Article Number: 000124734
Dell Security Management Server 版本 10.2.11 及更早版本不实施加密 API:下一代 (CNG)。因此,这些版本的 Dell Encryption 无法导入或使用使用 Microsoft 密钥存储提供程序存储的私钥。
私钥必须从 Microsoft 密钥存储提供程序切换到旧版加密服务提供程序。
验证证书提供程序类型 certutil
关联。
Example command: certutil -store my
图 1:(仅限英文) Certutil -store my
如果提供程序是 Microsoft 软件密钥存储提供程序,则会出现此问题。
使用 Microsoft 管理控制台 (MMC) 中的证书管理单元,以 PKCS#12 (PFX) 格式导出证书和私钥。导出 PFX,如果可能,则应在证书路径中包含所有证书的情况下导出,并且选中导出所有扩展属性。
OpenSSL 包含用于更改加密服务提供程序的方法。OpenSSL 的副本包含在 Dell Data Protection |从 v7.2 开始安装 Enterprise Server。二进制文件位于 INSTALL_PATH>\Dell\Enterprise Edition\OpenSSL\bin 中<。
将目录更改为包含 OpenSSL 二进制文件的目录。
Example command: cd C:\Program Files\Dell\Enterprise Edition\OpenSSL\bin
使用 OpenSSL 将 PFX 转换为 PEM 格式。
Example command: openssl pkcs12 -in C:\Temp\KSP-pfx.pfx -out C:\Temp\OpenSSL-pem.pem
图 2:(仅限英文) openssl pkcs12 -in C:\Temp\KSP-pfx.pfx -out C:\Temp\OpenSSL-pem.pem
提供以前导出的 PFX 的完整路径 -in
参数。为“-out”参数提供 PEM 输出的新文件的完整路径。OpenSSL 创建在“-out”参数中指定的文件。
当系统提示 输入导入密码时:使用导出期间指定的 PFX 密码。
当系统提示 输入 PEM 密码时:并验证 — 输入 PEM 密码:输入与 PFX 导出密码相同的密码或新密码以在下一步中使用。
使用 OpenSSL 将新的 PEM 转换回指定了不同 CSP 的 PFX 格式。
Example command: openssl pkcs12 -export -in C:\Temp\OpenSSL-pem.pem -out C:\Temp\CSP-pfx.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider"
图 3:(仅限英文) openssl pkcs12 -export -in C:\Temp\OpenSSL-pem.pem -out C:\Temp\CSP-pfx.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider"
为“-in”参数提供之前创建的 PEM 的完整路径。为“-out”参数提供 PFX 输出的新文件的完整路径。OpenSSL 创建在“-out”参数中指定的文件。-CSP 参数接受与 CryptoAPI 关联的Microsoft加密服务提供程序的名称 (https://msdn.microsoft.com/en-us/library/windows/desktop/bb931357(v=vs.85).aspx) 。
-CSP
参数区分大小写。使用小写字母 -csp
导致命令失败。当系统提示“Enter pass phrase for <PEM_FILE>:”时使用在 PEM 生成步骤中指定的 PEM 的密码。
当系统提示输入 “输入导出密码:” 和 “正在验证 - 输入导出密码”时 ,输入与原始 PFX 导出密码相同的密码或用于生成的 PFX 文件的新密码。
使用 Microsoft 管理控制台 (MMC) 中的“证书”管理单元从本地计算机的个人存储中删除以前的证书。
使用 Microsoft 管理控制台 (MMC) 中的“证书”管理单元将使用 OpenSSL 生成的 PFX 导入到本地计算机的个人存储。导入 PFX 时,应将 此密钥标记为可导出。以及 包括所有扩展属性。
验证证书提供程序类型 certutil
关联。
Example command: certutil -store my
图 4:(仅限英文) certutil -store my
使用配置证书...、导入 DM 证书...和导入身份证书...。服务器配置工具中的菜单选项,以将新证书关联到 Dell 核心服务器并将新 PFX 导入 DDP 数据库。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Dell Encryption
17 Jun 2024
12
Solution