN= dpaapp01.emc.corp.com -keystore new.keystore
注:環境に合わせて太字の項目を変更する必要があります。詳細については、以下の情報をご参照ください。
エイリアスはエンドユーザーが望むどんなものでもかまいませんが、次のステップで必要になるので、ここで使用されているエイリアスを記録してください。この場合は、emcdpaを使用しています。
dnameは、GUIにアクセスするために使用するURLと同じです。つまりhttps://<ホスト名>:9002となります。たとえば、アプリケーション サーバー名はdpaapp01ですが、それにアクセスするために使用されるURLがhttp://dpaapp01.emc.corp.com:9002である場合は、最初/最後の名前としてdpaapp01.emc.corp.comを入力します。
keystoreパスは、一時キーストアを配置する場所によって異なります。別のパス(例えば、tmp/new.keystore)にリダイレクトすることも、ここで行ったように単に/dpa/services/_jre/binで新しいキーストア ファイルを作成することもできます。
**パスワードの入力を求められたら、standalone.xmlから抽出したパスワードを使用します(この場合はapollo)。
4. 次のコマンドを使用して、証明書リクエスト(.csr)を生成します。前の手順で作成したエイリアスとキーストアを使用します。storepassオプションを使用すると、コマンドを使用してキーストアのパスワードを入力できます。これには、前の手順と同じパスワードを使用します。
./keytool -certreq -alias emcdpa –ext san=dns:dpaapp01.emc.corp.com -keystore new.keystore -storepass apollo -file emcdpa.csr
注:ここでは、DNSを指定するオプションを追加しています(–ext san=dns:)。これは、ホスト名と同じもので、https://support.emc.com/kb/524905に記載されているブラウザー エラーを防止できます。 5. この時点で、一時キーストアのコピーも作成します。これにより、インポート中に何らかの問題が発生しても、最初からやり直す必要がなくなります。元のファイルのコピーを使用して、一時キーストアのコピーを配置します。
6. 「emcdpa.csr」をテキスト ファイルとして開いて、その内容をコピーし、CAによって署名された証明書をリクエストするために使用します。 署名済み証明書(完全な証明書チェーンを含む)は、Base-64エンコードのX.509形式で返されます。
署名済み証明書の形式によっては、インポートはいくつかの異なる方法で行われることがあります。お客様が署名済み証明書と完全な証明書チェーンを含むファイルを受け取っている場合は、その証明書を1つのステップでインポートできるはずです。通常、この情報をすべて含むファイルタイプとして、.pfx、pkcs12、p12、.p7bがあります。
署名済み証明書に完全な証明書チェーン(ルート証明書まで)が含まれていることを確認している場合は、ステップ7に進みます。不明な場合、または手動で実行したい場合は、詳細についてhttps://support.emc.com/kb/532108を参照してください。
7. 次のコマンドを使用して、署名済み証明書をnew.keystoreにインポートします。 ./keytool -import -trustcacerts -alias emcdpa -keystore new.keystore -file emcdpa.p7b -storepass apollo
次に、次のコマンドを使用して証明書が正しくインポートされたことを確認します。
./keytool -list -v -keystore new.keystore -storepass apollo
証明書が正しくインポートされた場合は、「Entry type: PrivateKeyEntry」が表示され、証明書チェーンの長さが証明書チェーンを正確に表しているはずです(例えば、dpaapp01.emc.corp.comに署名済み証明書、中間証明書、ルート証明書が含まれている場合、チェーンの長さは3になります)。
8. 署名済み証明書(およびチェーン)をnew.keystoreに正常にインポートしたら、new.keystoreをapollo.keystore from dpa/services/bin:
にインポートします。
./dpa.sh app impcert -kf dpa/services/_jre/bin/new.keystore -al emcdpa -pw apollo
9. インポート後に、dpa/services/_jre/binからapollo.keystoreの内容を確認し、証明書が正しくインポートされたことを確認します。
./keytool -list -v -keystore dpa/services/standalone/configuration/apollo.keystore –storepass apollo
10. アプリケーション サービスを再起動し、GUIへのログインを試みます。
** サービスの再起動でエラー「app svc fail to start」が発生する場合やこの時点でGUIにアクセスできない場合は、次の操作を実行します。
- application-service.confを開き、「apollo.key」を検索します。エイリアスがインポートしたエイリアス(この場合はemcdpa)に更新されていることを確認できます。
- テキスト エディターでstandalone.xmlを開き、「key-alias」を検索します。インポートしたエイリアスを示す次のような行が表示されます。
key-alias="${apollo.keystore.alias:emcdpa}"
表示されない場合、キー エイリアスを署名済み証明書に関連付けられたものに一致するように変更する必要があります。また、パスワードが手順全体で使用したものと同じであることを再確認してください。
これらのファイルでエイリアスまたはパスワードを変更する必要がある場合は、アプリケーション サービスを停止して、ファイルを編集して保存し、サービスを再起動します。この問題が続く場合は、DPAサポートにお問い合わせください。 |
