Article Number: 000124734
Dell Security Management Server versione 10.2.11 e precedenti non implementa l'API di crittografia: di nuova generazione (CNG). Per questo motivo, queste versioni di Dell Encryption non possono importare o utilizzare chiavi private archiviate utilizzando Microsoft Key Storage Provider.
La chiave privata deve essere commutata dal provider di archiviazione delle chiavi Microsoft a un provider del servizio di crittografia legacy.
Convalidare il tipo di provider di certificati utilizzando certutil
.
Example command: certutil -store my
Figura 1. (solo in inglese) Certutil -store my
Questo problema si verifica se il provider è un provider di storage delle chiavi software Microsoft.
Esportare il certificato e la chiave privata in un formato PKCS#12 (PFX) utilizzando lo snap-in Certificati di Microsoft Management Console (MMC). Il PFX deve essere esportato con le caselle di controllo di tuttii certificati nel percorso di certificazione, se possibile, ed Export all extended properties.
OpenSSL contiene un metodo per modificare il provider del servizio di crittografia. Una copia di OpenSSL è inclusa con il software Dell Data Protection | Installazione di Enterprise Server a partire dalla versione 7.2. I file binari si trovano in <INSTALL_PATH>\Dell\Enterprise Edition\OpenSSL\bin.
Modificare la directory nella directory contenente i file binari OpenSSL.
Example command: cd C:\Program Files\Dell\Enterprise Edition\OpenSSL\bin
Utilizzare OpenSSL per convertire il formato PFX in PEM.
Example command: openssl pkcs12 -in C:\Temp\KSP-pfx.pfx -out C:\Temp\OpenSSL-pem.pem
Figura 2. (solo in inglese) openssl pkcs12 -in C:\Temp\KSP-pfx.pfx -out C:\Temp\OpenSSL-pem.pem
Fornire il percorso completo del PFX precedentemente esportato in -in
. Fornire un percorso completo a un nuovo file per l'output PEM al parametro "-out". OpenSSL crea il file specificato nel parametro "-out".
Quando viene richiesto di inserire la password di importazione: Utilizzare la password per il PFX specificata durante l'esportazione.
Quando viene richiesto di inserire la passphrase PEM: Verifica in corso - Inserire la passphrase PEM: Immettere la stessa password della password di esportazione PFX o una nuova password da utilizzare nel passaggio successivo.
Utilizzare OpenSSL per convertire nuovamente il nuovo PEM nel formato PFX con un diverso CSP specificato.
Example command: openssl pkcs12 -export -in C:\Temp\OpenSSL-pem.pem -out C:\Temp\CSP-pfx.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider"
Figura 3. (solo in inglese) openssl pkcs12 -export -in C:\Temp\OpenSSL-pem.pem -out C:\Temp\CSP-pfx.pfx -CSP "Microsoft Enhanced RSA and AES Cryptographic Provider"
Fornire il percorso completo al PEM creato in precedenza al parametro "-in". Fornire un percorso completo a un nuovo file per l'output PFX nel parametro "-out". OpenSSL crea il file specificato nel parametro "-out". Il parametro -CSP accetta il nome di un provider del servizio di crittografia Microsoft associato all'API Crypto(https://msdn.microsoft.com/en-us/library/windows/desktop/bb931357(v=vs.85).aspx).
-CSP
Il parametro distingue tra maiuscole e minuscole. Utilizzo di lettere minuscole -csp
causa l'errore del comando.Quando viene richiesto "Enter pass phrase for <PEM_FILE>: Utilizzare la password per il PEM specificata durante la fase di generazione del PEM.
Quando vengono richiesti i valori Enter Export Password: e Verifying - Enter Export Password: immettere la stessa password della password di esportazione PFX originale o una nuova password da utilizzare con il file PFX risultante.
Eliminare il certificato precedente dall'archivio personale del computer locale utilizzando lo snap-in Certificati in Microsoft Management Console (MMC).
Importare il PFX generato con OpenSSL nell'archivio personale del computer locale utilizzando lo snap-in Certificati in Microsoft Management Console (MMC). Il PFX deve essere importato con Mark this key as exportable. Includi tutte le proprietà estese.
Convalidare il tipo di provider di certificati utilizzando certutil
.
Example command: certutil -store my
Figura 4. (solo in inglese) certutil -store my
Utilizzare i tasti Configure Certificates..., Import DM Certificate..., e Import Identity Certificate... nel Server Configuration Tool per associare il nuovo certificato a Dell Core Server e importare il nuovo PFX nel database DDP.
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.
Dell Encryption
17 Jun 2024
12
Solution